Compliance, Governance und Kostenersparnis: In IAM steckt mehr Mit Zugangskontrollen die Geschäftsprozesse optimieren

Redakteur: Dr. Andreas Bergler

Die automatisierte Kombination von Zugangs- und Zugriffskontrollen fügt sich ideal in die Geschäftsprozessoptimierung. Denn Identity- und Access-Management (IAM) greift über alle Applikationen entlang der Ausführung.

Firmen zum Thema

Die Etablierung von Zugangskontrollen bringt Licht in Zuständigkeiten und Abläufe.
Die Etablierung von Zugangskontrollen bringt Licht in Zuständigkeiten und Abläufe.
( Archiv: Vogel Business Media )

Leistungsfähige Modul-Sets für das Identity- und Access-Management (IAM) bringen heute das mit, was Unternehmen immer dringender brauchen: Auditing und Reporting für die Befolgung externer Vorschriften (Compliance) und interner Regeln (Governance) – wäre da nicht die Wirtschaftskrise. Sie sensibilisiert die Entscheider, auf die Kostenbremse zu treten.

Richard Diez-Holz, Leiter Competence Center IT Infrastructure & Security bei RDS Consulting, skizziert die heutige Ausgangssituation: „Für Unternehmen, die die Optimierung ihrer Geschäftsprozesse schon weit vorangebracht haben, gehört IAM zum Pflichtprogramm. Sie treiben das flankierende IAM zielstrebig mit voran.“ Die Erklärung dafür liefert er gleich mit: „Nur durch die konsequente Fortsetzung dieser Optimierung und Absicherung erreichen die Unternehmen die anvisierten Vorteile, vor allem Kosteneinsparungen.“

Bildergalerie

IAM hilft sparen

Die anderen Unternehmen, die erst ein kleines Stück des Weges zurückgelegt hätten, hielten dagegen inne und warteten auf bessere Zeiten. IAM mit seinen nachweislichen Sicherheitsvorzügen nur als zusätzlichen Kostengenerator zu sehen, davon hält Diez-Holz wenig. Ganz im Gegenteil: „In einigen IAM-Modulen stecken aufgrund der Automatisierung über Workflows erhebliche Einsparungen, wenn ein Projekt richtig angepackt wird.“ Er fordert deshalb die Entscheider auf, die Einsparungspotenziale von IAM im einzelnen zu analysieren. „Dazu gehört, den aktuellen Kosten rund um die Zugangs- und Zugriffskontrolle, aber auch Compliance, selbstkritisch nachzugehen und die einzelnen Teilbereiche zu quantifizieren.“ Nur so könnten die über IAM erzielbaren Kosteneinsparungen plastisch vor Augen treten.

Für welche Unternehmen sich IAM richtig lohnt, lesen Sie auf der nächsten Seite.

IAM verschafft Durchblick

Die Kostenvorteile von IAM können sich sehen lassen. „Wenn neue Mitarbeiter oder Mitarbeiter in einer veränderten Funktion ihre Aufgaben erfüllen sollen, ist es entscheidend, ob sie nach einer Stunde oder erst nach Tagen produktiv arbeiten“, sagt Hubert Geml, verantwortlich für das IAM-Geschäft in Deutschland bei Siemens IT Solutions and Services. „Hier leistet IAM mit rollenbasierender, automatischer Zuteilung von Benutzerrechten einen spürbaren Beitrag, um die Administrationskosten zu senken und gleichzeitig die Produktivität zu steigern. Hinzu kommt die höhere Sicherheit, insbesondere bei Compliance-Anforderungen.“ Für deren Einhaltung werden über Auditing und Reporting die Informationen mitgeschrieben. Sie verschaffen den Auditoren einen vollständigen Durchblick. Darüber können Fragen beantwortet werden wie: Welche Aktionen wurden wann, von wem und wo ausgeführt? Wer hat dafür die Berechtigungen erteilt, wer hat sie genehmigt? Mit welcher Applikation wurden die Aktionen ausgeführt?

