IAM (Identity und Access Management) und GRC (Governance, Risk Management, Compliance) zählen zu den IT-Bereichen, in denen sich auch in einer Zeit von Kürzungen des IT-Budgets noch viel bewegt – aus gutem Grund.
Für IAM und GRC spricht, dass viele Unternehmen erkannt haben, dass man mit Risiken auf allen Ebenen des Unternehmens anders umgehen muss. IT-Risiken und hier insbesondere die Risiken durch nicht ausreichendes Management von Benutzern und Zugriffsberechtigungen gehören dazu. Und genau hier kommen IAM und GRC ins Spiel, ersteres für das operative Management und letzeres für eine Steuerung über Business-Richtlinien und -Rollen und für effiziente Kontroll- und Überprüfungsmechanismen.
Das gilt umso mehr, als sich in wirtschaftlich schwierigen Zeiten auch Partner-Ökosysteme von Unternehmen verändern und mehr im Bereich Merger & Acquisitions geschieht. Die IT muss damit neue Benutzergruppen einfach integrieren und ihnen gezielt Zugriff geben können, aber auch den Zugriff von Benutzergruppen schnell und zuverlässig einschränken zu können. Das geht ohne IAM nicht.
Natürlich ist ein weiterer Grund auch, dass Sicherheitsrisiken in Krisenzeiten steigen. Frustrierte Mitarbeiter und solche, die vor der Entlassung stehen, versuchen mit höherer Wahrscheinlichkeit, für sie wertvolle Informationen mitzunehmen – und die Zahl der Insider Attacks steigt. Auch hier braucht es wirksame Schutz- und Kontrollmechanismen, und IAM und GRC sind wesentliche Elemente dabei.
GRC selbst profitiert aber auch von einer zunehmenden Reife der Produkte und deren Fähigkeit, spezifische Herausforderungen wie die Attestierung schnell zu lösen. Man kann damit einen Quick Win demonstrieren. Allerdings darf man nicht unterschätzen, dass beispielsweise wirksame und effiziente Reaktionen auf erkannte Probleme dennoch IAM-Werkzeuge brauchen. Man sollte die Möglichkeiten von GRC-Tools daher nicht überschätzen, auch wenn sie ein wichtiges Element sind.
Und die Tatsache, dass Wirtschaftsprüfer vermehrt Fragen nach dem Management von Zugriffsberechtigungen stellen, ist natürlich auch ein nicht zu unterschätzender Treiber – ebenso, wie der Einstieg von SAP in diesen Markt diesen voranbringt. Denn damit werden neue Zielgruppen gerade im Mittelstand erreicht, die von SAP erstmals etwas über die Möglichkeiten von IAM und GRC erfahren.
Insgesamt reift aber doch mehr und mehr die Erkenntnis, dass IAM und GRC ein wesentlicher Teil eines wirksamen Fundaments für die IT sind und dass man deshalb dort investieren muss. Entsprechend sind auch die Aussagen von sehr vielen Herstellern positiv, sowohl zum vierten Quartal 2008 als auch nun zum ersten Quartal 2009.
Die Stabilität des Themas zeigt sich aber auch an der heute beginnenden European Identity Conference 2009 ( www.id-conf.com), die im Vergleich zum Vorjahr weiter gewachsen ist und bei der insbesondere der Anteil der Endanwender überproportional angestiegen ist. An den Themen IAM und GRC führt eben kein Weg vorbei.