Während viel über die Cloud gesprochen wird (die die Unternehmen durchaus beschäftigt), zeigt die Nachfrage im Advisory-Geschäft ein anderes Hype-Thema: Berechtigungsmanagement.
Das ist natürlich nur insofern Hype, als es derzeit offensichtlich eine sehr große Zahl von Unternehmen umtreibt, in durchaus unterschiedlichen Facetten. Eigentlich ist es ja ein Thema, das – wenn man im Hype Cycle denkt – längst den Hype und die nachfolgende Phase der Ernüchterung durchlaufen hat.
Klar ist aber auch, dass es noch einen erheblichen Nachholbedarf gibt, wenn es darum geht, vollständig umgesetzte, nachvollziehbare Prozesse für die Erstellung und Vergabe von Berechtigungen zu haben, wenn es um die privilegierten Zugriffe als besonders sensitive Berechtigungen oder die Überwachungs-Prozesse mit der Rezertifizierung einmal vergebener Berechtigungen geht. Und dann rückt mit Wikileaks und der Drohung auch gegen Unternehmen der Informationsschutz über das Thema der Berechtigungen hinaus noch in das Blickfeld der Unternehmen. Und auch die standardisierte Anwendungssicherheit mit externalisierten Diensten für die Authentifizierung und Autorisierung wird immer mehr zum Thema in der Umsetzung.
Man kann sich nun die Frage stellen, warum Unternehmen gerade jetzt so intensiv zu handeln beginnen. Immerhin gab es in vielen Unternehmen schon lange Initiativen und Mitarbeiter, die das Thema vorantreiben wollten. Und es gibt ja auch viele Unternehmen, die es gut gelöst haben. Mehr Unternehmen haben aber nur Teillösungen erreicht.
Was sich geändert hat, ist eigentlich recht einfach zu benennen: Informationssicherheit ist auf der Agenda der CEOs und CFOs angekommen. Die Risiken des Informationsverlusts und die wachsenden Anforderungen an die Compliance haben das Thema in der Wahrnehmung verschoben. Es geht heute weniger darum zu begründen, warum man es überhaupt machen sollte. Das ist verstanden. Es geht darum, es zu machen – und zwar richtig, so dass man nicht eine Punktlösung hat und kurz darauf die nächsten Lücken auftauchen, die man schließen muss (um dann festzustellen, dass man falsch investiert hat).
Das richtige Investieren setzt aber voraus, dass man die Herausforderung Informationssicherheit als Gesamtthema betrachtet und diesen Elefant dann so in Scheiben schneidet, dass man sich bei der Umsetzung nicht am Happen verschluckt. Und man muss auch sicherstellen, dass man die Umsetzung so macht, dass das Gesamtergebnis stimmt und eben keine Lücken bleiben. Das erfordert zunächst Strategien und Roadmaps, die sich aber – auch das eine unserer Erfahrungen – relativ schnell definieren lassen, um dann auch wirklich mit der eigentlichen Verbesserung der Informationssicherheit beginnen zu können.
Klar ist aber auch: Mehr Informationssicherheit und besseres Berechtigungsmanagement sind nie nur (und nicht einmal überwiegend) ein technisches Projekt, sondern haben Einfluss auf die gesamte Organisation. Dennoch gilt: Wer seine Hausaufgaben noch nicht gemacht hat, sollte spätestens jetzt an das Thema rangehen. Und wer sich nicht sicher ist, ob er alle Aufgaben richtig gelöst hat, sollte auf das Ergebnis noch mal einen Blick werfen.