Viele IT-Verantwortliche in Unternehmen haben Mühe, ihre Budgetgebern von der Notwendigkeit oft teurer Investitionen in Identity und Access Management (IAM) zu überzeugen. Das überrascht insofern kaum, als es sich meist um Projekte der so genannten „IT-Infrastruktur“ handelt, also um sehr grundlegende Dinge. Und es nun einmal schwer, dafür einen echten ROI zu rechnen, meistens jedenfalls. Doch gerade in Zeiten knapper Kassen wird eine solche Kapitalrendite immer häufiger „von oben“ gefordert.
Also flüchtet man in „weiche" Argumente als Begründung für das Projekt. Sehr beliebt ist zum Beispiel das Thema „Compliance". Tatsächlich ist das Einhalten regulatorischer Vorschriften und Regeln sehr, sehr wichtig. Nur sind Compliance-Anforderungen leider meistens ziemlich diffus, und auf die Frage, um welche Regulierung es geht, weiß man in der IT häufig keine richtige zwingende Antwort. Von der Gegenseite kommt oft so etwas wie: „SOX gilt für uns nicht!" Dass Compliance weit über SOX hinaus geht (oder besser, dass sie sehr viel früher beginnt) ist solchen Leuten leider nur sehr schwer zu vermitteln.Es gibt nämlich auch Dinge wie das Bundesdatenschutzgesetz und die in der Öffentlichkeit zunehmend gestellte Frage danach, wer eigentlich Zugriff hat auf welche Daten und wie es sein kann, dass diese Daten schon wieder unberechtigt in die Öffentlichkeit gelangt sind. Auch die Wirtschaftsprüfer stellen beim Audit inzwischen immer häufiger die Compliance-Frage, etwa wenn es um unternehmensinterne Vorschriften und Vorgaben geht. „Compliance" bedeutet schließlich nichts anderes als das Einhalten von Regeln.
Der Datenschutz ist im Übrigen ein gutes Beispiel, denn es macht deutlich, worum es bei IAM in Wahrheit geht. IAM ist in der IT kein Selbstzweck, es geht nicht um graue Theorie, sondern um die Konsequenz aus einer relativ simplen Anforderung, die seit Urzeiten an die IT gestellt wird, nämlich: „Schafft endlich Informationssicherheit!"!
IAM hat die Aufgabe, Informationen adäquat zu schützen, indem man sie oder die sie verarbeitenden Systeme schützt. Das ist auch der Hintergrund aller internen und externen Compliance-Regelungen. Informationssicherheit ist nämlich etwas, das jeder auch außerhalb der IT versteht. Deshalb ist es auch viel einfacher, über „Access" oder „Zugriff" zu argumentieren als über „Identity". Es geht darum, den Zugriff auf Informationen und Systeme zu steuern und zu überwachen. Dazu ist es notwendig, dass man weiß, wer auf was zugreifen darf - und wer nicht. Ohne die Beherrschung digitalen Identitätsmanagements ist dieses Ziel nicht zu erreichen. Wer beispielsweise glaubt, es genüge, Zugriffsrechte nur auf der Ebene von IP-Adressen oder MAC-Adressen zu verwalten, der irrt sich ganz gewaltig!
Vernünftiges IAM ist das Fundament, auf dem die die Informationssicherheit steht - oder eben auch nicht. Punktuelle Maßnahmen wie die Sperre und Kontrolle von USB-Geräten mögen helfen. Sie sind aber nur in einem Gesamtkonzept wirksam. Unternehmen benötigen eine „Access Strategy", eine übergreifende Strategie für die Steuerung von Zugriffen und nicht ein Bündel isolierter (und deshalb relativ einfach zu umgehender) Einzelmaßnahmen.
IAM lässt sich in Wirklichkeit ganz einfach argumentieren - wenn man es im Kontext der Bewertung von Informationssicherheit und Risiken in der IT sieht. Der Verlust von geistigem Eigentum, die Möglichkeit von Verstößen gegen rechtliche Vorschriften und des Missbrauchs von Systemen - das sind ganz starke Argumente, die für IAM sprechen. Jedenfalls stärker, als die rein technische Betrachtung von IAM als noch ein Element in der allgemeinen IT-Strategie des Unternehmens. Letzteres ist IAM natürlich auch, aber es ist mehr als das - nämlich die Grundlage für durchgängige Sicherheitskonzepte und damit sinnvolle Investitionen in die IT-Sicherheit.