Reifeskala der Identitätssicherheit

Die Kriterien beschränken sich dabei nicht nur auf die technischen Fähigkeiten und Tools, sondern decken auch die Punkte Strategie, Betriebsmodell und Mitarbeiter ab. Denn nur wenn die Identity-Strategie auch auf die Geschäftsziele des Unternehmens abgestimmt ist und zentral über das gesamte Unternehmen verfolgt und gemessen sowie von einem IAM-Team unterstützt wird, kann das Programm erfolgreich sein. Reifegrad 1 ist dabei unzureichend, die Reifegrade 2-3 decken die grundlegenden Funktionen zum Identity-Management ab. Die Grade 4-5 zählen zu den erweiterten IAM-Fähigkeiten.

Für Unternehmen mit Reifegrad 1 ist das Identitätsmanagement kein Schwerpunkt – es handelt sich lediglich um fragmentiert eingesetzte Tools und nicht um eine unternehmensweite Strategie. Oft werden auch veraltete Instrumente zur Verwaltung der Nutzerrechte statt moderne Identity-Lösungen verwendet. Es fehlt an einem Betriebsmodell zur Organisation von Teams und zur unternehmensweiten Verwaltung aller Arten von Identitäten.

Unternehmen, die zwar Lösungen zum Identity Management einsetzen, aber dies meist manuell tun, erreichen den Reifegrad 2. In diesen Unternehmen wird Identity Management nur eingesetzt, um taktisch auf bestimmte Herausforderungen wie etwa Compliance oder Sicherheitsverletzungen zu reagieren. Die Akzeptanz innerhalb des Betriebs gegenüber einer Identity-Strategie ist eher gering und die Fähigkeiten zur Umsetzung des Programms sind elementar. Das Identity-Team besteht hauptsächlich aus einem Helpdesk mit einem IT-Team für die Wartung von Tools. Zentralisierte IAM-Funktionen haben primär einen Fokus zur Erfüllung von Service-Tickets. Unternehmen auf Level 2 setzen meist auf Passwort-Manager und wissensbasierte Multi-Faktor-Authentifizierung statt auf automatisierte Identitätsverwaltung.

Reifegrad 3 umfasst Unternehmen, die bereits ein digitalisiertes Identity-Management auf breiter Ebene implementiert haben. Viele IAM-Funktionen, wie ein automatisiertes Lifecycle-Management sowie die automatisierte Verwaltung von Maschinenidentitäten, gehören bereits zum Standard. Es gibt eine Strategie, die den Impact des zentralisierten Betriebsmodells auf das Unternehmen durch festgesetzte Metriken misst. Identity-Funktionen werden im Unternehmen zunehmend angenommen. Ein gewisses Maß an Automatisierung und Identity wird auf die Cloud sowie Data Governance ausgeweitet.

Für Unternehmen auf Reifegrad 4 ist das Identity-Programm zum strategischen Wegbereiter für Innovation und Sicherheit im Unternehmen geworden. KI besitzt hier einen hohen Stellenwert, wenn es um automatisierte Zugriffsentscheidungen bzw. -empfehlungen geht. Die Empfehlung basiert auf Risikoeinschätzungen. Passwörter gehören in Level 4-Unternehmen der Vergangenheit an: Der Login auf Laptops oder Anwendungen funktioniert passwortlos. Zudem gibt es meist ein Identity-Team aus Daten- und Identity-Spezialisten, welches Analysen durchführt und im gesamten Unternehmen als Experten im Bereich IAM anerkannt wird.

Unternehmen, die von sich behaupten können, den Reifegrad 5 im Unternehmen umgesetzt zu haben, verfügen über ein vereinheitlichtes Identitätsmanagement. Das etablierte Betriebsmodell ermöglicht die Zusammenarbeit mit Ökosystemen anderer Unternehmen. Beschäftigte haben nahtlosen Zugriff auf die ihnen zugewiesenen Anwendungen und profitieren von Biometrie sowie Geräte-MFA – Fingerabdruck oder Geschichtserkennung und verhaltensbasierte Verifizierung. In diesen Unternehmen dient Identität als kritischer Kontrollpunkt bei der Verringerung von Cybersecurity-Risiken. Zudem unterstützt sie Unternehmen bei technologischen Innovationen der nächsten Generation

Mit zunehmender Reife verbessern Unternehmen ihre Sicherheitslage und Widerstandsfähigkeit drastisch und minimieren damit natürlich auch ihr Cyberrisiko. Eine von Sailpoint durchgeführte Umfrage zeigt: Unternehmen, die von Reifegrad 3 auf Reifegrad 4 aufsteigen, erkennen Cyberangriffe 40 Prozent schneller – dank der Nutzung von KI und ML und der dadurch verbesserten Transparenz. Die durchschnittliche Reaktionszeit auf eine Sicherheitsverletzung sinkt von drei Stunden auf nur drei Minuten. Und die Reaktionszeit ist entscheidend für Schadensbegrenzung und Risikominderung.