Der Bereich Governance, Risk Management und Compliance (GRC) ist sowohl durch wachsende Sicherheitsrisiken als auch steigende interne und externe Prüferanforderungen zu einem Kernthema der IT geworden. Dabei spielen Lösungen für die Attestierung und Steuerung von Berechtigungen, die sogenannte Access Governance, eine wichtige Rolle.
Die Produktkategorie „Access Governance“ ist erst in den vergangenen fünf Jahren entstanden. Die Produkte unterstützen einige typische Kernfunktionen. Während das Marketing in der Frühphase stärker auf die rollenbasierte Steuerung von Berechtigungen abgezielt hat, war zwischenzeitlich die Attestierung und Rezertifizierung die wichtigste Teilfunktion.
Inzwischen setzt sich aber die Einsicht durch, dass diese Dinge untrennbar zusammen gehören. Man muss einerseits den Ist-Status mit dem Soll vergleichen können. Dazu muss man aber dieses Soll auch in effizienter Weise definieren und in ein Ist umsetzen können – und ebenso Abweichungen zwischen Soll und Ist korrigieren können.
Auch wenn der Einstieg in viele Projekte heute über die (oftmals initiale) Attestierung und Bereinigung von bestehenden Zugriffsberechtigungen erfolgt, steht beim Gesamtansatz doch etwas anderes im Mittelpunkt: Die Definition von Rollen und Richtlinien für die Steuerung des Zugriffsmanagements.
Das ist in erster Linie ein organisatorischer Prozess, dessen Aufwand nicht unterschätzt werden darf. Allerdings gibt es bei den Beratern und Integratoren inzwischen umfassende Erfahrungen, so dass dieser Teilbereich inzwischen gut beherrscht wird.
Diese Steuerungsmöglichkeit ist die Basis für die nachvollziehbare und gleichermaßen effiziente Vergabe von Zugriffsberechtigungen über die unterschiedlichen Anwendungen hinweg. Wesentliche Fortschritte gibt es dabei vor allem bei der Anbindung von Zielsystemen.
Die gängigen Access Governance-Produkte unterstützen zwischenzeitlich nicht nur Schnittstellen zu Provisioning-Systemen und Standards wie SPML (Service Provisioning Markup Language), sondern auch die Integration mit Service Desk-Systemen oder werden teilweise sogar mit eigenen Provisioning-Funktionen geliefert. Damit wird auch die Implementierung dieser Lösungen deutlich einfacher.
Gleichzeitig haben die Hersteller auch viel von den Wirtschaftsprüfern und den Endkunden gelernt, was die effiziente Umsetzung sowohl von steuernden als auch kontrollierenden Prozessen betrifft. Hier merkt man inzwischen deutlich, dass die Kundenzahl stark gestiegen ist und damit immer mehr Erfahrungen aus Umsetzungsprojekten in die Produktentwicklung einfließen.
Interessant ist aber, dass der Markt immer noch relativ stark von vergleichsweise kleinen Unternehmen geprägt ist. Anbieter wie Aveksa, BHOLD, Engiweb Security oder Sailpoint sind in der Mehrzahl typische Startups. Zwar bieten auch Provisioning-Anbieter solche Lösungen an, teils als OEM-Produkte wie im Fall von Novell, teils nach Akquisitionen wie Oracle und erweitern zudem ihre eigenen Produkte um immer mehr Access Governance-Funktionalität, wie beispielsweise Courion, Quest/Völcker oder Novell beim eigenen Identity Manager. Die Spezialisten sind aber eben noch wirkliche Spezialanbieter, die sich genau auf dieses Themenfeld fokussiert haben.
Entsprechend spricht auch einiges dafür, dass es in diesem Bereich noch zu Übernahmen kommen wird. Denn Access Governance ist heute eine Kernfunktion, die an der Schnittstelle zwischen GRC und IAM (Identity und Access Management) steht und faktisch eine steuernde Schicht oberhalb von (oder integriert in) Provisioning-Produkten.
Anwenderunternehmen sollten sich heute mit diesem Bereich beschäftigen. Access Governance ist ein Baustein in GRC-Architekturen, der auch in Zukunft unverzichtbar sein wird. Wie man das umsetzt, hängt von den bestehenden IAM-Infrastrukturen und den spezifischen GRC-Anforderungen ab. Dass man etwas tun muss, um die Zugriffsberechtigungen steuern und kontrollieren zu können, steht dagegen außer Frage – und deshalb braucht es Access Governance-Lösungen.