Immerhin 64 Prozent der US-Unternehmen geben an, bereits ein Access- und Identity-Management-System implementiert zu haben. Mit 70 Prozent ist dabei die Zugangskontrolle am wichtigsten, gefolgt von Passwort-Management und Provisioning.
Doch 52 Prozent geben zu, dass ihre Unternehmen weit davon entfernt sind, die IAM-Lösungen effektiv zu nutzen. Weitere sieben Prozent sind unsicher, was ihre Möglichkeiten zur Identity-Kontrolle betrifft. Will heißen: Zusammengerechnet fast 60 Prozent der Organisationen kämpfen mit dem Vorhaben, einen autorisierten Zugang zu kritischen Systemen und sensiblen Datenquellen zu garantieren.
Manuelle Kontrollen, fragmentierte Daten
Die Schwierigkeiten haben laut Ponemon verschiedene Gründe. 42 Prozent der Befragten sagen, dass sie kaum an Daten gelangen, die sie für eine Risikoeinschätzung benötigen. Fast ebenso viele geben an, dass ihnen die adäquaten Instrumente oder die personellen Ressourcen fehlen.
Dass IAM nicht richtig funktioniert, liegt weniger am mangelnden Sicherheitsbewusstsein der IT-Manager als an praktischen Ineffizienzen. Denn 71 Prozent der Befragten halten Identity-Compliance-Aktivitäten für strategisch wichtig. Das Problem liegt in den Prozessen: So arbeiten 58 Prozent der Unternehmen noch immer manuell, um den Mitarbeiterzugang zu Anwendungen und Systemen zu kontrollieren. Am wichtigsten ist offenbar, Aktivitäten von Angestellten nachzuverfolgen, die Zugang zu sensiblen oder vertraulichen Daten haben.
Nur 23 Prozent verfügen über automatisierte Compliance- oder Audit-Instrumente. Die meisten anderen geben an, dass die IAM-Daten zu fragmentiert sind, um automatisiert zu werden, oder dass sie dafür nicht die passenden Tools gefunden haben.
Schlechte Zusammenarbeit, fehlende Expertise
Hinzu kommt, dass 87 Prozent eine dezentralisierte Identity-Compliance-Strategie verwenden - fast die Hälfte implementiert ihre Compliance über Schlüsselapplikationen, die im Unternehmen angewendet werden. Und nicht zuletzt gehen 51 Prozent mit reaktiven Methoden vor, die den Schaden nur ausbügeln können - nicht aber mit präventiven Strategien.
Es mag zwar Vorteile haben, dass die Verantwortung für Identity Compliance im Unternehmen von vielen geteilt wird. Doch letztlich ist es problematisch, dass es für die Identity-Compliance-Mission keinen Hauptverantwortlichen gibt. So sehen 28 Prozent den Anwendungsbesitzer in der Pflicht, die IAM-Policy zu definieren. 28 Prozent finden, die Compliance-Abteilung sei für die Überwachung verantwortlich. Und um Mängel zu beheben, halten 42 Prozent die operative IT für zuständig.
Die Aufgabenverteilung mag sinnvoll sein - allein an der Zusammenarbeit hakt es. 42 Prozent der Befragten geben an, dass IT, Kontroll- und Geschäftseinheiten selten zusammenarbeiten. Der größte Hinderungsgrund ist offenbar, dass auf Seiten des Audit- und Compliance-Personals technisches Wissen und spezielle Expertise fehlen.
"Um Risiken abschätzen und Anforderungen an das Identity Management bestimmen zu können, müssen Unternehmen Zugang zu Daten haben und sich über verschiedene Abteilungen hinweg koordinieren", sagt Instituts-Gründer Larry Ponemon.
Gesetze als Hauptantrieb für Verbesserungen
Den jüngsten "data breach notification laws" - US-Gesetzen, die Unternehmen zur Kundenbenachrichtigung verpflichten, wenn deren Daten gefährdet wurden - messen die Befragten hohe Bedeutung bei: Sie sehen sie als Hauptantrieb für Unternehmen, die IAM-Compliance zu verbessern.
Für die Studie, die von Sailpoint Technologies gesponsert wurde, befragte das Ponemon-Institut 627 IT-Sicherheits-Verantwortliche in den USA.