- Anzeigen -


Sie sind hier: Home » Markt » Studien

IAM noch nicht überall wichtiges Business-Thema


Studie zeigt Nachholbedarf von deutschen Unternehmen bei Identity & Access Management auf allen Ebenen
IT-Security und damit IAM wird jedoch von der Führungsetage nicht ausreichend genug als das wichtige Business-Thema verstanden, das es in der heutigen Zeit datenabhängiger Geschäftsprozesse und hybrider IT-Landschaften ist



Centrify gab die Ergebnisse einer von IDG in Zusammenarbeit mit Centrify durchgeführten Studie bekannt. Für die "Identity Access Management Studie von IDG Research Services in Zusammenarbeit mit Centrify, München 2017." wurden 385 Entscheider wie Geschäftsführer, Vorstände, CIOs, CDOs, CTOs, CSOs, IT-Leiter, IT-Bereichsleiter und Experten aus IT-Security-Abteilungen aus knapp 20 verschiedenen Branchen in Deutschland befragt.

Die Studie stellt einen alarmierenden Nachholbedarf bei softwaregestütztem Identity & Access Management (IAM) auf allen Ebenen fest. Die Relevanz als Business-Thema ist in den Führungsetagen nicht ausgeprägt genug. Trotz vieler Vorteile, die ein Plattformansatz für alle IAM-Aspekte bietet, setzen Unternehmen zu selten darauf. Generell sind IAM-Lösungen noch nicht überall im Einsatz, und auch Privileged Identity Management (PIM) bzw. Privileged Access Management (PAM) sowie Single Sign-On (SSO) und Mobile Device Management (MDM) sind nur lückenhaft verbreitet. Multifaktor-Authentifizierung (MFA) wird ebenfalls noch nicht komplett umgesetzt.

Je nach Firmengröße (gemessen an der Mitarbeiteranzahl) und Größe des IT-Budgets bestehen aber teils erhebliche Unterschiede bei den einzelnen Punkten.

IAM noch nicht überall wichtiges Business-Thema
In etwas mehr als einem Drittel (35 Prozent) aller befragten Unternehmen ist die Geschäftsführung für IAM verantwortlich, gefolgt von CIO/IT-Vorstand (33 Prozent) und IT-Sicherheitsexperte (27 Prozent). Die Werte unterscheiden sich aber stark, wenn nach Unternehmensgröße differenziert wird: Während sich in 62 Prozent der kleinen Firmen (weniger als 100 Mitarbeiter) die Geschäftsführung um IAM kümmert, sind es in mittelgroßen Unternehmen (100-999 Mitarbeiter) nur 18 Prozent und in großen Unternehmen (1000+ Mitarbeiter) 28 Prozent. Dort sind vor allem CIO/IT-Vorstände, IT-Sicherheitsexperten und IT-Leiter für IAM verantwortlich.

Ein ähnliches Bild ergeben die Antworten auf die Frage, wer in den Firmen die Entscheidungen bei der Auswahl von Security-Dienstleistern und Security-Lösungen trifft. Auch hier dominieren in kleinen Firmen die Geschäftsführer (75 Prozent), in den mittleren und großen Unternehmen der CIO oder IT-Leiter. Und auch hier deutet die hohe Anzahl an Mehrfachnennungen darauf hin, dass diese Entscheidungen im Team getroffen werden.

IT-Security und damit IAM wird jedoch von der Führungsetage nicht ausreichend genug als das wichtige Business-Thema verstanden, das es in der heutigen Zeit datenabhängiger Geschäftsprozesse und hybrider IT-Landschaften ist. Insbesondere CIOs, CDOs, CTOs und CSOs sind der Meinung, dass IT-Sicherheit für die Führungsetage eher ein reines IT-Thema ist und eher nicht als wichtiges Business-Thema wahrgenommen wird. In Unternehmen, die eine IAM-Einführung planen, schätzen knapp zwei Drittel der Befragten IT-Sicherheit eher nicht als wichtiges Thema für Geschäftsführung und Vorstand ein. In Unternehmen ohne IAM ist es merkwürdigerweise genau umgekehrt: Dort geben knapp zwei Drittel der Befragten an, dass IT-Sicherheit eher als wichtiges Business-Thema wahrgenommen wird. Das Thema wird dort zwar von der Führungsetage als relevant erkannt, zieht aber nicht das entsprechende Handeln nach sich. Ursachen für diese Diskrepanz könnten Engpässe bei Budget und Personal sein.

