Governance, Risk, Compliance – mehr als nur Identity Management

Governance, Risk Management, Compliance (GRC) hat sich in 2008 zu einem der wichtigsten IT-Themen entwickelt. Das Thema wird allerdings oft zu eng gesehen, als reine Erweiterung von IAM (Identity and Access Management). Derzeit dominieren daher noch Punktlösungen, die zu sehr auf SAP, einzelne Gesetze oder eben den Aspekt der Zugriffssicherung ausgerichtet sind.

Dass GRC so an Gewicht gewonnen hat, ist wenig überraschend. Im vergangenen Jahr gab es gar zu viele Probleme mit diesen Themen – von den unterschätzten operationalen Risiken in der Finanzindustrie über den Fall der Societe Generale bis hin zu den unzähligen Fällen nicht ausreichend geschützter persönlicher Informationen.

Entsprechend hat auch der Markt für GRC an Gewicht gewonnen. Derzeit geht es dabei vor allem um drei Lösungsansätze. Der erste ist das Risikomanagement, also die Beschreibung, Messung und der Umgang sowohl mit IT-Risiken als auch mit operationalen Risiken. Der zweite ist die Attestierung, also eine regelmäßige Bestätigung der Korrektheit von Zugriffsberechtigungen. Und der dritte Bereich sind die SoD-Regeln (Segregation of Duties), also sich gegenseitig widersprechende Berechtigungen.

Sowohl bei der Attestierung als auch bei den SoD-Regeln liegt der Fokus auf der Zugriffssteuerung. GRC ist hier – oft auch bei den Implementierungen – eine Erweiterung von IAM. Es steht außer Frage, dass dieser Zusammenhang von großer Bedeutung ist, um GRC-Anforderungen erfüllen zu können. Ohne eine leistungsfähige Identity Management-Infrastruktur wird man bei vielen GRC-Herausforderungen scheitern.

Aber: Mit der Lösung der IAM-Herausforderungen ist es mit Blick auf die Herausforderungen von Governance, Risk Management und Compliance nicht getan. Es braucht hier mehr. Themen wie die Business Continuity, die physische Sicherheit von Rechenzentren oder der Umgang mit Sicherheitsereignissen in Netzwerken zählen ebenso dazu wie die Data Leakage Prevention oder die Einhaltung von Umweltschutzvorschriften.

Das ist wichtig, wen man sich heute mit Lösungen für GRC beschäftigt. Denn daraus entsteht eines der zentralen Auswahlkriterien für GRC-Lösungen. Diese müssen eine Abbildung von allen Regularien und Risiken ermöglichen, sowohl mit IT-Bezug als auch darüber hinaus. Gleichzeitig müssen sie die Einbindung von IT-Systemen, die Statusinformationen zur den verschiedenen Bereichen liefern, unterstützen.

Zur Zeit fehlen solche GRC-Plattformen noch. Neben speziellen Lösungen für einzelne Systeme wie SAP und Punktlösungen für einzelne regulatorische Vorschriften gibt es vor allem mit Blick auf die GRC-Herausforderungen mit Identity Management-Fokus zwar zunehmend mehr Plattformen, die unterschiedliche GRC-Anforderungen innerhalb eines Systems unterstützen.

Allerdings handelt es sich dabei meist noch um „IAM-GRC“, also eben Systeme mit ausschließlichem Identity Management-Fokus. Zudem sind es oft Lösungen, die eben nur einen IT-Fokus haben. GRC muss aber sowohl die IT-Sicht und die aktuellen Statusinformationen aus IT-Systemen als auch den Business-Fokus, bin hin zu Dashboards mit aggregierten Informationen für das C-Level, umfassen.

Die große Herausforderung für GRC ist also die Verbreiterung des Themas, hin zu einer Gesamtsicht auf alle GRC-relevanten Fragestellungen. Die Verknüpfung mit IAM-Systemen und die Steuerung und Kontrolle von Zugriffsberechtigungen ist hier ein Kernthema. Aber es ist eben nicht das einzige Thema.



KuppingerCole Select

Register now for KuppingerCole Select and get your free 30-day access to a great selection of KuppingerCole research materials and to live trainings.

Stay Connected

KuppingerCole on social media

Subscribe to our Podcasts

KuppingerCole Podcasts - listen anywhere


How can we help you

Send an inquiry

Call Us +49 211 2370770

Mo – Fr 8:00 – 17:00