In der unlängst veröffentlichten Studie zum Verhältnis von SOA und Identity Management und dem Status der SOA Governance, die wir gemeinsam mit Ernst & Young erstellt haben, ist deutlich geworden, dass eines der größten Probleme der IT die Silostrukturen sind.

Die Probleme, die durch ein solches Silodenken in der IT entstehen, sind offensichtlich. Die Studie hat deutlich gezeigt, dass bei den meisten Umsetzungen von SOA-basierenden Anwendungen ein stringentes, durchgängiges und wieder verwendbares Sicherheitskonzept fehlt. Das macht aber das externe Management der Sicherheit, das Auditing oder die Software Audits schwierig bis unmöglich, in jedem Fall aber teurer als erforderlich.

Auch im Spannungsfeld von BSM und IAM gibt es eine klare Notwendigkeit, über den jeweiligen Rand des Silos hinauszuschauen. Die grundlegenden Ansätze zum Umgang mit Services, wie sie beispielsweise ITIL definiert, lassen sich auf jede Art von Service anwenden. Ein Teil der Identity Management-Services ist in ITILv3 ja ohnehin zu finden. Grundsätzlich kann man die Methodiken aber genauso auf Software-Services wie Web Services wie andere, standardmäßig bei ITIL nicht betrachtete Identity Management Services anwenden.

Ein zweiter Aspekt sind die Identity Services, die zunehmend definiert werden. Ob man hier Oracle's SOS betrachtet, die Ankündigungen von SAP zu NetWeaver Identity Services nimmt oder eigene Konzepte für Anwendungssicherheitsinfrastrukturen realisiert: Es muss hinter den von Anwendungen genutzte Service-Schnittstellen immer zuverlässige Dienste geben, die diese Services liefern. Hier braucht es beispielsweise SLAs, hier braucht es ein Service Management. Und auch hier ist man damit automatisch bei ITIL und dem BSM.

Der dritte Punkt ist die Abrechenbarkeit. Services sind durch ihre Granularität ein guter Ansatzpunkt für eine zukünftige verbesserte Abrechenbarkeit und Nachvollziehbarkeit der IT. Um das aber machen zu können, muss man wissen, im Kontext welches Benutzers, welcher Gruppe oder welcher Rolle ein Service genutzt wird. Nur dann kann man Kosten auch richtig zuordnen.

Dieser Zusammenhang gilt natürlich in gleicher Weise für die Sicherheit. Man muss auch den Zugriff auf Services kontrollieren können - und das bedingt IAM.

Es gibt also etliche Stellen, an denen IAM, BSM und SOA zusammen wachsen müssen. Das wird aber nur gelingen, wenn man die existierenden Silos in den IT-Organisationen zumindest soweit aufbricht, dass dort bezüglich der Weiterentwicklung der genannten Themenfelder an einem Strang gezogen wird. Diese unausweichliche Redefinition von IT-Organisationen ist eine CIO-Aufgabe. Wer sie ignoriert, wird nicht in der Lage sein, viele der grundlegenden Herausforderungen für die IT erfolgreich zu lösen.