Anwendungen – Apps, Studien

Treiber von Identity Access Management und Governance in der Finanzindustrie

Treiber von Identity Access Management und Governance in der Finanzindustrie

Aktuelle Studie von KuppingerCole und Beta Systems + KWG und MaRisk sind die mit Abstand größten Treiber für das Thema IAM/IAG in Unternehmen der Finanzindustrie + Mehr als 60 % der Unternehmen hatten in den vergangenen 24 Monaten Kontrollverletzungen + Druck durch regulatorische Anforderungen nimmt in den Unternehmen der Finanzindustrie stark zu

Identity Access Management (IAM) [1] und Identity Access Governance (IAG) [2] gehören zu den Schlüsselfaktoren für die Erfüllung regulatorischer Anforderungen und die Agilität in Geschäftsprozessen in der Finanzbranche. Dies ergibt eine aktuelle Studie des europäischen Analystenunternehmens KuppingerCole in Zusammenarbeit mit der Berliner Beta Systems Software AG, die als IAM/IAG-Lösungsexperte über langjährige Erfahrung und einem breiten Kundenstamm in der Finanzindustrie verfügt. Die zentrale Bedeutung von IAM und IAG in der Finanzindustrie ist insbesondere auf die gestiegenen regulatorischen Anforderungen zurückzuführen. Dabei werden das Risikomanagement und innerhalb des Risikomanagements die Kontrolle von Zugriffsberechtigungen immer wichtiger.

Einen wesentlichen Bestandteil der Studie bildet der Fragenkomplex zu den wichtigsten Treibern für Investitionen in IAM und IAG - mit klaren Ergebnissen. Mehr als 88 % der Unternehmen nennen hier die regulatorische Compliance (Abbildung 1) als wesentlichen Grund für die Popularität des Themas IAM/IAG in der Finanzindustrie. Auch die weiteren Treiber wie interne IT-Sicherheit, administrative Verbesserungen und interne Governance-Anforderungen bewerten die Befragten hoch.



Treiber für Investitionen in IAM/IAG

Die Frage, ob in den Unternehmen in den vergangenen 24 Monaten Kontrollverletzungen festgestellt wurden, bejahen immerhin 62 % der befragten Unternehmen (Abbildung 2). Da viele Unternehmen auf diese Frage jedoch keine Auskunft geben wollten, ist davon auszugehen, dass die Werte in der Praxis noch höher liegen, bezieht man auch die Bewertungen von Abschlussprüfern in diesem Bereich mit ein.



Kontrollverletzungen sind die Regel in der Finanzindustrie

Entsprechend führen auch 84 % der Unternehmen an, dass sich der Druck durch regulatorische Anforderungen in den vergangenen 24 Monaten stark erhöht bzw. erhöht hat (Abbildung 3). Gerade einmal knapp 16 % sehen einen gleichbleibenden oder sinkenden Druck.

Initiates file download
Der veränderte Compliance-Druck

„Dieser gestiegene Druck wird auch gerade im Kontext der noch fehlenden Funktionen insbesondere in den Bereichen IAG, SIEM (Security Information and Event Management), PxM (Privileged Access, Account, Identity, User Management) und Integration mit Enterprise GRC-Ansätzen zu signifikanten Investitionen in IAM/IAG in der Finanzindustrie führen. Denn die regulatorischen Anforderungen lassen sich nicht ausschließlich auf der Ebene von Prozessen adressieren“, kommentiert Martin Kuppinger von KuppingerCole. „Vor dem Hintergrund der  massiv steigenden Aufwände für Unternehmen wird IAM/IAG auch als Mittel verstanden, um diese Steigerungen zu begrenzen und die Anforderungen in effektiver Weise adressieren zu können.“

Bei den Regulierungen nennen die Befragten die MaRisk (Mindestanforderung an das Risikomanagement) mit Abstand am häufigsten (Abbildung 4), womit das Thema Risikomanagement die Unternehmen am stärksten beschäftigt. Als weitere wichtige Treiber mit jeweils gut einem Drittel an Nennungen führen die Unternehmen das KWG (Kreditwesengesetz - als das Gesetz, auf dem die MaRisk resultiert) und ISO 2700x an, gefolgt vom BDSG (Bundesdatenschutzgesetz).