Gleichzeitig findet aber die Mehrheit aller Befragten (84 Prozent), dass IAM vom Top-Management getrieben werden muss. Auch 80 Prozent der Geschäftsführer und Vorstände teilen diese Meinung, obwohl nur 50 Prozent von ihnen IT-Sicherheit als wichtiges Business-Thema wahrnehmen. In Firmen mit IAM im Einsatz finden sogar 91 Prozent, dass IAM vom Top-Management ausgehen muss. Bei Firmen ohne IAM stimmen der Aussage noch knapp 76 Prozent aller Befragten zu.

IT-Sicherheit und insbesondere IAM sollten hohe Priorität für das Top-Management haben: Die Ergebnisse der von Centrify in Auftrag gegebenen und vom Ponemon Institute durchgeführten Studie "Die Auswirkungen von Datenschutzverletzungen auf die Reputation und den Wert eines Unternehmens" belegen, dass bekannt gewordene Datenschutzverletzungen erhebliche negative Folgen für die gesamte betroffene Organisation – inklusive Vertrieb, Marketing und IT – haben. Signifikant betroffen sind die Firmenfinanzen und der Shareholder Value. Der Börsenwert von 113 beobachteten Unternehmen sank um durchschnittlich 5 Prozent an dem Tag, an dem die Datenschutzverletzung bekannt wurde. Die Kundenabwanderung betrug bis zu 7 Prozent. Darüber hinaus gaben 30 Prozent der vom Hack betroffenen Endkunden an, dass sie ihre Beziehung zu dem gehackten Unternehmen abgebrochen haben. Auch der Markenwert eines Unternehmens wird durch Data Breaches stark beschädigt.

IT-Sicherheit ist demnach essentiell für den Erfolg von Unternehmen. Allerdings sollten Organisationen überlegt in den Schutz ihrer IT und in IAM investieren: Trotz Ausgaben für IT-Sicherheit von über 80 Mrd. USD im Jahr 2016 konnten die herkömmlichen Produkte und Dienstleistungen der großen Sicherheitsunternehmen die große Mehrheit der Datenlecks nicht verhindern, das Problem wird im Gegenteil immer schlimmer. Die größte aktuelle Gefahr ist derzeit – da sind sich beispielsweise Verizon und Forrester einig – kompromittierte Zugangsdaten. Wenn Hacker über einen Benutzernamen und das dazugehörige Passwort verfügen, kommen sie in die Unternehmens-IT, ohne Aufsehen zu erregen. Laut dem Verizon Data Breach Investigation Report 2017 lassen sich 81 Prozent der durch Hacks verursachten Datenschutzverletzungen auf gestohlene bzw. schwache Passwörter zurückführen. Forrester schätzt, dass an 80 Prozent der Data Breaches gehackte Accounts von Anwendern mit erweiterten Rechten beteiligt sind.

Eine IAM-Plattform ist noch selten
Neben Windows-PCs und Macs müssen in heutigen Unternehmen beispielsweise auch mobile Endgeräte, Server, interne Apps und Cloud-Applikationen geschützt werden. Auch SSO, MFA, MDM, granulare Berechtigungen für Admins, Session Recording für Compliance und Shared Account Password Management müssen verwaltet werden. Dafür setzt die Mehrheit aller Firmen (48 Prozent) 2-3 Lösungen ein, nur ein Fünftel hat nur eine Lösung. Kleine Firmen setzen meistens (34 Prozent) auf nur eine Lösung, mittlere (57 Prozent) und große (55 Prozent) überwiegend auf zwei bis drei Lösungen. Firmen mit kleinerem IT-Budget (weniger als 1 Mio. Euro pro Jahr) setzen zu knapp einem Drittel auf eine Lösung, Unternehmen mit einem IT-Budget von mehr als 1 Mio. Euro pro Jahr haben zu 60 Prozent 2-3 Lösungen.

