KuppingerCole und Beta Systems analysieren in gemeinsamer Studie die organisatorischen Rahmenbedingungen für Identity Access Management und Governance in der Finanzindustrie

– Operationales Risikomanagement ist Kernthema für die Unternehmen der Finanzindustrie
– Thema Compliance wird in den Organisationen zwar diskutiert, die richtige Zuordnung oft noch nicht gefunden
– Verbesserungen bezüglich organisatorischer Strukturen, Prozesse und Richtlinien bei einem erheblichen Teil der Unternehmen der Finanzbranche noch erforderlich

Berlin, 26. September 2012 – Eine aktuelle Studie des europäischen Analystenunternehmens KuppingerCole in Zusammenarbeit mit der Berliner Beta Systems Software AG zeigt, welche organisatorischen Rahmenbedingungen das Thema Identity Access Management (IAM)1 und Identity Access Governance (IAG)2 in der Finanzindustrie derzeit bestimmen. IAM/IAG-Lösungsexperte Beta Systems gilt aufgrund seiner langjährigen Erfahrung und seines breiten Kundenstamms als Branchenkenner der Finanzindustrie. Laut Studie rücken IAM und IAG insbesondere durch den verschärften regulatorischen Druck wesentlich mehr als bisher ins Blickfeld der Unternehmen. Die meisten beschäftigen sich damit sehr viel intensiver als bisher, allerdings gibt es auch noch einige offene Baustellen. Hierzu zählen insbesondere die Einbindung von IAM und IAG in die Gesamtstrukturen für Governance, Risk Management und Compliance sowie die Schaffung geeigneter organisatorischer Strukturen für dieses Themenfeld.
Bei der Untersuchung der organisatorischen Rahmenbedingungen für IAM/IAG ist laut Studie zu berücksichtigen, dass Banken und Versicherungen beim Risikomanagement – trotz der gestiegenen Bedeutung von regulatorischen Anforderungen auch für das Zugriffsmanagement – noch andere, oft wesentlich kritischere Bereiche haben. Dies veranschaulicht Abbildung 1 zur Frage nach den priorisierten Bereichen im Risikomanagement.

Abb. 1: Die priorisierten Bereiche im Risikomanagement der Finanzindustrie

Hier steht das operationelle Risikomanagement klar an der Spitze. IAM/IAG ist in diesen Bereich einzuordnen, weil die Reduzierung von IT-Risiken durch IAM/IAG auf die operationalen Risiken wirkt. Sie sind jedoch nur ein Teil des Gesamtthemas.
Ein ganz anderes Bild zeigt sich beim Blick auf die Initiativen zum Risikomanagement innerhalb der IT. Hier hat IAM die mit Abstand größte Bedeutung. Auch Access Governance und Access Intelligence3 sind nicht unwichtig, werden aber von vielen Unternehmen als Teil der IAM-Initiative verstanden. Ansonsten verteilen sich die Antworten über unterschiedliche Themenfelder (Abbildung 2).

Abb. 2: Die wichtigsten IT-Risikoinitiativen

Ein sehr breit gefächertes Spektrum an Antworten ergibt die Frage nach den Stakeholdern für das Thema IAM/IAG. Deutlich wird, dass es typischerweise mehrere Stakeholder gibt. Zudem kommt das Thema immer mehr auf der Leitungsebene des Unternehmens an. Bei immerhin einem Drittel der Unternehmen ist der Gesamtvorstand ein Stakeholder, bei weiteren gut 20 % sind es Einzelvorstände. Auch die Konzernorganisation, die interne Revision und das Risk Management führen die befragten Unternehmen als häufig involviert an (Abbildung 3).

Abb. 3: Die Stakeholder für das Thema IAM/IAG

„Bei immerhin rund 28 % der befragten Unternehmen haben sich die Stakeholder in den vergangenen zwei Jahren verändert, wobei die Erfahrungswerte aus Advisory-Projekten zeigen, dass dabei regelmäßig die Business-Organisation ein höheres Gewicht bekommt“, erläutert Martin Kuppinger von KuppingerCole. „Die vergleichsweise hohe Veränderungsrate bei Stakeholdern zeigt, dass das Thema Compliance in den Organisationen diskutiert wird, die richtige Zuordnung aber oft noch nicht gefunden ist. Insgesamt ist IAM/IAG allerdings inzwischen generell auch ein Thema für die Business-Organisation und längst nicht mehr nur für die IT.“
Ein noch breiter gefächertes Bild zeigt sich bei den beteiligten Organisationseinheiten. Hier gibt es eine große Zahl von unterschiedlichen beteiligten Stellen in den Projekten. Die Verantwortlichkeiten sind über viele Stellen verteilt (Abbildung 4). In praktisch jedem Unternehmen sind auch mehrere Stellen involviert, was schon aus der Notwendigkeit des Zusammenspiels zwischen Fachbereichen und IT resultiert. Entsprechend nennen immerhin rund 85 % der befragten Unternehmen die Fachbereiche als beteiligte Organisationseinheiten.

