Wie würden Sie den Reifegrad Ihres Unternehmens in Bezug auf sein Identity- und Access-Management einstufen? Gibt es in Ihrem Unternehmen ein softwaregestütztes Identity- und Access-Management? Nutzt Ihr Unternehmen für die Absicherung der Zugänge eine Multi-Faktor-Authentifizierung mit Token (Hardware, Software oder Push)? Wer ist in Ihrem Unternehmen für das Identity- und Access-Management verantwortlich?
Foto: John Williams RUS - shutterstock.com
Um diese und weitere Fragen zu beantworten, hat die COMPUTERWOCHE gemeinsam mit den Partnern Procilon, Timetoact, Airlock, Nevis, Centrify und KeyIdentity die Studie "Identity- & Access-Management" realisiert. Hierzu wurden im Sommer 2017 bundesweit 385 Entscheider zu ihren Plänen und Projekten rund um IAM befragt.
Während der erste Teil unseres Artikels zu den Ergebnissen der Studie sich mit dem Status quo in deutschen Firmen befasst und zeigt, in welchen Feldern Handlungsbedarf besteht, stehen im zweiten Teil die technische und organisatorische Umsetzung sowie das Thema Security-Dienstleister im Vordergrund. Sollten Sie den ersten Teil des Artikels nicht gelesen haben, so finden Sie den Text hier.
Die IT-Abteilung gibt bei IAM den Ton vor
In etwas mehr als einem Drittel (35 Prozent) der befragten Unternehmen ist die Geschäftsführung für das Identity- und Access-Management verantwortlich. Das behaupten 65 Prozent der Geschäftsführer selbst, während nur 12 Prozent der CIOs und 15 Prozent der IT-Leiter dieser Meinung sind. Die Werte sind auch von der Größe des Unternehmens abhängig. Während sich in 62 Prozent der kleinen Firmen der Geschäftsführer um IAM kümmert, sind es in mittleren Firmen nur 18 Prozent, in großen Unternehmen 28 Prozent.
Insgesamt dominiert die IT-Abteilung das Thema IAM. Zählt man die Ergebnisse für CIO/IT-Vorstand (33 Prozent), IT-Sicherheitsexperte (27 Prozent) und IT-Leiter (22 Prozent) zusammen, kommt man auf mehr als 80 Prozent (Mehrfachnennungen möglich). In 13 Prozent der Firmen gibt es einen eigenen Chief Information Security Officer (CISO), der die Verantwortung für IAM übernimmt.
Ein ähnliches Bild ergeben die Antworten auf die Frage, wer in den Firmen die Entscheidungen bei der Auswahl von Security-Dienstleistern und Security-Lösungen trifft. Auch hier dominieren in kleinen Firmen die Geschäftsführer (75 Prozent), in den mittleren und großen Unternehmen der CIO oder IT-Leiter.
Externe IAM-Dienstleister sind gefragt
Drei Viertel der Unternehmen (77 Prozent) arbeiten mit einem externen IT-Security-Dienstleister zusammen, 23 Prozent nicht. Aufschlussreich ist hier ein Blick auf die Unternehmensgröße. Die Hälfte der kleinen Unternehmen kümmert sich selbst um ihre IT-Sicherheit; bei den mittleren und großen Unternehmen sichern nur zehn Prozent ihre IT-Infrastruktur ohne Unterstützung von außen ab.
Wichtigstes Gebiet bei der Zusammenarbeit mit den Dienstleistern ist Identity- und Access-Management (31 Prozent), gefolgt von Sicherheitsarchitektur (30 Prozent) und dem Betrieb eines Security Operation Centers (26 Prozent). Letzteres ist vor allem in mittleren (36 Prozent) und großen Firmen (35 Prozent) der Fall. Nur sieben Prozent der kleinen Unternehmen setzen beim Thema SOC auf einen externen Partner.
Weitere Gebiete für die Zusammenarbeit mit externen IT-Security-Dienstleistern sind die Evaluation von Security-Lösungen (24 Prozent), Abwehr von Angriffen und forensische Untersuchungen (22 Prozent), Threat Intelligence mit Bedrohungsanalysen (21 Prozent) und Penetrationstests (16 Prozent).