Interessant ist in diesem Zusammenhang auch die Frage, wie wichtig eine Integration von MDM-Lösungen, SSO und strenger Authentifizierung (MFA) eingeschätzt wird. Für 69 Prozent aller Befragten ist eine solche Integration sehr wichtig oder zumindest wichtig. Bei zunehmender Unternehmensgröße wird die Integration immer wichtiger: In kleinen Firmen ist sie für 43 Prozent sehr wichtig und wichtig, in großen Unternehmen teilen bereits 85 Prozent diese Einschätzung. Bei Firmen mit IAM finden 79 Prozent die Integration sehr wichtig oder zumindest wichtig, bei Firmen mit IAM in Planung sind es 61 Prozent. Unternehmen ohne IAM finden die Integration zu 46 Prozent sehr wichtig und wichtig. Bei MDM, SSO und MFA ist eine Integration demnach überwiegend gewünscht. Kommen jedoch weitere Teile der IT-Landschaft wie Server, interne Apps, Cloud-Applikationen, granulare Berechtigungen für Admins, Session Recording für Compliance und Shared Account Password Management hinzu, verlieren scheinbar viele Firmen die Vorteile nur einer Lösung aus den Augen.

Centrify hilft Organisationen, diese Vorteile zu erschließen und deckt alle oben genannten Anwendungsfelder mit seiner umfassenden Plattform für Identity & Access Management ab. Der Centrify Ansatz birgt zahlreiche Vorteile wie Kosteneinsparungen, lückenlose Sicherheit, nahtlose Integration der einzelnen Services und Usability sowie Betreuung und Administration nur einer Software. Der Trend geht in vielen IT-Bereichen zu einem derartigen Plattform-Ansatz. In Deutschland haben hier in Bezug auf IAM allerdings noch viele Firmen Optimierungspotenzial.

Nachholbedarf bei IAM
Derzeit setzt überhaupt nur etwas mehr als ein Drittel (38 Prozent) der befragten Firmen eine Softwarelösung für IAM ein. Immerhin 31 Prozent der Firmen planen die Einführung einer IAM-Software in den nächsten 12 Monaten. Für 28 Prozent kommt eine Einführung derzeit nicht in Frage. Vorreiter bei softwaregestütztem IAM sind die großen Unternehmen mit einem Wert von 64 Prozent, gefolgt von den mittelgroßen Firmen mit 39 Prozent. Nur 14 Prozent der kleinen Unternehmen nutzen eine IAM-Software. Entsprechend planen derzeit auch 57 Prozent der kleinen Firmen noch nicht den Einsatz einer IAM-Lösung.

PIM/PAM fehlt oft komplett oder nur SAPM im Einsatz

Im Rahmen der Studie wurde auch nach dem Einsatz von Lösungen für eine Spezialdisziplin von IAM, dem Privileged Identity Management (PIM) bzw. Privileged Access Management (PAM), gefragt. Die meisten Unternehmen (37 Prozent) haben dafür noch gar keine Lösung im Einsatz. Knapp 15 Prozent haben bloß eine Lösung für Shared Account Password Management. Nur ein Drittel hat bereits eine Lösung, die granulare Berechtigungen für Admins ermöglicht. Je nach Unternehmensgröße sind die Unterschiede hier gravierend: 60 Prozent der kleinen Firmen haben gar keine PIM-/PAM-Lösung. 39 Prozent der mittelgroßen und fast die Hälfte der großen Unternehmen setzen dagegen eine Lösung für granulare Admin-Berechtigungen ein. Hier zeigt sich ein großes Risiko bei den befragten Unternehmen, denn insbesondere privilegierte Accounts sind das bevorzugte Ziel von Hackern. Werden privilegierte Accounts kompromittiert, geht dies regelmäßig mit fatalen Datenschutzverletzungen einher.