Geml weist darauf hin, dass eine solche Dokumentation in vielen Fällen verpflichtend ist. „Die steigenden Compliance-Anforderungen, wie sie etwa der Sarbanes-Oxley Act, Euro-SOX, Basel II oder Solvency II verlangen, müssen nachweislich eingehalten werden. Dazu kommen branchenspezifische Auflagen, die etwa im Pharmazie- und Medizinbereich besonders hoch sind.“ Dies alles erfordere ein lückenloses, integriertes Auditing und Reporting.

Schnell und sicher

Der Zugewinn an Sicherheit mittels IAM ist nicht zu unterschätzen: „Systeme, Daten und Prozesse sind weniger attackierbar. Datenschutz-Anforderungen können intern besser umgesetzt werden. Das Unternehmen läuft in weniger Regress-Ansprüche und Schadensersatz-Zahlungen hinein“, erklärt Erwin Schöndlinger, Geschäftsführer von Evidian Deutschland. Er qualifiziert die Synthese aus Schutzschirm sowie Auditing und Reporting für Unternehmen ab einer Größenordnung von etwa 800 Mitarbeitern als unverzichtbar. „Nicht nur, weil ab einer gewissen Größe die optimierten Geschäftsprozessketten, denen die Zugriffssicherheit und Compliance folgen müssen, länger sind“, sagt er. „Ohne IAM explodieren die Administrations- und Betriebskosten für compliance-konforme Geschäftsabläufe und die Komplexität der IT steigt ins Unerträgliche“, bestätigt er Geml.

Schöndlinger bricht eine Lanze für automatisierte Prozesse und Workflows, unabhängig davon, ob sie auf die Geschäfts-, IT-Betriebs-, Sicherheits- oder Auditing-&-Reporting-Abläufe abzielen. Mit Web 2.0 sieht er eine interaktive Applikationswelt heraufziehen: „Sie ist ohne die in den Web-Services implementierten Sicherheits- und Compliance-Funktionen weder denkbar noch ablauffähig.“ Für die Projektierung von IAM sieht er für die größeren Unternehmen keine Finanzierungsprobleme. „Sie können mit den Modulen starten, die für sie die größten Einsparungspotenziale und den schnellsten Return on Invest haben.“

Wie Sie IAM richtig integrieren, lesen Sie auf der nächsten Seite.

Es geht auch einfacher

Das Gesamtprojekt IAM hat sowohl eine organisatorische als auch eine technische Seite. „Administratoren und Mitarbeiter müssen mit den neuen Verfahrensweisen vertraut gemacht werden. In welchen Abteilungen und mit welchen Modulen man beginnen sollte, fördert eine Top-Down-Analyse ausgehend vom Geschäftsprozess-Soll zutage“, informiert Bernd Redecker, Head of Security Solutions, Professional Services bei Wincor Nixdorf. Hierzu gehören die genaue Gegenüberstellung von Investitionen und Aufwänden und die über IAM erreichbaren Einsparungen. Redecker sieht in der Etablierung eines unternehmensweiten, standardkonformen LDAP-Verzeichnisses den Start eines gelungenen IAM-Vorhabens. „Es bildet den Hort für sämtliche Einträge wie Namen, Zugehörigkeiten, Rechte, Gruppenrechte, Rollen und workflow-steuernde Attribute.“

Die Zentralisierung des Identitäten-, des Rechte- und Rollen-Managements würden in der Regel die nächsten IAM-Umsetzungsmodule sein. Redecker: „An der Nahtstelle zwischen den Identitäten und Zugriffen kann das Unternehmen die Vorzüge von Single Sign-on ausschöpfen, bevor sich Compliance mit der Integration des Auditing- und Reporting-Moduls in die IAM-Workflows passgenau zu den optimierten Geschäftsprozessen anschließt.“ Mit der modularen Gestaltung des IAM-Sets kann es sich auch lohnen, mit dem Single-Sign-on-Modul zu starten, wenn es sich als besonders rentabel erweist.

(ID:2042344)