– KWG und MaRisk sind die mit Abstand größten Treiber für das Thema IAM/IAG in Unternehmen der Finanzindustrie
– Mehr als 60 % der Unternehmen hatten in den vergangenen 24 Monaten Kontrollverletzungen
– Druck durch regulatorische Anforderungen nimmt in den Unternehmen der Finanzindustrie stark zu
Berlin, 30. August 2012 – Identity Access Management (IAM)1 und Identity Access Governance (IAG)2 gehören zu den Schlüsselfaktoren für die Erfüllung regulatorischer Anforderungen und die Agilität in Geschäftsprozessen in der Finanzbranche. Dies ergibt eine aktuelle Studie des europäischen Analystenunternehmens KuppingerCole in Zusammenarbeit mit der Berliner Beta Systems Software AG, die als IAM/IAG-Lösungsexperte über langjährige Erfahrung und einem breiten Kundenstamm in der Finanzindustrie verfügt. Die zentrale Bedeutung von IAM und IAG in der Finanzindustrie ist insbesondere auf die gestiegenen regulatorischen Anforderungen zurückzuführen. Dabei werden das Risikomanagement und innerhalb des Risikomanagements die Kontrolle von Zugriffsberechtigungen immer wichtiger.
Einen wesentlichen Bestandteil der Studie bildet der Fragenkomplex zu den wichtigsten Treibern für Investitionen in IAM und IAG – mit klaren Ergebnissen. Mehr als 88 % der Unternehmen nennen hier die regulatorische Compliance (Abbildung 1) als wesentlichen Grund für die Popularität des Themas IAM/IAG in der Finanzindustrie. Auch die weiteren Treiber wie interne IT-Sicherheit, administrative Verbesserungen und interne Governance-Anforderungen bewerten die Befragten hoch.
Abb. 1: Treiber für Investitionen in IAM/IAG
Die Frage, ob in den Unternehmen in den vergangenen 24 Monaten Kontrollverletzungen festgestellt wurden, bejahen immerhin 62 % der befragten Unternehmen (Abbildung 2). Da viele Unternehmen auf diese Frage jedoch keine Auskunft geben wollten, ist davon auszugehen, dass die Werte in der Praxis noch höher liegen, bezieht man auch die Bewertungen von Abschlussprüfern in diesem Bereich mit ein.
Abb. 2: Kontrollverletzungen sind die Regel in der Finanzindustrie
Entsprechend führen auch 84 % der Unternehmen an, dass sich der Druck durch regulatorische Anforderungen in den vergangenen 24 Monaten stark erhöht bzw. erhöht hat (Abbildung 3). Gerade einmal knapp 16 % sehen einen gleichbleibenden oder sinkenden Druck.
Abb. 3: Der veränderte Compliance-Druck
„Dieser gestiegene Druck wird auch gerade im Kontext der noch fehlenden Funktionen insbesondere in den Bereichen IAG, SIEM (Security Information and Event Management), PxM (Privileged Access, Account, Identity, User Management) und Integration mit Enterprise GRC-Ansätzen zu signifikanten Investitionen in IAM/IAG in der Finanzindustrie führen. Denn die regulatorischen Anforderungen lassen sich nicht ausschließlich auf der Ebene von Prozessen adressieren“, kommentiert Martin Kuppinger von KuppingerCole. „Vor dem Hintergrund der massiv steigenden Aufwände für Unternehmen wird IAM/IAG auch als Mittel verstanden, um diese Steigerungen zu begrenzen und die Anforderungen in effektiver Weise adressieren zu können.“
Bei den Regulierungen nennen die Befragten die MaRisk (Mindestanforderung an das Risikomanagement) mit Abstand am häufigsten (Abbildung 4), womit das Thema Risikomanagement die Unternehmen am stärksten beschäftigt. Als weitere wichtige Treiber mit jeweils gut einem Drittel an Nennungen führen die Unternehmen das KWG (Kreditwesengesetz – als das Gesetz, auf dem die MaRisk resultiert) und ISO 2700x an, gefolgt vom BDSG (Bundesdatenschutzgesetz).
Abb. 4: Die relevanten Regulierungen
Eine etwas andere Sichtweise auf die Treiber ermittelt die Studie in einer weiteren Frage. Dabei geht es stärker um die operativen Auswirkungen auf Endbenutzer und Fachbereiche, aber auch die Effektivität innerhalb von IT-Abteilungen (Abbildung 5).
Abb. 5: Weitere Treiber für das IAM und IAG
Auch hier sehen über 80 % der Unternehmen die vergrößerte Transparenz über Berechtigungsstrukturen als wichtigsten Treiber. Die Einbindung der Fachabteilung in das Berechtigungsmanagement wird von der Hälfte ebenfalls als wesentlicher Treiber genannt. Das passt zur Logik von IAG, weil das Rollenmanagement und die Rezertifizierung eine solche Einbindung auch erfordern. Self Services von Endanwendern sind von geringer Relevanz. Dies belegt, dass viele Unternehmen immer noch mit dedizierten Ansprechpartnern für die Anforderung von Berechtigungen in Fachabteilungen arbeiten. Die Einbindung von Geschäftspartnern hat für die befragten Unternehmen nur einen geringen Stellenwert.
Wie wichtig eine einfache Transparenz über die Berechtigungsstrukturen ist, zeigt sich auch als Resultat der Frage nach den Audit-Aufwänden in Unternehmen. Hier kommt die Studie zu mehreren wichtigen Feststellungen:
– Der Audit-Aufwand ist in den Unternehmen gestiegen.