SSO und MDM sind Mangelware, MFA ebenfalls nicht lückenlos im Einsatz
Nur rund ein Drittel der Unternehmen setzt jeweils Lösungen für SSO und MDM ein. 37 Prozent der befragten Firmen haben eine SSO-Lösung für die einfachere Anmeldung in ihre Systeme implementiert. Die Nase vorn haben hier die großen (53 Prozent) und mittleren (44 Prozent) Firmen, während nur 18 Prozent der kleinen Unternehmen SSO nutzen. Absolute SSO-Vorreiter mit 63 Prozent sind die Unternehmen, die bereits ein softwaregestütztes IAM installiert haben.

Ein ähnliches Bild ergibt sich bei den MDM-Lösungen für die sichere und zentrale Verwaltung von mobilen Geräten wie Smartphones und Tablets. Während in der Gesamtheit nur 37 Prozent der Unternehmen MDM im Einsatz haben, sind es bei den Firmen mit installiertem IAM 61 Prozent. Auch bei MDM steigt der Reifegrad mit der Unternehmensgröße an. Nur 14 Prozent der kleineren Firmen besitzen eine MDM-Lösung, der Wert klettert bei den Unternehmen mittlerer Größe auf 44 Prozent bis hin zu 53 Prozent bei den großen Firmen.

MFA-Lösungen sind weiter verbreitet: Etwa vier Fünftel (79 Prozent) der Firmen sichert ihre Zugänge zum Netzwerk für eigene Mitarbeiter über eine Multifaktor-Authentifizierung mit Token (Hardware, Software oder Push) ab. 11 Prozent planen jedoch bereits die Implementierung von MFA. Mittelgroße Unternehmen liegen interessanterweise bei der Nutzung von MFA vorne, 76 Prozent setzen eine Lösung dafür ein. Bei großen Unternehmen sind es 69 Prozent, kleine Firmen folgen mit 61 Prozent.

Smartphone (45 Prozent) und Smartcard (44 Prozent) werden am häufigsten für MFA genutzt, gefolgt von USB (37 Prozent), SIM-Karte (30 Prozent), Biometrie (23 Prozent) und MicroSD (18 Prozent). Auch hier zeigen sich Unterschiede hinsichtlich der Unternehmensgröße und des IAM-Status. In kleinen und mittelgroßen Unternehmen führt die Smartcard mit 43 Prozent, in den großen Unternehmen ist das Smartphone (58 Prozent) das dominierende Mittel für MFA. Bei Organisationen mit IAM und IAM in Planung führt ebenfalls das Smartphone (59 Prozent bzw. 35 Prozent). Firmen ohne IAM setzen zu 29 Prozent auf Smartcards, gleichauf mit USB und Biometrie sowie anderen Optionen (jeweils 29 Prozent). Mit 14 Prozent folgt das Smartphone abgeschlagen auf Platz 5.

