Identity- und Access-Management (IAM) ist eines der heissen Themen im Jahr 2007. Dies behaupten zumindest die Analysten von
Kuppinger Cole und Partner (KCP),
die im Vorfeld der Cebit die Top-Ten-Trends im IAM-Bereich ausfindig gemacht haben. Ob Bereiche des Identity-Managements künftig als Service angeboten werden, das alte Thema «Rollenmanagement» endlich an Fahrt gewinnt oder clevere Hardware-Lösungen für «Identity everywhere» sorgen – der Markt befindet sich im Aufbruch.
Heute ärgert sich jeder Internet-Nutzer, weil er sich ständig registrieren muss, und zwar immer wieder mit den gleichen Informationen. Dazu muss er sich Dutzende von Kennwörtern merken – zumindest, wenn er seine persönlichen Daten einigermassen geschützt wissen will.
Mit «Identity 2.0» und «User-Centric IAM» wird sich das radikal ändern. Hier ist die Zusammenarbeit zwischen den Entwicklern der sogenannten «OpenID» wie Sxip Technologies und Verisign sowie Microsoft mit seinem neuen «CardSpace»-System von höchster Bedeutung. Dadurch wächst der Druck auf den Rest der Identity-Branche, endlich übergreifende, standardbasierte Lösungen zu finden, um das Identitäts-Chaos im Netz ein für allemal zu beenden.
KCP erwartet für 2007 eine sich rasch ausbreitende Akzeptanz von OpenID und CardSpace. Bis 2009 dürfte die überwiegende Mehrheit der kommerziellen Websites OpenID und CardSpace unterstützen und diese sich de facto zu Industriestandards entwickeln.
Projekte im Bereich Identity- und Access-Management sind heute typischerweise auf technische Funktionen wie Provisioning, Single Sign-On oder Federation fokussiert. Identity und Access Management müssen aber künftig sehr viel stärker serviceorientiert sein, wenn sie ihren Platz in der Welt von serviceorientierten Architekturen finden sollen. Die Hersteller von IAM sind daran, die wichtigsten Identitätsdienste wie Anmeldung, Authentifizierung, Autorisierung oder Audit-Informationen als modular einsetzbare Software-Bausteine aufzusetzen, um so die Entwicklung von Identity-basierten Geschäftsprozessen und Business-Anwendungen zu beschleunigen und diese flexibel den sich verändernden Bedürfnissen anpassen zu können.
KCP beobachtet bereits ein signifikantes Anwachsen der Zahl von einschlägigen Beratungsprojekten, in denen «Identity as a service» in existierende Infrastrukturen eingebunden werden soll. Wir erwarten, dass sich 2007 erste Hersteller mit durchgängigen Konzepten und neuartigen Service-Schnittstellen über die bisherigen Produktgrenzen hinaus im Markt vorstellen werden.
Die dramatisch gestiegenen Sicherheitsrisiken bei mobilen Endgeräten zeigen, dass Identität künftig vermehrt auf der Hardware-Ebene unterstützt werden muss. Aktuelle Projekte von Intel und anderen Anbietern stehen kurz vor der Marktreife und werden sich 2007 in ersten Produkten niederschlagen. Allerdings fordert KCP die Hersteller auf, sich frühzeitig um eine Standardisierung in diesem Bereich zu bemühen, um Nachteile für die Endanwender abzuwenden.
Das Einhalten gesetzlicher und regulatorischer Vorschriften und Richtlinien ist das Gebot der Stunde. Es zeigt sich aber auch, dass manuelle oder organisatorische Prozesse und isolierte Lösungen nicht ausreichen, um die nötige Transparenz und Kontrolle innerhalb grösserer Unternehmen zu gewährleisten. Nur mit Hilfe durchgängiger, systemübergreifender Automatisierung im Bereich der Compliance wird es möglich sein, den verlangten Nachweis der Konformität und Risikovorsorge mit vertretbarem Aufwand und zu vernünftigen Kosten zu erbringen. KCP erwartet daher 2007 eine Fülle neuer Softwarelösungen zur Compliance-Automatisierung.
Die system- und unternehmensübergreifende Nutzung von Identitätsdaten auf der Grundlage von Industriestandards ist aus Sicht von KCP eines der vordringlichsten Themen in der modernen Unternehmens-IT. Durch die Zusammenarbeit und den geregelten Austausch von Identityinformationen eröffnen sich für die Wirtschaft enorme Wachstumspotentiale und Kostenvorteile.
Allerdings benötigt die Umsetzung von Federationprozessen derzeit noch einen langen Atem. Schuld daran ist das Fehlen von funktionierenden Identity-Infrastrukturen in den meisten Firmen. Wer es bisher versäumt hat, im Identity-Bereich seine Hausaufgaben zu machen und eine verlässliche Basis an nutzbaren Identitätsdaten zu schaffen, wird beim Thema Federation scheitern.
