Von den Teilsegmenten des Identity Management-Markts ist 2009 sicherlich im Bereich der GRC-Plattformen (Governance Risk und Compliance) die größte Entwicklung zu erwarten. Das ist wenig überraschend, denn zum einen ist der Handlungsdruck der Unternehmen hier erheblich, zum anderen sind die aktuellen Lösungen noch relativ neu und unreif.
Generische GRC-Plattformen, die in flexibler Weise unterschiedliche Regulierungen und Governance-Anforderungen unterstützen, haben sich erst in den vergangenen zwei bis drei Jahren in großer Zahl entwickelt. Sie sind eine Antwort auf die Erkenntnis, dass spezifische Lösungen für einzelne Compliance-Anforderungen – wie SOX (Sarbanes-Oxley Act) – oder Systemumgebungen – wie SAP – limitiert sind. Bei einer steigenden Zahl von Regulierungen, die beachtet werden müssen, sind Einzellösungen schnell ineffizient. Und da sensitive Informationen eben nicht nur in einzelnen Systemen liegen, muss der Blick auch immer über den Tellerrand dieser Umgebungen hinaus gehen.
Die heute am Markt zu findenden GRC-Plattformen sind dabei typischerweise Lösungen, die man als IAM-GRC bezeichnen könnte: Sie fokussieren auf die Identity und Access Management-spezifischen Aspekte der Herausforderung Governance, Risk Management und Compliance, also insbesondere das Management von Autorisierungen und die Verhinderung von nicht zulässigen Kombinationen von Berechtigungen.
GRC hat aber auch andere Aspekte: Die Sammlung und Auswertung von Sicherheitsdaten (SIEM; Security Incident and Event Management) zählt ebenso dazu wie – zumindest in Teilbereichen – das ITSM/BSM (IT/Business Service Management) mit seinem Fokus beispielsweise auf die Verfügbarkeit von Geschäftsprozessen.
Auch innerhalb der IAM-GRC-Welt gibt es aber durchaus Einschränkungen. Es gibt derzeit keinen Anbieter, der mit seiner Plattform alle Bereiche des IAM-GRC vollständig abdeckt. Die sechs Kernbereiche sind:
- das (Business-) Rollenmanagement
- Auditing und Analyse
- die Attestierung
- die Unterstützung von Segregation of Duties-Regeln (SoDs)
- das Autorisierungsmanagement und
- das Risikomanagement.
Insbesondere das Autorisierungsmanagement als aktive Komponente und das Risikomanagement mit differenzierten Risikoregeln wird derzeit noch nicht von allzu vielen Anbietern unterstützt – oder als spezifische Lösung mit erheblichen Lücken in den anderen Bereichen von IAM-GRC angeboten.
In 2009 erwarten wir einerseits, dass die meisten Anbieter im Bereich IAM-GRC ihre Produkte funktional signifikant ausbauen werden, um die bestehenden Lücken zu schließen, aber auch die bereits vorhandene Funktionalität auszubauen. Wir werden aber, nach den ersten Ansätzen beispielsweise bei CA und Novell, auch mehr Anbieter sehen, die über das Thema IAM hinausgehen und beginnen, umfassendere GRC-Plattformen zu realisieren.
Dabei profitiert dieses Marktsegment auch davon, dass die meisten Anbieter im vergangenen Jahr hervorragende Geschäfte gemacht haben und zudem der Druck, GRC-Anforderungen auch auf der IT-Ebene zu adressieren, auch und gerade in der – nicht zuletzt durch Mängel beim Risiko-Management hervorgerufenen – Krise wächst.