Die Frage, wie wichtig risikobasierte Authentifizierung für höhere Benutzerfreundlichkeit eingestuft wird, fördert etliche Unterschiede zu Tage: 78 Prozent aller Befragten stufen moderne Mittel wie risikobasierte Authentifizierung als sehr wichtig, wichtig und eher wichtig ein, um eine höhere Benutzerfreundlichkeit zu erzielen. Geschäftsführung und Vorstände stimmen dem zu 68 Prozent zu, CIOs, CDOs, CTOs und CSOs sogar zu 86 Prozent. In mittleren und großen Unternehmen ist die Zustimmung dazu höher als in kleinen Unternehmen. Bei Unternehmen mit IAM stimmen sogar 92 Prozent zu, bei Firmen mit IAM in Planung 82 Prozent. In Firmen ohne IAM sind es nur 57 Prozent. Centrify bietet mit dem Analytics Services eine Lösung, die basierend auf Nutzerverhalten Datenschutzverletzungen in Echtzeit erkennt und stoppt. Der Service nutzt Machine Learning, um Risiken basierend auf den sich ständig ändernden Mustern des Nutzerverhaltens einzuschätzen. Dem Nutzerverhalten wird ein Risk Score zugewiesen und die dazu passende Konsequenz wird eingeleitet: Zugriff erlauben, eine strengere Authentifizierung anfordern, oder den Zugriff komplett blockieren. (Centrify: ra)

eingetragen: 16.10.17
Home & Newsletterlauf: 13.11.17


Centrify: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Studien

  • Zugangsrechte immer noch eine Achillesferse

    58 Prozent aller global befragten Unternehmen gelingt es nicht, Anträge von Einzelpersonen, die auf Grundlage der DSGVO (Datenschutz-Grundverordnung) eine Kopie ihrer persönlichen Daten angefordert haben, innerhalb der in der Verordnung festgelegten Frist von einem Monat zu bearbeiten. Dies zeigt eine aktuelle Studie von Talend. Im September 2018 veröffentlichte Talend die Ergebnisse ihrer ersten DSGVO-Vergleichsstudie. Mit dieser Studie sollte die Fähigkeit von Unternehmen bewertet werden, die Zugangs- und Portabilitätsanforderungen der EU-Verordnung einzuhalten. 70 Prozent der untersuchten Unternehmen waren damals nicht in der Lage, Daten einer betroffenen Person innerhalb eines Monats zur Verfügung zu stellen. Ein Jahr später befragte Talend erneut diejenigen Unternehmen, die im ersten Benchmark die DSGVO-Vorgaben nicht einhalten konnten. Gleichzeitig wurden auch neue Unternehmen aus der Zielgruppe befragt. Zwar erhöhte sich der Gesamtanteil derjenigen Unternehmen, die eine Einhaltung der Vorschriften vermeldeten, auf 42 Prozent, dennoch bleibt die Quote 18 Monate nach Inkrafttreten der Verordnung vergleichsweise niedrig.

  • Unternehmen investieren mehr in IT-Sicherheit

    Zwei Drittel der Unternehmen (66 Prozent) wollen ihre Investitionen in IT-Sicherheit steigern - mehr als in jeden anderen Bereich. Auch gefragt sind Datenanalyse-Software, in die 55 Prozent der Unternehmen mehr investieren wollen und Online-Shops mit 52 Prozent. Das zeigt eine repräsentative Umfrage von Bitkom Research im Auftrag von Tata Consultancy Services (TCS) unter 953 Unternehmen mit 100 oder mehr Mitarbeitern in Deutschland. Im Durchschnitt investieren die Unternehmen 5,5 Prozent ihres Jahresumsatzes in die digitale Transformation - eine Steigerung um 12 Prozent zum Vorjahr. Allerdings werden wie die Anforderungen an Datenschutz (53 Prozent) und IT-Sicherheit (52 Prozent) von den Unternehmen auch als größte Hürden der Digitalisierung gesehen. Nur ein Prozent sieht hingegen fehlende finanzielle Mittel als Hinderungsgrund. Fehlt das Geld, sind die Probleme hausgemacht: Jedes fünfte Unternehmen (19 Prozent) sieht fehlende Investitionsbereitschaft trotz vorhandener Geldmittel als Hürde. Noch häufiger genannt werden fehlende Vorgaben der Geschäftsführung (31 Prozent) oder langwierige Entscheidungsprozesse (37 Prozent). Der Fachkräftemangel wird zur immer größeren Herausforderung: Mehr als ein Drittel (35 Prozent) sieht den Mangel an Mitarbeitern mit Digitalkompetenz als Hürde - 2017 waren es erst 25 Prozent.

