Manchmal sind Dinge verblüffend einfach. Worin sie die Ursache für eine fehlende Definition von Geschäftsprozessen in ihrem Hause sehen, wollte eine Umfrage unter Unternehmen ohne Identity Management (IdM) wissen. Keiner habe sich damit befasst, antworteten drei Viertel in der Studie „Identity Management 2009 – Security & Compliance“ des Stuttgarter Beratungshauses Deron. Das ist sogar insgesamt die Mehrheit der deutschen Unternehmen. Denn lediglich ein Drittel der Befragten setzt überhaupt IdM ein – und davon offenbaren 70 Prozent erhebliche Sicherheitslücken. Dabei bietet IdM nach Einschätzung von Deron von erhöhter Datenkonsistenz über vereinfachte Verwaltung bis zur Senkung von Kosten erhebliche Vorteile.
Hinter IdM-Produkten steckt die Idee einer möglichst einfachen und automatisierten Verwaltung personenbezogener Daten. Wird beispielsweise ein neuer Mitarbeiter eingestellt, erfolgen die relevanten Schritte nach Eintragung bei der Personalverwaltung automatisch. Das heißt, dass für den Mitarbeiter automatisiert eine eigene Telefonnummer und ein E-Mail-Zugang eingerichtet werden. Ebenso werden die für ihn benötigten Zugangsberechtigungen angelegt. Mit diesem Schritt des Provisioning startet gleichzeitig ein Tool zur Historienführung, das sämtliche Aktionen dokumentiert – sinnvoll, um eine saubere Compliance nachweisen zu können.
Von den Anwendern zeigen sich satte 88 Prozent insgesamt zufrieden mit ihren IdM-Lösungen. Dabei schöpfen die Unternehmen jeweils nur diejenigen Tools aus, die ihnen individuell sinnvoll erscheinen. 74 Prozent geben an, ihre Ziele zu erreichen. Fast 70 Prozent verzeichnen positive Effekte in der Umsetzung von Richtlinien und Anforderungen.
Durchwachsen ist hingegen das Ergebnis hinsichtlich der Implementierungsdauer. 41 Prozent der Firmen veranschlagten dafür durchschnittlich höchstens 18 Monate und äußerten sich am Ende enttäuscht über den größeren zeitlichen Aufwand. Mit bis zu zwei Jahren sollte also von den ersten Planungsschritten bis zum Abschluss der Implementierung gerechnet werden. Ein Zehntel der Befragten benötigte für die IdM-Einführung sogar mehr als vier Jahre.
Geduld ist also gefragt, die sich indes in aller Regel lohnt. 91 Prozent berichten von einer Verbesserung der Prozesse im Unternehmen, 78 Prozent fühlen sich wohler hinsichtlich Sicherheit und Compliance und 56 Prozent stellen sinkende Kosten fest. Dieser Punkt ist von den drei genannten allerdings derjenige, der auch schief laufen kann. 13 Prozent geben an, hinsichtlich der Kosten jetzt schlechter dazustehen.
Geschäftsprozesse: Firmen nehmen Wildwuchs in Kauf
Bis hierhin fällt der Eindruck also überwiegend positiv, wenngleich nicht perfekt aus. Dass Anwender im Umgang mit ihren IdM-Lösungen bei weitem nicht alles richtig machen, unterstreicht Deron mit einem Beispiel: Benutzerleichen, also aus dem Unternehmen ausgeschiedene Mitarbeiter mit weiterlaufenden Accounts, stellen ein Risiko dar, dass 77 Prozent der Unternehmen insgesamt nicht ausschließen können. Der ernüchternde Befund dabei: Auch 70 Prozent der IdM-Anwender können das nicht, obwohl ihre Lösung eigentlich für automatische Löschung oder Deaktivierung solcher Accounts sorgen könnte.
Als Ursache dafür macht Deron lückenhaft definierte Geschäftsprozesse aus. Mit dem Einsatz von IdM-Anwendung erfolgt zwar automatisch eine Definition der Geschäftsprozesse. Allerdings begnügen sich viele Firmen damit, nur die erwartbaren, alltäglichen Prozesse zu bestimmen. Seltene Fälle werden also nicht berücksichtigt, was zu Wildwuchs führt. Denn schließlich sind Administratoren in Einzelfällen zum Anlegen von Accounts und Berechtigungen gezwungen, die das System nicht kennen kann – ein Hort vermeidbarer Unsicherheiten.
Auch wenn Unternehmen für diese Fälle Anweisungen erlassen, bleiben diese allzu oft unbeachtet. Deron nimmt als Ursache für die Lücken an, dass Unternehmen an der falschen Stelle sparen und so unnötige Inkonsistenzen in Kauf nehmen. "Letztlich ist es absurd, von vorn herein Lücken in ein Sicherheitssystem einzubauen", heißt es in der Studie.
Ein weiteres Feld von Sicherheitslücken identifiziert Deron in der kritischen Rechtevergabe. 73 Prozent der Unternehmen räumen hier Defizite ein. Die Ursache der Probleme ist klassisch: Kommunikationsbarrieren zwischen IT und Fachabteilungen. Wenn ein Mitarbeiter einen Zugang zu bestimmten Anwendungen begehrt, benötigt die IT dazu eine Genehmigung durch den Vorgesetzten aus der Fachabteilung. "Da er aber das Vokabular der IT nicht beherrscht, fällt es ihm in aller Regel schwer, seine Wünsche im Detail zu schildern", so die Studie.
Fehlende Kommunikation und schwierige Prozesse
Es fehlt also an der Exaktheit in der Kommunikation, was zu fehlerhaften Berechtigungszuweisungen führen kann. Zum Beispiel sich logisch ausschließende Berechtigungen – etwa der Möglichkeit für einen Antragssteller, seinen Antrag selbst zu genehmigen. Oftmals unterlassen es Unternehmen auch, bei einem Funktionswechsel eines Mitarbeiters die alten Berechtigungen zu löschen.
Letztlich erweist sich bei der IdM-Implementierung insbesondere die Definition und Umsetzung der Prozesse als problematisch. Drei Viertel der Befragten nennen diese Baustelle als nicht abgearbeitet. Die Klärung von Zuständigkeiten sowie die Integration in die bestehende IT geben knapp die Hälfte der Befragten als heikel an. Schwierigkeiten bei der Auswahl des richtigen Produktes oder Budgetgrenzen spielen indes kaum eine Rolle.
Durch die Bank sagen die Anwender hinterher, dass sie bei erneuter Implementierung externe Berater heranziehen würden. Laut Studie ist die Zufriedenheit der Kunden deutlich höher, wenn die Beratung durch eine unabhängige Instanz und nicht durch den Hersteller der Lösung erfolgt.