Als Analysten haben wir Einblick in viele Projekte in Sachen Identity und Access Management (IAM) sowie Governance Risk Management und Compliance (GRC). Dabei ist es immer wieder zu beobachten, dass Projekte in eine offensichtlich falsche Richtung gehen. Der Grund dafür ist in vielen Fällen, dass die Unternehmen überhaupt nicht wissen, in welche Richtung sie gehen sollen.
Es gibt den in der englischen Sprache so schön erklärbaren Unterschied zwischen Effektivität und Effizienz.. Effektivität steht für „doing the right things“, Effizienz für „doing the things right“ . Für erfolgreiche Projekte braucht es beides. Man muss wissen, was und warum man etwas macht. Und man muss es richtig umsetzen. Effizienz alleine bringt aber nichts, wenn man schon in die falsche Richtung gelaufen ist.
Fast schon ein Klassiker sind dabei Aussagen wie „Wir müssen/wollen Identity Management einführen“. Nur: Identity Management ist, ebenso wie IAM (Identity and Access Management) ein Überbegriff für eine ganze Palette an unterschiedlichen Technologien und für viele unterschiedliche Lösungsansätze. Zudem muss man IAM im Kontext anderer IT-Konzepte sehen. Der Zusammenhang zu GRC (Governance, Risk Management, Compliance) ist einer davon, der zu ITSM/BSM (IT/Business Service Management) ein anderer.
Und auch die Schnittstelle zwischen IAM und der Anwendungsarchitektur und -entwicklung (Stichwort: Anwendungssicherheit) oder zu vielen Teilbereichen der IT-Sicherheit darf ebenfalls nicht übersehen werden. Innerhalb des IAM-Feldes gibt es Themen wie das Identity Provisioning, Single Sign-On, Meta Directory-Dienste, virtuelle Verzeichnisdienste und vieles mehr.
Gleiches gilt aber für das Thema GRC. Auch hier gibt es viele Facetten und den Zusammenhang zu vielen anderen Bereichen der IT. Man kann nicht einfach „GRC machen“ oder „ Compliance-Anforderungen adressieren“, sondern muss schon deutlich genauer wissen, was man auf Dauer erreichen möchte und welche Schritte dorthin zu gehen sind.
Ein ganz anderes Themenfeld ist die Virtualisierung. Da immer mehr Services für die Virtualisierung aus der Cloud heraus geliefert werden, kann man eine Virtualisierungsstrategie nicht ohne eine Cloud-Strategie definieren. Anders formuliert: Man kann hier heute mit taktischen Maßnahmen viel Geld in den Sand setzen, wenn die Strategie fehlt oder unvollständig ist.
Deshalb ist es so wichtig, sich ein klares Bild (das „big picture“) für die IT, ihre Kernelemente und die Schnittstellen zwischen diesen zu verschaffen, bevor man große Investitionen tätigt. Das kann ein grobes Bild sein, aber es muss vorhanden sein, um ein (sich bewegendes, fortentwickelndes) Ziel und die Leitplanken für den Weg zur Erreichung dieses Ziels zu definieren.
Genau dieser Schritt fehlt aber in vielen Fällen. Es gibt viele taktische Einzelmaßnahmen, die aber in der Summe kein stimmiges Gesamtbild ergeben, weil sie nicht koordiniert sind und in eine definierte Richtung zielen.
Um nicht missverstanden zu werden: Es geht nicht darum, nun jahrelange komplexe Konzepte bis ins Detail zu entwerfen, um die „perfekte IT“ zu definieren. Es geht darum, die grobe Skizze zu schaffen. Der Projektaufwand dafür ist durchaus überschaubar und kann sich schon beim ersten Umsetzungsprojekt mehrfach bezahlt machen, wenn man beispielsweise eine falsche Richtung bei Entscheidung für IAM, GRC oder die Virtualisierung vermeidet und damit auch Fehlinvestitionen.
Wenn man erst einmal eine Idee davon hat, was die richtigen Dinge sind, die man tun muss – also z.B. was im Identity Management zu machen und was zu lassen ist – kann man sich dann auf die optimale Umsetzung konzentrieren. Wer aber beispielsweise gleich mit der Entscheidung zwischen nur einigen wenigen Provisioning-Produkten beginnt und die Frage danach, ob er überhaupt ein typisches Provisioning benötigt, gar nicht gestellt hat, hat beste Chancen auf eine Fehlinvestition.