Mit seinem Identity Compliance Manager möchte Sun Unternehmen den Einstieg in die Compliance-Thematik vereinfachen. Das Tool – eine abgespeckte Variante des mit Vaau akquirierten Rollenmanagement-Produktes – soll sich entsprechend schnell auszahlen. Interessierte Firmen müssen sich aber darüber im Klaren sein, dass der Verzicht auf Rollenmanagement-Funktionen eine große Einschränkung bedeutet.

Sun hat zu Beginn dieser Woche den Identity Compliance Manager angekündigt. Was sich zunächst nach einem völlig neuen Produkt anhört, ist tatsächlich der Sun Role Manager, also das im Rahmen der Akquisition von Vaau übernommene Produkt – aber mit deaktivierten Rollenmanagement-Funktionen. Technisch ist es aber die gleiche Plattform. Wenn man später den Schritt zum Role Manager machen möchte, ist daher auch keine Neuinstallation erforderlich – es müssen nur die erweiterten Lizenzen konfiguriert werden.

Dieser Schritt zum Role Manager ist auch gewünscht. Aus Sicht von Sun soll der Identity Compliance Manager den Einstieg in das Thema Compliance-Management vereinfachen. Dazu wird die – zugegeben komplexe – organisatorische Herausforderung des Rollenmanagements ausgespart. Der Fokus liegt vielmehr auf der Attestierung, also der Bestätigung von vorhandenen Berechtigungsstrukturen.

Sun spricht in seinem Marketing denn auch von einem in 90 Tagen erreichbaren Return on Investment (RoI). In der Analystenkonferenz war ich allerdings nicht der einzige, der daran erheblichen Zweifel artikuliert hat. Sun hat dann auch eingeräumt, dass man einen Rollout und erste Ergebnisse – also einen ersten Return für das Investment – im 90-Tage-Zeitraum erreichen kann. Mit einem rechenbaren RoI in dieser kurzen Zeitspanne tut sich aber auch Sun schwer.

Das ist aber nicht der einzige Punkt, an dem man den Eindruck haben kann, dass es sich in erster Linie um ein Marketing-Produkt handelt. Dabei ist es grundsätzlich wünschenswert, dass man den Einstieg in solche Projekte vereinfacht. Immerhin steht das Thema GRC (Governance, Risk Management, Compliance) gerade in diesen Tagen ganz oben auf der Agenda sehr vieler Unternehmen, nachdem die letzten Monate gezeigt haben, dass es ohne ein sauberes Risiko-Management nicht geht – und viele Unternehmen gerade aus der Finanzindustrie an dieser Herausforderung grandios gescheitert sind.

Denn das eigentliche Problem des Produkts ist der Verzicht auf das Rollenmanagement. Für die Attestierung mag das noch funktionieren, auch wenn man dort mit sauberen Rollenmodellen eine wesentlich bessere Steuerung der Verantwortlichkeiten hat – wer muss welche Berechtigungen bestätigen? – als ohne Rollenmanagement.

Spätestens bei den SoD-Regeln (Segregation of Duties) stößt man aber an die Grenzen. Hier geht es in der Praxis ja genau darum, sich widersprechende Einzelberechtigungen, IT-Rollen und Business-Rollen zu definieren. Und ohne Rollen ist es eben nicht möglich, Rollenkonflikte in SoD-Regeln umzusetzen. Hier wird man also allenfalls erste Schritte machen können, wenn überhaupt. Und auch ein Autorisierungsmanagement ist nur schwer ohne zumindest grundlegende Rollenkonzepte vorstellbar.

Das heißt nun nicht, dass der Sun Identity Compliance Manager uninteressant wäre. Er kann den Einstieg in das Thema GRC durchaus vereinfachen. Man muss sich aber auch über die doch erheblichen Einschränkungen im Klaren sein, die das Sun-Marketing geflissentlich verschweigt. Wer diesen Schritt geht, sollte in jedem Fall gleich den nächsten Schritt hin zum vollständigen Sun Role Manager einplanen.