Beim Thema IAM holen sich 59 Prozent der Unternehmen einen (42 Prozent) oder sogar mehrere Dienstleister (17 Prozent) ins Boot. Auffällig sind hier die hohen Werte bei mittleren und großen Unternehmen mit insgesamt 71 Prozent (mittel) oder 78 Prozent (groß), während nur 28 Prozent der kleinen Firmen mit einem oder mehreren Dienstleistern zusammenarbeiten.
Entsprechend setzen zwei Drittel (66 Prozent) der Unternehmen mit bis zu 100 Mitarbeitern IAM selbst ohne externe Hilfe um. Analog gilt das auch für Firmen mit einem kleineren IT-Etat unter einer Million Euro (59 Prozent). Die meisten Firmen zögern aber (noch) mit einer kompletten Auslagerung ihres IAMs. So greifen derzeit nur 17 Prozent der Befragten auf die Dienste eines Identity-Providers zurück, 16 Prozent planen diese Aktion.
Rechenzentrum muss in Deutschland sein
Bei der Wahl eines externen Partners für IAM legen die Unternehmen vor allem Wert auf ein Rechenzentrum in Deutschland, Technologie-Expertise sowie ein gutes Preis-/Leistungsverhältnis. Kriterium Nummer 1 ist ein Firmensitz / Rechenzentrum in Deutschland. 42 Prozent der Unternehmen fordern von potenziellen IAM-Anbietern aus datenschutzrechtlichen Gründen den Firmensitz und das Rechenzentrum in Deutschland. Hier sind sich die Fachabteilungen sowie die kleinen, mittleren und großen Unternehmen einig.
Für 39 Prozent der Firmen spielen technologisches und Prozess-Know-how eine große Rolle, für 37 Prozent ein gutes Preis-/Leistungsverhältnis. Letzteres ist vor allem den Geschäftsführern (45 Prozent) und den kleinen Firmen wichtig (51 Prozent). Jeweils 36 Prozent der Unternehmen legen großen Wert auf Produktzertifizierungen und Branchenkompetenz. Dahinter folgen Kriterien wie Herkunftsland (33 Prozent), Kundenreferenzliste (32 Prozent), bestehender persönlicher Kontakt (26 Prozent) oder Personenzertifizierungen (25 Prozent). Ganz hinten auf der Liste landen die Kapitalkraft und Größe des Dienstleisters mit sieben Prozent.
Ausbaufähig: Strategien für Digitalisierung und IT-Security
Die Zusammenarbeit mit einem externen IAM-Dienstleister ergibt eigentlich nur dann Sinn, wenn die Firmen selbst eine IT-Security-Strategie oder eine übergeordnete Digitalisierungsstrategie verfolgen. Doch in nur 65 Prozent der befragten Firmen gibt es eine Digitalisierungsstrategie. Auffällig sind hier die hohen Werte bei mittleren und großen Unternehmen mit 77 und 78 Prozent. Bei kleinen Firmen besitzen nur 42 Prozent eine Digitalisierungsstrategie.
Etwas besser sieht es bei der IT-Security-Strategie aus. Immerhin 72 Prozent der Firmen verfolgen bei ihren Sicherheits-Maßnahmen einen ganzheitlichen Plan. Auch hier sind die mittleren (79 Prozent) und großen Unternehmen (83 Prozent) Vorreiter, während bei den kleinen Firmen noch großer Nachholbedarf besteht (54 Prozent). 82 Prozent der befragten Firmen verknüpfen ihre IT-Security- und Digitalisierungsstrategie miteinander. Ausbaufähig sind in den Unternehmen zudem die IT-Sicherheitsrichtlinien/-Policies (64 Prozent) sowie die Konzepte zur Risiko-Analyse und Risikobewertung (50 Prozent).
Gleiches gilt für GAP-Analysen zu künftigen Regularien sowie die Etablierung von Val IT, einem Good Practices-Leitfaden, mit dem IT Services einen Mehrwert für das Unternehmen erbringen. 37 Prozent der Firmen haben bisher diese beiden Ansätze verwirklicht, insbesondere aber große Unternehmen (jeweils rund 50 Prozent).
Authentifizierung: Modulare Lösung bevorzugt
Ein zentraler Bereich des Identity- und Access-Managements ist die Authentifizierung. Knapp die Hälfte der Firmen setzt bei der Authentifizierung ihrer Systeme auf modulare Lösungen. Insgesamt 49 Prozent der Befragten würden anderen Unternehmen bei der Authentifizierung eindeutig (22 Prozent) oder eher (27 Prozent) zu modularen statt integrierten Lösungen raten. Insbesondere die Firmen mit software-gestütztem IAM (62 Prozent) plädieren für den Einsatz einer modularen Lösung.
