Thought Leadership
Die Palette an Lösungen zur Identitätsverwaltung wächst rapide und viele Unternehmen stehen derzeit vor der Wahl: Soll es eine Best-of-Breed-Lösung für IGA (Identity Governance and Administration) sein, oder entscheidet man sich doch lieber für eine Plattform-Lösung, die IGA als Funktion beinhaltet?
Laut eines aktuellen Berichts sind sich fast 84 Prozent der IGA-Nutzer einig, dass ihre Unternehmen eher zu Best-of-Breed-Lösungen tendieren als zu einer einzigen Produktplattform, die mehrere Lösungen für IGA anbietet. Trotzdem sollte man alle Faktoren kennen, die vor der Implementierung zum Tragen kommen und dabei eines nicht vergessen: Die internen Unternehmensprozesse.
Maßanfertigung statt überbordender Feature-Liste
CISOs müssen über die Einstufung einer Lösung durch Analysten als angeblich beste Lösung hinausgehen und herausfinden, ob die avisierte auch wirklich die beste Lösung für ihr Unternehmen ist. Oft schauen Firmen zuerst bei Anbietern, von denen sie bereits Produkte beziehen, und geben sich damit zufrieden, dass der Dienstleister das IGA-Angebot bereits kostenlos mitliefert. Dieser gibt ihnen dann eine Checkliste mit Funktionen, oftmals entspricht diese daraufhin jedoch nicht den spezifischen Geschäftsanforderungen des Unternehmens. Um auf Anhieb die richtige Lösung zu finden, müssen IT-Sicherheitsverantwortliche sich die Zeit nehmen, bei der in Frage kommenden Lösung die Anwendungsfälle den Funktionen zuzuordnen. Unabdingbar dabei: Das am besten geeignete Produkt muss in hohem Maße an die Arbeitsweise des Unternehmens anpassbar und für dessen Geschäftsprozesse konfigurierbar sein.
Ein Produkt, für das ein IT-Team Tausende von Code-Zeilen schreiben muss, damit es funktioniert, ist nicht zielführend und schon gar nicht effizient. Stattdessen benötigt es eine Lösung, die sich problemlos in die bestehenden Arbeitsabläufe integrieren lässt. Es geht nicht nur darum, ein Kästchen auf einer Feature-Liste anzukreuzen und es genügt auch nicht, dass ein Anbieter damit prahlt, was sein Produkt alles kann. Stattdessen muss man das Pferd von hinten aufzäumen und die Frage stellen: „Was muss getan werden, damit die neue IGA-Lösung innerhalb des Geschäftsprozesses funktioniert?“
Die Wahl einer Identitätsmanagement-Lösung lässt sich mit dem Kauf eines Triebwerks vergleichen. Das besteht aus vielen Einzelteilen, die von verschiedenen Zulieferern stammen. Um sicherzustellen, dass das Triebwerk zuverlässig und langfristig funktioniert, ist es entscheidend, dass jedes einzelne Bauteil von höchster Qualität ist. Niemand will in ein Flugzeug steigen, dessen Triebwerk mit minderwertigen Komponenten ausgestattet ist. CISOs sollten also priorisieren, dass die Lösungen zu einer gesamtheitlichen Sichtweise auf das Identitätsrisiko ineinandergreifen. Branchenanalysten sprechen bei dieser Herangehensweise auch von „Identity Fabric“, also die Bündelung verschiedener Werkzeuge der Identitätsverwaltung, aus der eine Plattform „gewoben“ wird. Diese muss jedoch nicht einmal notwendigerweise eine Plattform sein. Im Wesentlichen muss der jeweilige Anbieter ein erweitertes Sicherheits-Ökosystem anbieten, das den erforderlichen Detaillierungsgrad bietet und relevante Datenkontexte wie risikobezogene Daten für verwaltete Identitäten weitergibt.
Die wichtigsten Anforderungen an IGA: Anpassungsfähigkeit und KI-Implementierung
Eine aktuelle Studie zeigt, dass mehr als 50 Prozent der Befragten zwei Merkmale als die wichtigsten Eigenschaften bei der Evaluierung einer neuen IGA-Lösung ansehen: Zum einen die Anpassungsfähigkeit an die spezifischen Anforderungen ihres Unternehmens, also ein Konnektivitäts-Framework, das alle Anwendungen und Infrastrukturen unterstützt. Zum anderen schlichtweg die Nutzung generativer KI.
Das ist jedoch nicht das Ende der Fahnenstange. Unternehmen müssen auch sicherstellen, dass ihre IGA-Lösung den Geschäftsanforderungen entspricht. Sie muss Konnektivität und starke Automatisierungsfähigkeiten zur Unterstützung komplexer Identitätsworkflows und gründlich dokumentierte Best Practices und Abläufe bieten. Da Geschäftsprozesse immer komplexer werden, muss die Lösung in der Lage sein, Daten schnell zu erfassen und zu verarbeiten. Dies bildet eine solide Grundlage, auf der Unternehmen anspruchsvollere Funktionen (z. B. generative KI) aufbauen können, um die Compliance zu verbessern, Lücken in der Perimeter-Sicherheit zu schließen und die Effizienz und Produktivität zu steigern.
Letztlich ist jedem CISO klar, dass kein Anbieter alle Anwendungen unterstützt. In der Vergangenheit war dies einer der Hauptgründe, warum viele Unternehmen deshalb einfach ihre eigenen IGAs aufbauten oder sich für Lösungen entschieden, die ein hohes Maß an Anpassungsfähigkeit boten. Dieser Ansatz ist aber nicht mehr tragbar, da sich die Geschäftsprozesse weiterentwickelt haben. Eine moderne IGA-Lösung muss die nötige Flexibilität bieten, um mit jeder Anwendung integriert werden zu können – nicht nur mit vorhandenen, sondern auch mit zukünftigen Applikationen. Dazu gehören APIs, welche die Erstellung von Konten und die Verwaltung von Benutzern für alle Anwendungen gemäß der Identity-Lifecycle-Richtlinien ermöglichen, die ein Unternehmen benötigt.
Fazit
Der wahre Wert einer erstklassigen IGA-Lösung liegt in drei Faktoren: Wie sie das Sicherheitssystem eines Unternehmens bereichert; wie sie zur Entwicklung und Aufrechterhaltung eines ausgereiften Zero-Trust-Sicherheitsmodells beiträgt und letztlich, wie sie Unternehmen unterstützt, intelligentere strategische Entscheidungen zu treffen. CISOs, die diese Dreifaltigkeit bei der Implementierung von IGA beherzigen, müssen identitätsbezogene Sicherheitsrisiken nicht fürchten.