Die relevanten Regulierungen

Eine etwas andere Sichtweise auf die Treiber ermittelt die Studie in einer weiteren Frage. Dabei geht es stärker um die operativen Auswirkungen auf Endbenutzer und Fachbereiche, aber auch die Effektivität innerhalb von IT-Abteilungen (Abbildung 5).
Weitere Treiber für das IAM und IAG

Auch hier sehen über 80 % der Unternehmen die vergrößerte Transparenz über Berechtigungsstrukturen als wichtigsten Treiber. Die Einbindung der Fachabteilung in das Berechtigungsmanagement wird von der Hälfte ebenfalls als wesentlicher Treiber genannt. Das passt zur Logik von IAG, weil das Rollenmanagement und die Rezertifizierung eine solche Einbindung auch erfordern. Self Services von Endanwendern sind von geringer Relevanz. Dies belegt, dass viele Unternehmen immer noch mit dedizierten Ansprechpartnern für die Anforderung von Berechtigungen in Fachabteilungen arbeiten. Die Einbindung von Geschäftspartnern hat für die befragten Unternehmen nur einen geringen Stellenwert.

Wie wichtig eine einfache Transparenz über die Berechtigungsstrukturen ist, zeigt sich auch als Resultat der Frage nach den Audit-Aufwänden in Unternehmen. Hier kommt die Studie zu mehreren wichtigen Feststellungen:

  • Der Audit-Aufwand ist in den Unternehmen gestiegen.
  • Fast alle Unternehmen haben einen signifikanten Anteil an manuellem Aufwand für die Erfüllung von Audit-Anforderungen.
  • Nur knapp ein Viertel rechnet damit, dass die manuellen Aufwände reduziert werden können, knapp die Hälfte erwartet einen weiteren Anstieg.
  • Fast 60 % der Unternehmen erwartet steigende oder stark steigende IT-Kosten durch die Compliance.
  • Kein Unternehmen rechnet mit Reduktionen der IT-Kosten durch Compliance-Maßnahmen.


„Die letzten beiden Punkte wirken dabei im Hinblick auf die Maßnahmen im Bereich IAM/IAG ernüchternd. Allerdings muss man dabei die Entwicklung im Bereich von relevanten regulatorischen Vorgaben ins Verhältnis zu den Kosten unterschiedlicher Lösungsansätze setzen“, erläutert Martin Kuppinger. „Dabei veranschaulichen die ersten der genannten Punkte, dass der manuelle Aufwand ein erhebliches Problem für die Unternehmen ist. Entsprechend helfen IAM/IAG dabei, bessere Ergebnisse zu beherrschbaren Kosten zu liefern. Ohne diese Lösungen wäre eine Erfüllung der regulatorischen Anforderungen mit angemessenem Aufwand nicht möglich.“

Die Ergebnisse der Studie zeigen klar, dass IAM und IAG richtig gemacht werden müssen. Die Frage danach, welche Produkte in welcher Kombination eingesetzt werden, ist dabei genauso von Bedeutung wie die Schaffung der erforderlichen organisatorischen Strukturen und Prozesse.

Die gesamte Studie mit weiteren Ergebnissen und Informationen zur Methodik der Studie steht im Internet zum freien Download zur Verfügung unter: http://www.betasystems.com/kuppingercole2012


Anmerkungen:

1) IAM steht für Identity und Access Management und bezeichnet die Technologien, mit denen die Identitäten von Benutzern und ihre Zugriffsberechtigungen verwaltet werden.

2) Identity und Access Governance (IAG) betrachtet die Governance um Identitäten (beispielsweise verwaiste Konten von Benutzern, die längst nicht mehr im Unternehmen sind) und Zugriffsberechtigungen. Hier geht es darum sicherzustellen, dass Benutzer minimale oder angemessene Berechtigungen haben, aber eben keine Berechtigungen über das hinaus, was sie sinnvollerweise in ihrer Arbeit benötigen. Die Analyse von Zugriffsberechtigungen und die regelmäßige Rezertifizierung durch manuelle Prüfprozesse sind wesentliche Funktionen der Identity und Access Governance.