Abb. 4: Beteiligte Organisationseinheiten beim Thema IAM/IAG

Bei der Frage danach, welche speziellen organisatorischen Einheiten es in den Unternehmen für IAM und IAG gibt, ergibt sich dagegen ein ernüchterndes Bild. Zwar besteht in einer großen Zahl von Unternehmen ein festes Team für IAM/IAG als organisatorische Einheit. Funktionen wie ein Governance Board oder eine unabhängige Prüfstelle, die sich in der Linienfunktion um Richtlinien, SoD-Regeln (Seggregation of Duties) oder die Festlegung von kompensatorischen Kontrollen kümmern, fehlen dagegen fast überall.

Abb. 5: Spezielle organisatorische Einheiten für IAM/IAG

Das zeigt, dass der organisatorische Status für IAM/IAG in sehr vielen Fällen noch nicht auf dem eigentlich erforderlichen Niveau ist. Viele Unternehmen haben keine speziellen Richtlinien für IAM/IAG, SoDs oder die Rezertifizierung, sondern viel zu unspezifische IT-Sicherheitsrichtlinien.
Die gesamte Studie mit weiteren Ergebnissen und Informationen zur Methodik der Studie steht im Internet zum freien Download zur Verfügung unter: http://www.betasystems.com/kuppingercole2012

Anmerkungen:
1)IAM steht für Identity und Access Management und bezeichnet die Technologien, mit denen die Identitäten von Benutzern und ihre Zugriffsberechtigungen verwaltet werden.
2)Identity und Access Governance (IAG) betrachtet die Governance um Identitäten (beispielsweise verwaiste Konten von Benutzern, die längst nicht mehr im Unternehmen sind) und Zugriffsberechtigungen. Hier geht es darum sicherzustellen, dass Benutzer minimale oder angemessene Berechtigungen haben, aber eben keine Berechtigungen über das hinaus, was sie sinnvollerweise in ihrer Arbeit benötigen. Die Analyse von Zugriffsberechtigungen und die regelmäßige Rezertifizierung durch manuelle Prüfprozesse sind wesentliche Funktionen der Identity und Access Governance.
3)Bei Identity und Access Intelligence geht es um analytische Funktionen, bei denen vermehrt Technologien aus dem Bereich Business Intelligence/Data Warehouse zum Einsatz kommen, um Berechtigungen analysieren und beispielsweise spezifische Risiken erkennen zu können. Im Gegensatz zu IAG werden dabei vermehrt nicht nur statische Berechtigungszuweisungen, sondern auch die aktive Nutzung von Berechtigungen einbezogen.

Beta Systems Software AG
Die Beta Systems Software AG (General Standard: BSS, ISIN DE0005224406) bietet hochwertige Softwareprodukte und -lösungen im Bereich Sicherheit und Nachvollziehbarkeit in der IT und zur automatisierten Verarbeitung größter Daten- und Dokumentenmengen. In den Geschäftsbereichen „Data Center Automation & Audit“, „Identity & Access Governance“ und „Document Processing & Audit“ unterstützt das Unternehmen Kunden aus den Bereichen Finanzdienstleistungen, Industrie, Handel, Logistik und IT-Dienstleistungen bei der Optimierung der IT-Sicherheit, der Automatisierung von Geschäftsprozessen sowie mit einem umfassenden Produkt-, Lösungs- und Beratungsangebot im Bereich „GRC – Governance, Risk & Compliance“ bei der Erfüllung von gesetzlichen und geschäftlichen Anforderungen.

Beta Systems wurde 1983 gegründet, ist seit 1997 börsennotiert und beschäftigt rund 270 Mitarbeiter. Sitz des Unternehmens ist Berlin. Beta Systems ist national und international mit 14 eigenen Konzerngesellschaften und zahlreichen Partnerunternehmen aktiv. Weltweit optimieren mehr als 1.300 Kunden in über 3.200 laufenden Installationen in über 30 Ländern ihre Prozesse und verbessern ihre Sicherheit mit Produkten und Lösungen von Beta Systems. Das Unternehmen gehört zu den führenden mittelständischen und unabhängigen Softwarelösungsanbietern in Europa und erwirtschaftet rund 50 Prozent seines Umsatzes international.

Kontakt:
Beta Systems Software AG
Dirk Nettersheim
Alt-Moabit 90d
10559 Berlin
+49 (0)30-726118-0
dirk.nettersheim@betasystems.com
http://www.betasystems.de

Pressekontakt:
HBI Helga Bailey PR&MarCom GmbH
Alexandra Janetzko
Stefan-George-Ring 2
81929 München
+49 (0)89 99 38 87-32
alexandra_janetzko@hbi.de
http://www.hbi.de