KCP erwartet dennoch für 2007 eine deutlich wachsende Zahl von Federation-Pilotprojekten sowie isolierte Implementierungen für spezifische Anwendungen vor allem im B2B-Bereich. Ab 2008 wird dieser Markt die «Early Adopter»-Phase verlassen, auch gestützt durch neue und erweiterte Federation-Lösungen insbesondere der grossen Anbieter.
Neben Provisioning-Projekten ist der Bereich Single-Sign-On (SSO) aus Sicht von KCP das Thema im IAM-Markt 2007, in dem es die grössten Investitionen geben wird. Profitieren werden vor allem die Anbieter von Enterprise-SSO, bei denen die Anmeldeinformationen auf zentralen Servern gespeichert werden. Wir erwarten auch für 2008 und 2009 eine grosse Zahl an SSO-Projekten, überwiegend auf der taktischen Ebene. Strategisch gesehen wird sich dagegen die Identity Federation als der führende Ansatz für die Realisierung des Single-Sign-On durchsetzen – sowohl im B2B-Bereich, als auch, über die Initiativen des user-centric IAM, im B2C-Umfeld.
Rollenmanagement als Möglichkeit zur einfachen und kosteneffizienten Verwaltung von Benutzerrechten und Arbeitsprozessen wird in der Unternehmens-IT schon seit vielen Jahren heiss diskutiert. Leider hat sich die Zahl der tatsächlich durchgeführten Projekte eher in Grenzen gehalten. Nach Beobachtung von KCP gewinnt das «alte» Thema heute wieder massiv an Fahrt, da sich zahlreiche Anforderungen des Business in Bereichen wie Provisioning, Federation oder Compliance nur auf der Basis von Rollenmodellen effizient oder überhaupt lösen lassen. KCP erwartet, dass insbesondere die Spezialanbieter von Systemen für die Rollenanalyse und das Rollenmanagement sowie strategische Berater in diesem Marktsegment von der «Renaissance des Rollenmanagements» profitieren werden.
Identity & Access Management war bisher vor allem ein Thema für grössere Unternehmen. Dabei spielen etwa Active Directory und eDirectory, zumindest auf der technischen Ebene, längst auch im Mittelstand eine wichtige Rolle. KCP geht davon aus, dass sich die Aufmerksamkeit für IAM 2007 deutlich in Richtung Mittelstand verschieben wird, da definierte Provisioning-Prozesse und klare Rollenkonzepte ebenso wie eine sichere und zuverlässige Authentifizierung mittels Federation auch hier immer wichtiger werden. Ohne eine wohldefinierte IAM-Infrastruktur sind solche Projekte nicht realistisch darstellbar.
Komplexe Compliance-Audits, steigende Anforderungen an die Qualität von Identitätsdaten und die anstehende Integration unterschiedlicher Systeme werden in Zukunft eine Herausforderung insbesondere für KMU darstellen. Da die wenigsten KMU über die Resourcen und das Know-How verfügen, um solche Projekte selbst durchführen zu können, bietet sich hier eine grosse Chance für Service-Provider. KCP erwartet für 2007 erste Angebote für Managed Services im IAM-Umfeld. Schwerpunkte werden die Identitätsintegration, aber auch spezielle und massgeschneiderte Lösungen im Bereich Compliance sein, bei denen einzelne Überwachungs- und Kontrollfunktionen problemlos und kostengünstig extern vergeben werden können.
Heute sind in den meisten Firmen die Systeme für den Zugang zum Unternehmen, die Authentifizierung am Computer, die Zahlung in der Kantine und andere Funktionen noch getrennt. Eine Integration wäre aber sinnvoll, um eine für Benutzer und in der Verwaltung der Karten und Anmeldeinformationen möglichst einfache Lösung zu bieten. Die Technologien dafür sind vorhanden, und im vergangenen Jahr sind auch viele neue Lösungen für integrierte Kartentechnologien auf den Markt gekommen, die RFID, RSA SecureID-Tokens, PINs und andere Verfahren miteinander kombinieren. Diese gestiegene technische Flexibilität muss nach Einschätzung von KCP 2007 dazu führen, dass mehr Unternehmen die Einführung solcher Lösungen projektieren.
Auf der ersten European Identity Conference 2007 werden mehr als 90 internationale Sprecher auf diese und viele weitere Themen im Identity Management eingehen. Die European Identity Conference findet vom 7.5. bis 10.5.2007 in München statt, die Teilnahmegebühr beträgt 1980 Euro. Informationen und Anmeldung unter www.id-conf.com.
