Studie „Identity und Access Management“

Zukunftssicheres IAM: Noch gibt es viel zu tun

02.10.2017
Von 
Jürgen Mauerer ist Journalist und betreibt ein Redaktionsbüro in München.

IAM: Deutsche Unternehmen haben Nachholbedarf

Doch die meisten deutschen Unternehmen sind noch nicht ausreichend auf die neuen IAM-Anforderungen vorbereitet. Das bestätigt die IAM-Studie von Computerwoche und CIO eindrucksvoll. Derzeit setzen nur rund 38 Prozent der befragten Firmen eine Software-Lösung für Identity- und Access-Management (IAM) ein. Vorreiter sind die großen Unternehmen mit einem Wert von 64 Prozent, gefolgt von den mittleren Firmen mit 39 Prozent. Nur 14 Prozent der kleinen Unternehmen nutzen eine IAM-Software. Entsprechend lehnen auch 57 Prozent der Firmen mit bis zu 100 Mitarbeitern den Einsatz einer entsprechenden Lösung derzeit noch ab.

Mit einem arithmetischen Mittel von 5,95 ist beim IAM-Reifegrad noch Luft nach oben.
Mit einem arithmetischen Mittel von 5,95 ist beim IAM-Reifegrad noch Luft nach oben.

Immerhin 31 Prozent der Firmen planen den Einsatz einer IAM-Software. Hier müssen die deutschen Unternehmen also nachziehen. Interessant ist ein Blick auf die unterschiedliche Bewertung in den Fachbereichen der Unternehmen. Während die Hälfte der CIOs und der IT-Leiter den Einsatz einer IAM-Lösung bejahen, sind es bei den Geschäftsführern nur 22 Prozent.

Lösungen für SSO, MDM und SIEM sind Mangelware

Ein ähnliches Bild ergibt sich bei Lösungen, die zukunftstaugliches IAM unterstützen und die Sicherheit erhöhen: Single-Sign-On (SSO), Mobile Device Management (MDM) oder Security Information und Event Management (SIEM). Diese sind nur in rund einem Drittel der Unternehmen zu finden.

Etwa 37 Prozent der befragten Firmen setzen eine SSO-Lösung für die einfachere Anmeldung bei ihren Systemen ein. Die Nase vorn haben hier die großen Firmen mit 53 Prozent, während nur 18 Prozent der kleinen Unternehmen SSO nutzen. Absolute SSO-Vorreiter mit 63 Prozent sind hier die Unternehmen, die bereits ein software-gestütztes IAM installiert haben.

Analog gilt das für MDM-Lösungen zur sicheren und zentralen Verwaltung von mobilen Geräten wie Smartphones und Tablets. Während in der Gesamtheit nur 37 Prozent der Unternehmen auf MDM setzen, sind es bei den Firmen mit installiertem IAM 61 Prozent. Auch bei MDM steigt der Reifegrad mit der Unternehmensgröße an. Nur 14 Prozent der kleineren Firmen besitzen eine MDM-Lösung; der Wert klettert bei den Unternehmen mittlerer Größe auf 44 Prozent bis hin zu 53 Prozent bei den großen Firmen ab 1.000 Mitarbeitern.

Wenig überraschend ist dies auch bei SIEM-Lösung der Fall, also beim software-gestütztes Sicherheitsinformations- und Ereignismanagement in Echtzeit. Im Schnitt setzen 30 Prozent der Firmen eine SIEM-Lösung ein, unterteilt in 14 Prozent kleine Unternehmen, 37 Prozent mittlere und 40 Prozent große Unternehmen mit einem hohen IT-Etat. Auch hier stehen die Firmen mit software-gestütztem IAM an der Spitze (60 Prozent).

Lücken bei der Multi-Faktor-Authentifizierung

Zudem sollten die deutschen Unternehmen endlich die letzten Lücken bei der Multi-Faktor-Authentifizierung schließen. Denn etwas mehr als ein Fünftel der Firmen (21 Prozent) sichert ihre Zugänge zum Netzwerk derzeit NICHT über eine Multi-Faktor-Authentifizierung mit Token (Hardware, Software oder Push) ab. Aber immerhin elf Prozent davon planen bereits die Implementierung. Überdurchschnittlich hoch ist hier der Anteil kleiner Unternehmen.

