Die Crux der Kostenrechnung

Die Kosten bilden bei Identitätsmanagement mehr noch als bei anderen IT-Projekten eine Hemmschwelle, ganz einfach weil Identitätsmanagement »als Bündel von organisatorischen, prozessorientierten und technischen Anforderungen betrachtet werden muss«, gibt Lars Weimer, Berater bei Ernst & Young, zu bedenken. Das heißt im Klartext, dass der weit größere Teil der Investitionskosten für Beratung aufgewendet werden muss. Überdies handelt es sich bei »Identitätsmanagement nicht um eine Einzelinvestition, sondern um eine Daueraufgabe, die per­manenter Überwachung und Anpassung bedarf«, ergänzt Armin Stephan, Vertriebsleiter von CA Deutschland. Unter Umständen ist es angesichts des Diktums ­»Daueraufgabe und stetige Anpassung« eine kostengünstige Lösung, die verschiedenen Aufgaben des Identitäts­managements ganz oder auch teilweise als gemieteten Service einzukaufen. Für Christian Pa­trascu, Principal Product Manager, Oracle Fusion Middleware, bietet sich »Identity as a Service« in vielen Fällen geradezu an. Umfragen bei den Herstellern haben einen durchschnittlichen Lizenzanteil an den Projektkosten von rund 30 Prozent ergeben, der Rest geht für Be­ratung drauf. »Wenn sich das Unternehmen schon sehr detailliert mit Identitätsmanagement beschäftigt hat, kann das Verhältnis aber auch genau umgekehrt sein«, sagt in diesem Zusammenhang Reto Bachmann, Solution Architect des Anbieters Quest Software. Das dürfte freilich in der Regel eine Milchmädchenrechnung sein, da die Einarbeitung in die Materie natürlich kostenmäßig erfasst werden muss, sodass sich am ­Gesamt­verhältnis Lizenz – Beratung/Einarbeitung nichts ändert. Für Peter Weierich liegen die reinen ­Lizenzkosten eines Projekts sogar meist unter 20 Prozent, im Übrigen sagt er bezüglich der absoluten Kosten salopp: »Die Kunden müssen mit über 100000 Euro rechnen, wollen aber unter 100000 Euro ausgeben.« Das ist doch immerhin eine Angabe in die richtige Richtung, wobei über die Höhe des Betrags »x« von Weierichs »100000 + x« trefflich spekuliert werden darf. Unter Umständen beträgt er ja auch ein Vielfaches von 100000 Euro. Während Anwendungen wie die Etablierung eines universellen Passworts (Single Sign On) oder die eigenständige automatische Passwort-Neuerzeugung bei Passwort-Verlust sich vergleichsweise einfach rechnen ließen, seien die Kosten für interne Kontrollsysteme, welche die Einhaltung ­gesetzlicher und innerbetrieblicher Richtlinien überprüfen, sehr viel schwerer in Euro und Cent anzugeben, erläutert Karl-Heinz Krüger, Produktmanager bei Beta Systems Software. Oft sind rein qualitative Angaben noch am seriösesten, wie die von Marina Walser, Director Identity & Security Management Central Europe von Novell: »Letztlich ist jeder Preis zu hoch, wenn kein Business Case dahinter steckt, und fast jeder Preis würde im Nachhinein akzeptiert, wenn Datenmissbrauch hätte verhindert werden können.« Eine sehr weise Aussage, die im Falle der Budgetierung natürlich nur sehr bedingt nützt und vor allem auch unter dem Aspekt betrachtet werden muss, dass Identitätsmanagement nicht nur auf technische, sondern auch auf erhebliche organisatorische und firmenkulturelle Probleme stoßen kann.