– Fast alle Unternehmen haben einen signifikanten Anteil an manuellem Aufwand für die Erfüllung von Audit-Anforderungen.
– Nur knapp ein Viertel rechnet damit, dass die manuellen Aufwände reduziert werden können, knapp die Hälfte erwartet einen weiteren Anstieg.
– Fast 60 % der Unternehmen erwartet steigende oder stark steigende IT-Kosten durch die Compliance.
– Kein Unternehmen rechnet mit Reduktionen der IT-Kosten durch Compliance-Maßnahmen.
„Die letzten beiden Punkte wirken dabei im Hinblick auf die Maßnahmen im Bereich IAM/IAG ernüchternd. Allerdings muss man dabei die Entwicklung im Bereich von relevanten regulatorischen Vorgaben ins Verhältnis zu den Kosten unterschiedlicher Lösungsansätze setzen“, erläutert Martin Kuppinger. „Dabei veranschaulichen die ersten der genannten Punkte, dass der manuelle Aufwand ein erhebliches Problem für die Unternehmen ist. Entsprechend helfen IAM/IAG dabei, bessere Ergebnisse zu beherrschbaren Kosten zu liefern. Ohne diese Lösungen wäre eine Erfüllung der regulatorischen Anforderungen mit angemessenem Aufwand nicht möglich.“
Die Ergebnisse der Studie zeigen klar, dass IAM und IAG richtig gemacht werden müssen. Die Frage danach, welche Produkte in welcher Kombination eingesetzt werden, ist dabei genauso von Bedeutung wie die Schaffung der erforderlichen organisatorischen Strukturen und Prozesse.
Die ausführliche Pressemitteilung ist verfügbar unter:
http://www.betasystems.com/de/presse/pm/2012/pm120830.html
Die gesamte Studie mit weiteren Ergebnissen und Informationen zur Methodik der Studie steht im Internet zum freien Download zur Verfügung unter: http://www.betasystems.com/kuppingercole2012
Anmerkungen:
1) IAM steht für Identity und Access Management und bezeichnet die Technologien, mit denen die Identitäten von Benutzern und ihre Zugriffsberechtigungen verwaltet werden.
2) Identity und Access Governance (IAG) betrachtet die Governance um Identitäten (beispielsweise verwaiste Konten von Benutzern, die längst nicht mehr im Unternehmen sind) und Zugriffsberechtigungen. Hier geht es darum sicherzustellen, dass Benutzer minimale oder angemessene Berechtigungen haben, aber eben keine Berechtigungen über das hinaus, was sie sinnvollerweise in ihrer Arbeit benötigen. Die Analyse von Zugriffsberechtigungen und die regelmäßige Rezertifizierung durch manuelle Prüfprozesse sind wesentliche Funktionen der Identity und Access Governance.
KuppingerCole
KuppingerCole, gegründet 2004, ist ein führendes europäisches Analystenunternehmen für alle Themen rund um Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing. KuppingerCole steht für Expertise, Meinungsführerschaft und eine herstellerneutrale Sicht auf den erweiterten IT Markt. Das umfasst Themen wie das klassische Identity und Access Management (IAM), Information Rights Management (IRM), IT Risk Management, Strong Authentication, Single Sign-On, Federation, User Centric Identity Management, Virtualisierung, Cloud Computing Trends und Standards und vieles mehr.
Weitere Informationen unter: www.kuppingercole.com
Beta Systems Software AG
Die Beta Systems Software AG (General Standard: BSS, ISIN DE0005224406) bietet hochwertige Softwareprodukte und -lösungen im Bereich Sicherheit und Nachvollziehbarkeit in der IT und zur automatisierten Verarbeitung größter Daten- und Dokumentenmengen. In den Geschäftsbereichen „Data Center Automation & Audit“, „Identity & Access Governance“ und „Document Processing & Audit“ unterstützt das Unternehmen Kunden aus den Bereichen Finanzdienstleistungen, Industrie, Handel, Logistik und IT-Dienstleistungen bei der Optimierung der IT-Sicherheit, der Automatisierung von Geschäftsprozessen sowie mit einem umfassenden Produkt-, Lösungs- und Beratungsangebot im Bereich „GRC – Governance, Risk & Compliance“ bei der Erfüllung von gesetzlichen und geschäftlichen Anforderungen.
Beta Systems wurde 1983 gegründet, ist seit 1997 börsennotiert und beschäftigt rund 270 Mitarbeiter. Sitz des Unternehmens ist Berlin. Beta Systems ist national und international mit 14 eigenen Konzerngesellschaften und zahlreichen Partnerunternehmen aktiv. Weltweit optimieren mehr als 1.300 Kunden in über 3.200 laufenden Installationen in über 30 Ländern ihre Prozesse und verbessern ihre Sicherheit mit Produkten und Lösungen von Beta Systems. Das Unternehmen gehört zu den führenden mittelständischen und unabhängigen Softwarelösungsanbietern in Europa und erwirtschaftet rund 50 Prozent seines Umsatzes international.
Kontakt:
Beta Systems Software AG
Dirk Nettersheim
Alt-Moabit 90d
10559 Berlin
+49 (0)30-726118-0
dirk.nettersheim@betasystems.com
http://www.betasystems.de
Pressekontakt:
HBI Helga Bailey PR&MarCom GmbH
Alexandra Janetzko
Stefan-George-Ring 2
81929 München
+49 (0)89 99 38 87-32
alexandra_janetzko@hbi.de
http://www.hbi.de