38 Prozent der Unternehmen sind eher unentschlossen. Hier gibt es keine Tendenz zu einer der beiden Lösungen. Die Zahl der klaren Befürworter einer integrierten Lösung für die Authentifizierung ist sehr gering. Nur zehn Prozent der Firmen raten eher zu einer integrierten Lösung, vier Prozent ganz eindeutig.
Die drei wichtigsten Kriterien, nach denen Unternehmen ihre (Multi-Faktor-)Authentifizierungs-Lösung auswählen, sind Sicherheit, Bedienerfreundlichkeit und Produktzertifizierung. In 52 Prozent der Unternehmen bildet Sicherheit das wichtigste Kriterium für die Auswahl einer (Multi-Faktor-) Authentifizierungs-Lösung, um ihre digitalen Geschäftsprozesse abzusichern. Überdurchschnittlich hoch sind hier die Werte bei den mittleren Unternehmen mit 100 bis 999 Mitarbeitern (59 Prozent) und den IT-Leitern (57 Prozent).
Die Firmen achten zudem besonders auf Bedienerfreundlichkeit (38 Prozent) und Produktzertifizierung (33 Prozent). Für rund ein Viertel der Unternehmen bilden die Schnittstelle zur CRM-Lösung (27 Prozent), der Stand der Technik (26 Prozent) und die Administrierbarkeit (23 Prozent) eine Rolle beim Kauf einer Authentifizierungs-Lösung. Eine geringere Rolle spielen Themen wie Dokumentation (16 Prozent), Erweiterbarkeit der Lösung (11 Prozent), Manipulationssicherheit (10 Prozent) oder die Unterstützung von Standards (7 Prozent).
Zurückhaltung bei Self-Service-Portal
In knapp einem Drittel (29 Prozent) der Firmen gibt es ein Self-Service-Portal, über das die Nutzer selbst entscheiden können, welche Zugänge oder Zugriffsberechtigungen sie benötigen. Vorreiter sind hier die Firmen mit software-gestütztem IAM (54 Prozent), gefolgt von großen (41 Prozent) und mittleren (32 Prozent) Unternehmen. In kleinen Firmen bis 100 Mitarbeiter setzen nur 14 Prozent auf ein Self-Service-Portal. 26 Prozent der befragten Unternehmen planen zumindest den Aufbau eines entsprechenden Portals. Nein zum Self-Service-Portal für die Einrichtung von Zugängen und Zugriffsberechtigungen sagen derzeit 43 Prozent der Unternehmen. Der Anteil der kleinen Firmen ist hier mit 67 Prozent überdurchschnittlich hoch.
Widersprüchliche Gefühle hegen die Firmen gegenüber Superuser- und Administratoren-Zugängen mit weitreichenden Zugriffsrechten auf die Systeme. Drei Viertel der Unternehmen haben Superuser- und Administratoren-Zugänge mit erweiterten Zugriffsrechten eingerichtet, obwohl sie das damit verbundene Risiko sehen. Die Unterschiede zwischen kleinen, mittleren und großen Unternehmen sind hier marginal. Erstaunlich hoch ist hier mit 88 Prozent der Wert bei den Firmen mit software-gestütztem IAM.
Die hohe Quote bei den Superuser- und Administratoren-Zugängen überrascht jedoch angesichts der Risiken, die Firmen damit verbinden. Schließlich glauben 20 Prozent der Unternehmen, dass das Risiko dieser privilegierten Zugänge eindeutig zu groß sei, 44 Prozent sagen, dass es eher groß sei. Nur 34 Prozent der Befragten sehen darin kein besonderes Risiko.
Studien-Steckbrief
Die Studie Identity Access Management basiert auf einer Online-Befragung in der DACH-Region, in deren Rahmen im Zeitraum vom 11. bis 21. Juli 2017 insgesamt 385 abgeschlossene und qualifizierte Interviews durchgeführt wurden. Grundgesamtheit sind strategische (IT-)Entscheider der obersten Führungsebene und der Fachbereiche, IT-Entscheider und IT-Security-Spezialisten aus dem IT-Bereich.
Link zum Studien-Shop: https://shop.computerwoche.de/portal/studie-identity-access-management-2017-pdf-download-direkt-im-shop-7888