  • Kundenzufriedenheit erfordert Test-Automatisierung

    Compuware hat die Ergebnisse einer weltweiten Umfrage unter 400 IT-Führungskräften, davon 75 aus Deutschland, bekannt gegeben. Demnach sind manuelle Testverfahren nach wie vor weit verbreitet. Sie stellen jedoch eine der größten Herausforderungen für große Unternehmen dar, wenn sie digitale Innovationen beschleunigen möchten.Die von Vanson Bourne im Auftrag von Compuware durchgeführte Umfrage untersucht die Prozesse von Unternehmen, um Innovationen auf dem Mainframe so schnell wie in ihren verteilten Umgebungen, die stark vom Mainframe abhängig sind, bereitzustellen. Die Studie untersucht auch die Methoden zur Unterstützung von Tests auf dem Mainframe sowie die Herausforderungen bei der gleichzeitigen Steigerung von Qualität, Geschwindigkeit und Effizienz während des Entwicklungs- und Bereitstellungsprozesses für Anwendungen. Die vollständige Studie mit den weltweiten Ergebnissen können Sie hier herunterladen.

  • Biometrische Daten vermehrt Angriffen ausgesetzt

    37 Prozent der Computer, Server oder Workstations, auf denen biometrische Daten erfasst, verarbeitet und gespeichert und von einer Kaspersky-Lösung geschützt werden, waren im dritten Quartal 2019 mindestens einem Malware-Infektionsversuch ausgesetzt. Dies zeigt der aktuelle Report "Threats for biometric data processing and storage systems" des Kaspersky ICS CERT. Es handelte sich vor allem um generische Malware wie Remote Access Trojaner (RATs) (5,4 Prozent), bei Phishing-Angriffen verwendete Malware (5,1 Prozent), Ransomware (1,9 Prozent) sowie Banking-Trojaner (1,5 Prozent). Die Verwendung biometrischer Daten wie Fingerabdrücke, Handgeometrie oder Irisstruktur zur Authentifizierung, als Ergänzung oder Ersatz zu traditionellen Anmeldedaten, nimmt stetig zu. Sie wird unter anderem für den Zugriff auf Regierungs- und Handelsbüros, industrielle Automatisierungssysteme, Unternehmens- und Privat-Laptops sowie Smartphones verwendet - und steht damit vermehrt im Fokus von Cyberkriminellen.Die Experten von Kaspersky ICS CERT haben Cyberbedrohungen untersucht, die im dritten Quartal dieses Jahres von Kaspersky-Produkten auf Computern, die biometrische Daten sammeln, verarbeiten und speichern, untersucht. Das Ergebnis: Auf über einem Drittel der Computer (37 Prozent) schlugen die Kaspersky-Produkte Alarm.

  • Security-Markt setzt 9,2 Milliarden Euro um

    Die globale Sicherheitsindustrie befindet sich in einer stetigen Wachstumsphase. Alleine in Deutschland wurde dieses Jahr nach den Daten von Statista ein Umsatz von etwa 9,2 Milliarden Euro erzielt. Dies sei darauf zurückzuführen, dass das Bewusstsein für Sicherheit geschärft werde, und dass Verbraucher hierfür auch immer öfter Geld investieren. Deutschland ist hierbei augenscheinlich einer der wichtigsten Märkte innerhalb Europas. Die Bundesrepublik beheimatet in dieser Sparte rund 6.000 Unternehmen mit insgesamt 180.000 Mitarbeitern. Von 2018 auf 2019 verzeichnet die Branche in Deutschland ein Wachstum von 2,9 Prozent. Etwa 80 Prozent des Gesamtumsatzes fallen hierbei auf private Akteure. Im Jahr 2011 belief sich der Umsatz der Sicherheits- und Ermittlungsindustrie hierzulande noch auf 5,3 Milliarden Euro. Seither ist der Branchenwert um 73,58 Prozent gewachsen.