70 Prozent aller Identity Management-Systeme haben Lücken

"Identity Management 2008/2009 - Security & Compliance": 89 Prozent der Unternehmen sind trotzdem zufrieden

(29.09.09) - Obwohl 89 Prozent der IdM nutzenden Unternehmen mit ihrer Benutzerverwaltung zufrieden sind, können nur 30 Prozent die Existenz von missbrauchbaren Benutzerleichen mit völliger Sicherheit ausschließen. Dies ergab die aktuelle Studie des Beratungshauses deron in Zusammenarbeit mit den Hochschulen Ulm und Ansbach.

Ab sofort ist die Untersuchung "Identity Management 2008/2009 - Security & Compliance" erhältlich. Es ist bereits die dritte Anwenderstudie zu diesem Thema. Sie soll Entscheider bei Investitionen im Bereich Benutzerverwaltung unterstützen und zeigt die Bedeutung solcher IdM-Systeme: Lediglich 4 Prozent der Unternehmen ohne eigenes IdM-System betrachten IdM als "nicht notwendig".

Lesen sie zum Thema "Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de)

Gleichzeitig deckt die Untersuchung sicherheitsrelevante Lücken, beispielsweise beim Ausschließen von Benutzerleichen, auf.Für die Studie wurden 5000, überwiegend deutsche Unternehmen aller Branchen, mit meist mehr als 1000 Beschäftigten, angeschrieben. Rund ein Drittel der Teilnehmer hatte bereits IdM im Einsatz. Die daraus resultierenden Erfahrungen der Anwender, insbesondere aus den Bereichen "IT-Security", "Compliance" und "IT-Geschäftspro-zesse", präsentieren sich übersichtlich in über 80 Grafiken.

Dabei zeigten sich verbreitete Lücken in bestehenden IdM-Systemen: So können beispielsweise
70 Prozent aller IdM nutzenden Firmen das Bestehen veralteter Zugriffsrechte, so genannter Benutzerleichen, nicht mit Sicherheit ausschließen. Und das, obwohl über solche Account-Leichen sensible Daten leicht missbraucht werden können.

"Viele Unternehmen haben zwar Mechanismen, mit denen nicht mehr benötigte Accounts gelöscht werden. Doch dazu muss das System den Account erst einmal kennen", erklärt Dipl.-Ing. Klaus Scherrbacher, Geschäftsführer von deron. "Die meisten Unternehmen stehen beim Anlegen von Accounts ab und zu unvorhergesehenen Einzelfällen gegenüber. In dieser Situation vergessen sie die Einhaltung der IT-Geschäftsprozesse und legen einen Bypass - schon ist ein Account entstanden, den das IdM-System im Bedarfsfall nicht findet und somit auch nicht löscht. Sein Missbrauch ist dann nur noch eine Frage der Zeit." Nur wenn die IT-Geschäftsprozesse lückenlos und mit viel Weitblick definiert sind, ist das System wirklich sicher. Aber gerade die Definition der IT-Geschäftsprozesse fällt 74 Prozent aller befragten IdM-Nutzer offensichtlich am Schwersten. (deron: ra)