Vorsicht in der Planungsphase

In zwölf Schritten zu modernem IAM

20.03.2013
Von 


Martin Kuppinger ist Gründer des Analystenunternehmens KuppingerCole und als Prinzipal Analyst verantwortlich für den Bereich KuppingerCole Research. In seiner 25 jährigen IT-Erfahrung hat er mehr als 50 IT-Bücher geschrieben. Er ist Referent und Moderator bei Kongressen.

IAM - Alle Bereiche sind betroffen

  • IAM ist ein klassisches Querschnittsthema. Es betrifft alle Systemumgebungen. Es betrifft IT-Sicherheit ebenso wie Anwendungsentwicklung. Es betrifft aber auch das Business, das letztlich weiß, wer welche Berechtigungen haben sollte. Deshalb müssen alle Parteien rechtzeitig ins Boot geholt werden;

  • Viele Unternehmen, die früh gestartet sind, haben heute ein Identity-Provisioning-System, das oft nicht mehr ausreicht oder vom Hersteller nicht recht weiterentwickelt wurde. Flexible IAM-Architekturen sind daher ein Muss, um die Abhängigkeiten von Herstellern zu reduzieren. Nur so kann das Thema mit bestehenden IT-Systemen wie den Service-Request-Management- und Service-Desk-Lösungen integriert werden und auch weiterhin anpassbar bleiben;

  • IAM ist keine eigenständige Technologie. Die Fachbereiche sollen darüber steuern können, wer was tun darf. Sie sollen in der Lage sein, neue Benutzergruppen aufzunehmen. Deshalb muss das, was "herauskommt", so einfach sein, dass es für die Endanwender funktioniert;

  • Ohne die richtigen Organisationsstrukturen, Regelwerke, Richtlinien und Prozesse wird IAM nicht funktionieren. Diese müssen frühzeitig definiert und umgesetzt werden. Die Identifikation von Verantwortlichkeiten in der Business-Organisation ist dabei oft die komplexeste Herausforderung - die viel einfacher wird, wenn man den Wert für das Business erläutern kann und klare, einfache Regeln und Prozesse vorbereitet hat;

  • Bei IAM geht es in hohem Maße um die Nachvollziehbarkeit von Zugriffsrechten. Access Governance bietet hier viele Funktionen. Es geht heute aber auch darum, es als Teil der gesamten GRC-Infrastruktur (Governance, Risk Management, Compliance) des Unternehmens zu verstehen und richtig einzubinden;

  • Komplexe Projekte verlangen ein gutes Projektmanagement. Ihre besten Projektmanager sind dafür gerade gut genug. Schließlich müssen viele Personen an einem Strang ziehen, um Schritt für Schritt Teilprojekte umzusetzen, die sich zu einem großen Ganzen zusammenfügen;

  • Schließlich sollte ein Unternehmen nicht den typischen Fehler machen und mit Produkten beginnen. Erst müssen die genauen Anforderungen in jedem einzelnen Teilprojekt bekannt sein - sowohl von Technik als auch Business. Danach lassen sich die richtigen Produkte auswählen. Andersherum geht es meistens schief. (sh)