Identity und Access Management richtig einführen

Viele Unternehmen machen laut Analysten wie z.B. Gartner beim Identity und Access Management (IAM) einen entscheidenden Fehler: sie fixieren sich auf die Technik, anstatt Identity und Access Management als Prozessthema zu begreifen, welches alle Unternehmensteile berühren wird.

Im Rahmen einer Befragung, welche Analysten bei verschiedenen Unternehmen im letzten Jahr durchgeführt haben, bezeichneten sie die Anstrengungen der meisten Unternehmen, welche diese im Rahmen des Identity und Access Management unternommen hatten, als „bemüht“. Doch die Floskel „bemüht“ bedeutet in der Regel nichts wirklich Gutes. Sie bedeutet, dass man nicht faul oder untätig war, aber dass das Ergebnis bei weitem nicht den zu erwartenden Vorstellungen entspricht. Immerhin wird das Thema nicht mehr ignoriert, aber die Analyse der Marktforscher zeigte ebenfalls, dass das Thema meist komplett falsch angegangen wird.

Hinzu kommt, dass der größte Teil der Unternehmen ihre Strategie für Identity und Access Management über ein Produkt definieren, welches Sie aus irgendwelches Gründen im Vorfeld ausgewählt haben, ohne sich zuvor im Detail mit den auch nicht-technischen Anforderungen zu beschäftigen. Dies bedeutet nicht, dass die Firmen sich nicht aufrichtig bemühen, ein effektives IAM ins Leben zu rufen, sondern es wird oft schlicht und einfach vergessen, die betroffenen Zielgruppen mit einzubinden.

Statt zielgerichtet bestimmte, definierte Geschäfts- oder IT-Prozesse abzubilden, werden technische Lösungen auf Basis der Möglichkeiten des eingesetzten Produkts eingeführt. Erschwerend kommt hinzu, dass das Thema immer komplexer wird, da mittlerweile zahlreiche Abhängigkeiten zum Risikomanagement, zu Compliance-Anforderungen und der Forderung nach mehr Transparenz vorhanden sind.

Derartige Themen sind nur mit der Unterstützung aller Mitarbeiter eines Unternehmens umzusetzen. Die Technik ist nur ein sehr kleiner Teil eines IAM-Programms. Verstehen und unterstützen die Mitarbeiter die Bemühungen nicht, werden diese automatisch zum Scheitern verurteilt sein. Ein IAM-Programm muss auf dem Fundament der Organisation aufgebaut werden, auf entsprechenden Vorgaben, eingeführten Prozessen und den Mitarbeitern.