69 Prozent der befragten Firmen nutzen die Multi-Faktor-Authentifizierung (MFA) für die eigenen Mitarbeiter. Auffällig sind die hohen Werte bei den Geschäftsführern (83 Prozent) und den Unternehmen mittlerer Größe zwischen 100 und 999 Mitarbeitern (76 Prozent). In 27 Prozent der Unternehmen müssen sich Geschäftspartner, Dienstleister und Zulieferer auf mehreren Wegen authentifizieren. Für ihre Kunden in Portalen oder eigenen Cloud-Anwendungen (SaaS) setzen 14 Prozent der Firmen auf die Multifaktor-Authentifizierung. Smartphone (45 Prozent) und Smartcard (44 Prozent) werden am häufigsten für die MFA genutzt, gefolgt von USB (37 Prozent), SIM-Karte (30 Prozent), Biometrie (23 Prozent) und MicroSD (18 Prozent).

Passwort bleibt wichtigste Authentifizierungs-Methode

Nichtsdestotrotz ist und bleibt das gute, alte Passwort weiterhin die wichtigste Methode der Authentifizierung. 62 Prozent der Unternehmen nutzen das Passwort zur Authentifizierung, in fünf Jahren soll das Passwort in 53 Prozent der Firmen zum Einsatz kommen. Den zweiten Platz nimmt die PIN ein mit 39 Prozent (jetzt) und 40 Prozent (in fünf Jahren). Aktuell liegt die E-Mail mit 35 Prozent auf dem Bronze-Platz; in fünf Jahren (34 Prozent) wird sie jedoch vom Fingerabdruck auf den vierten Platz verdrängt. Die Bedeutung des Fingerabdrucks steigt von jetzt 19 Prozent (aktuell Platz sechs) auf 37 Prozent in fünf Jahren.

Weitere wichtige Methoden sind die Sicherheitsfrage (28 Prozent jetzt, 32 Prozent in fünf Jahren) sowie Chipkarte/Magnetstreifenkarte/RFID-Karte (21 Prozent jetzt, 28 Prozent in fünf Jahren). Biometrische Merkmale wie Gesichtserkennung, Stimmerkennung sowie Iriserkennung oder Retinamerkmale (Augenhintergrund) werden als Authentifizierungs-Methoden in den nächsten fünf Jahren weiter an Bedeutung gewinnen.

Klare definierte Rollen der Mitarbeiter = Basis für effizientes IAM

Ein Punkt gibt aber Hoffnung. Mehr als zwei Drittel der Unternehmen haben die Rolle eines Mitarbeiters so genau definiert, dass sich daraus alle Zugänge oder Zugriffsberechtigungen für IAM eindeutig ableiten lassen. Konkret haben 69 Prozent der Unternehmen durch die genaue Definition der Rollen der Mitarbeiter bereits die Basis für effizientes IAM geschaffen.

Interessant ist auch hier ein Blick auf die Unternehmensgrößen. Die Unterschiede sind im Vergleich zu anderen Themen relativ gering: Immerhin 63 Prozent der kleinen Firmen haben die Rollen der einzelnen Mitarbeiter genau definiert, bei den mittleren sind es 74 Prozent, bei den großen Unternehmen 73 Prozent. Vorreiter sind logischerweise die Firmen mit software-gestütztem IAM (82 Prozent).

29 Prozent der Unternehmen müssen die Rollen ihrer Mitarbeiter noch genau definieren, um alle Zugriffsberechtigungen eindeutig ableiten zu können. Die rollenbasierte Administration (Role Based Access Control, RBAC) stellt grundsätzlich das wichtigste Administrationskonzept im IAM von Unternehmen dar. 56 Prozent der Firmen setzen auf diesen modernen Ansatz.

Studien-Steckbrief

Die Studie Identity & Access Management 2017 steht im Studien-Shop bereit.
Die Studie Identity & Access Management 2017 steht im Studien-Shop bereit.

Die Studie Identity Access Management basiert auf einer Online-Befragung in der DACH-Region, in deren Rahmen im Zeitraum vom 11. bis 21. Juli 2017 insgesamt 385 abgeschlossene und qualifizierte Interviews durchgeführt wurden. Grundgesamtheit sind strategische (IT-)Entscheider der obersten Führungsebene und der Fachbereiche, IT-Entscheider und IT-Security-Spezialisten aus dem IT-Bereich.

Link zum Studien-Shop: https://shop.computerwoche.de/portal/studie-identity-access-management-2017-pdf-download-direkt-im-shop-7888