Mit Identity Management auf den Weg zur Compliance
08.10.07
Die Compliance-Anforderungen aus gesetzlichen Vorgaben und Regelungen an Unternehmen steigen kontinuierlich. Unternehmen müssen immer mehr Auflagen erfüllen, um die Konformität zu gesetzlichen Vorschriften sicherzustellen. Zu den bekanntesten zählen börsenrechtliche Auflagen wie Basel II oder Sarbanes-Oxley aus den USA, branchenspezifische wie Emissionsrichtlinien für Energie sowie branchenübergreifende wie internationale Handelsbestimmungen.
Nicht alle Vorschriften sind für alle Unternehmen in Deutschland relevant. Fakt ist allerdings auch, dass immer mehr Unternehmen direkt oder auch indirekt betroffen sind. Die aktuelle Studie „Identity Management and Access Management Critical to Operations and Security“ der Aberdeen Group bestätigt dies. Denn mittlerweile sind 83 Prozent der Unternehmen der Meinung, dass Compliance besonders wichtig für ihr Unternehmen ist.
Aus Sicht der Anwenderunternehmen ergänzen sich Identity Management und Compliance. Laut der Studie von Aberdeen gibt es nämlich zwei wichtige Faktoren für die Einführung einer Lösung für Identity Management: eine höhere Produktivität und eine bessere Compliance. Damit ist Compliance ein wichtiger Business-Treiber für Identity Management. Darüber hinaus sprechen einzelne Gesetzestexte wie die 8. EU-Richtlinie oder die Mindestanforderungen an das Risikomanagement (MaRisk) indirekt oder sogar direkt Empfehlungen für Identity Management aus. Und auch die die Wirtschaftsprüfer betrachten bei ihren betriebswirtschaftlichen Prüfungen nicht nur die ordnungsgemäße Buchführung, sondern zunehmend auch die relevanten IT-Systeme.
Es gibt also viele Ursachen für das Aufsteigen von Identity Management bei deutschen Unternehmen. Bereits rund 62 Prozent setzen auf Identity Management. Genauer betrachtet, haben 17 Prozent bereits eine Lösung im Einsatz, sieben Prozent implementieren gerade eine und 38 Prozent planen eine solche einzuführen. So das Ergebnis der Anwenderstudie "Identity Management 2006/2007" des Fraunhofer Institut für Informations- und Datenverarbeitung (IITB).
Zu den Beratungshäusern, die ihre Kunden sowohl zu Compliance als auch Identity Management beraten und betreuen, gehört das unabhängige IT-Consulting- und Dienstleistungsunternehmen Danet. Der IT-Dienstleister berät Unternehmen von der Strategieerstellung bis hin zur Auswahl der IT-Systeme und implementiert auf Wunsch der Kunden auch die IT-Systeme.
Am Anfang eines Identity-Management-Projektes werden fast immer vier wesentliche Fragen erörtert: Wer ist der Anwender? Was darf der Anwender tun? Wie kann der Anwender verwaltet und kontrolliert werden? Und wie kann bewiesen werden, dass die Regeln eingehalten werden? Auf diese Fragen erhalten die Berater Antworten zur Authentisierung, zur Authorisierung, zur Administration und zum Auditing und können sich so einen Überblick über den aktuellen Status quo beim Kunden verschaffen. Darauf aufbauend entwerfen die Berater eine Strategie für das Projekt, entwickeln gemeinsam mit dem Unternehmen realistische Projektziele und definieren Meilensteine. Im Rahmen dessen kann sich unter anderem herausstellen, dass die Unternehmen unrealistische oder unterschiedliche Erwartungshaltungen haben oder dass zuerst Standards und Prozesse definiert oder beschrieben werden müssen. Darüber hinaus wird evaluiert, ob die Unternehmen eine eigene Systemarchitektur benötigen oder ob sie bereits mit einer bestimmten Lösung für Identity Management, die für das Unternehmen relevanten Compliance-Anforderungen erfüllen.
So hat beispielsweise das Identity-Management-Produkt WiseGuard von Bull Evidian eine Single-Sign-On-Lösung, die über ein integriertes Monitoring verfügt und somit auf Abruf Informationen über den Zugriff auf Applikationen und über geänderte Passwörter liefern kann. Und mit dem Produkt Global Identity Management (GIM) der Danet Group lässt sich durch Genehmigungs-Workflows nachweisen, wer welche Berechtigungen beantragt und wer welche genehmigt hat. Außerdem können mit GIM die Mindestanforderungen für Passwörter definiert und so „schwache“ Passwörter ausgeschlossen werden (siehe Illustration).
Unternehmen sind also gut beraten sich dem Thema Compliance durch die Einführung einer Identity-Management-Lösung zu nähern. Sie profitieren nicht nur von einer sicheren IT-Landschaft und einer einheitlichen Infrastruktur, die die Grundlage für komplette Geschäftsprozesse schafft. Sie decken vielmehr bereits wichtige Compliance-Anforderungen ab. Auch wenn es noch kein Garantie für Compliance ist. Mit Identity Management begeben sich Unternehmen auf jeden Fall auf dem Weg zu Compliance.
