Studie zum Einsatz von Identity Management-Systemen
Account-Leichen stellen Sicherheitsrisiko dar
Fast 90 Prozent der von Deron Consulting in Zusammenarbeit mit den Hochschulen Ulm und Ansbach befragten Unternehmen, die Identity Management-Systeme (IdM) nutzen, sind damit auch zufrieden. Nur vier Prozent der Firmen erachten IdM als „nicht notwendig“. Doch was die Sicherheit angeht, besteht noch Handlungsbedarf. Nur 30 Prozent der Unternehmen können die Existenz von Benutzerleichen, ausschließen. Über solche nicht mehr aktiven Accounts, die zum Beispiel beim Ausscheiden von Mitarbeitern entstehen, können sensible Unternehmensdaten missbraucht werden.
5500 Unternehmen als Zahlenbasis
Die Studie „Identity Management 2008/2009 - Security & Compliance“ soll Entscheider bei Investitionen im Bereich der Benutzerverwaltung unterstützen und die Bedeutung von IdM-Systemen aufzeigen. Gleichzeitig soll die Untersuchung sicherheitsrelevante Lücken aufdecken, beispielsweise im Umgang mit Benutzerleichen. Grundlage der Studie stellt die Befragung von 5500 Unternehmen aus allen Branchen und vorwiegend mit 1000 bis 4999 Beschäftigten dar. Mit circa 4500 befragten Unternehmen kam der Großteil der Teilnehmer aus Deutschland. Daneben wurden aber auch je 500 Firmen aus der Schweiz und aus Österreich einbezogen.
IdM-Systeme positiv für Benutzerverwaltung
Rund ein Drittel der Studienteilnehmer hatte bereits Erfahrung mit IdM-Systemen gesammelt. Dass IdM-Projekte zumeist positiv verlaufen, spiegelt sich in der Zufriedenheit der Befragten wider: 89 Prozent der Unternehmen, die IdM einsetzen, sind auch mit ihrer Benutzerverwaltung zufrieden. Hingegen ist von den Unternehmen ohne IdM nur jedes zweite mit der eigenen Verwaltung der Anwender zufrieden. Nicht jedes Unternehmen schöpft alle Funktionen des jeweils installierten Systems aus. Vielmehr sucht sich jedes Unternehmen genau die Funktionen aus, die seinen speziellen Bedürfnissen entsprechen.
Benutzerleichen werden zur Gefahr
In der Untersuchung zeigten sich aber auch die Lücken bestehender IdM-Projekte: 70 Prozent der Firmen, die IdM-Systeme einsetzen, können das Bestehen veralteter Zugriffsrechte - sogenannter Benutzerleichen - nicht mit Sicherheit ausschließen. „Viele Unternehmen haben zwar Mechanismen, mit denen nicht mehr benötigte Accounts gelöscht werden. Doch dazu muss das System den Account erst einmal kennen.“, erklärt hierzu Dipl.-Ing. Klaus Scherrbacher, Geschäftsführer von Deron. Die meisten Unternehmen stünden beim Anlegen von Accounts ab und zu unvorhergesehenen Einzelfällen gegenüber. „In dieser Situation vergessen sie die Einhaltung der IT-Geschäftsprozesse und legen einen Bypass - schon ist ein Account entstanden, den das IDM-System im Bedarfsfall nicht findet und somit auch nicht löscht. Sein Missbrauch ist dann nur noch eine Frage der Zeit.“ Ein wirklich sicheres IdM-System sei nur durch lückenlose und mit Weitsicht definierte IT-Geschäftsprozesse zu gewährleisten, so die Berater. Doch gerade in dieser Disziplin sind die Unternehmen offenbar noch nicht sattelfest: Laut Studie ist die Definition der Prozesse für das Gros der befragten IdM-Nutzer (74 Prozent) die große Herausforderung bei der Einführung eines IdM-Systems.
- Dauer der Identity Management Einführung
Nahezu 70 Prozent der IdM-Projekte werden innerhalb von zwei Jahren abgeschlossen. - Zufriedenheit mit den Projekten
Die Zufriedenheit mit den Identity-Management-Projekten ist laut Untersuchung sehr groß. - Beurteilung der Benutzerverwaltung
Unternehmen mit einem IdM-System äußern sich weitaus positiver über ihre Benutzerverwaltung als die ohne. - Anpassung der Prozessen
Die größte Herausforderung bei der Einführung eines IDM-Tools ist die Anpassung der Geschäftprozesse.
Wer sich für den derzeitigen Stand des IdM in Unternehmen interessiert, kann auf der Web-Seite von Deron Consulting einen kostenlosen Auszug oder die Vollversion (395 Euro) der Studie "Identity Management 2008/2009 - Security & Compliance" anfordern. (cm)