Ohne Identity keine Informationssicherheit

Oft müssen CIOs und IT-Verantwortliche regelrecht darum kämpfen, ein ausreichendes Budget für Identity und Access Management (IAM) zu bekommen. Doch auch wenn sich ein ROI nur schwer errechnen lässt, lohnt sich diese Investition in die eigene Sicherheit.

Viele IT-Verantwortliche in Unternehmen haben Mühe, ihre Budgetgebern von der Notwendigkeit oft teurer Investitionen in Identity und Access Management (IAM) zu überzeugen. Das überrascht insofern kaum, als es sich meist um Projekte der so genannten »IT-Infrastruktur« handelt, also um sehr grundlegende Dinge. Und es ist nun einmal schwer, dafür einen echten ROI zu rechnen, meistens jedenfalls. Doch gerade in Zeiten knapper Kassen wird eine solche Kapitalrendite immer häufiger »von oben« gefordert.

Also flüchtet man in »weiche« Argumente als Begründung für das Projekt. Sehr beliebt ist zum Beispiel das Thema »Compliance«. Tatsächlich ist das Einhalten regulatorischer Vorschriften und Regeln sehr, sehr wichtig. Nur sind Compliance-Anforderungen leider meistens ziemlich diffus, und auf die Frage, um welche Regulierung es geht, weiß man in der IT häufig keine richtige zwingende Antwort. Von der Gegenseite kommt oft so etwas wie: »SOX gilt für uns nicht!« Dass Compliance weit über SOX hinaus geht (oder besser, dass sie sehr viel früher beginnt) ist solchen Leuten leider nur sehr schwer zu vermitteln.

Es gibt nämlich auch Dinge wie das Bundesdatenschutzgesetz und die in der Öffentlichkeit zunehmend gestellte Frage danach, wer eigentlich Zugriff hat auf welche Daten und wie es sein kann, dass diese Daten schon wieder unberechtigt in die Öffentlichkeit gelangt sind. Auch die Wirtschaftsprüfer stellen beim Audit inzwischen immer häufiger die Compliance-Frage, etwa wenn es um unternehmensinterne Vorschriften und Vorgaben geht. »Compliance« bedeutet schließlich nichts anderes als das Einhalten von Regeln.

1. Ohne Identity keine Informationssicherheit
2. IAM ist in der IT kein Selbstzweck
3. Fazit: IAM zur Sicherung der Unternehmenswerte

Lesen Sie mehr zum Thema

Weitere Artikel zu Kuppinger Cole

Informationssicherheit

Kuppinger-Cole: Private Endgeräte in der Firma sind nicht zu kontrollieren

Lokales Kennwortmanagement - ein Sicherheitsrisiko

Single Sign On ja, aber richtig!

Gastkommentar

Swift-Abkommen vs Sicherheit

Gastbeitrag: Virtualisierung will wohlüberlegt…

Desktop-Virtualisierung - mehr als nur ein Hype?

Gastbeitrag: Welcher Identity Provider für was?

Es gibt mehr als nur die interne IT