Im März hieß es für unser USO-Team wieder Kofferpacken! Voller Vorfreude ging es zuerst nach Bergisch Gladbach zu den StrategieTagen IT Security und dann zur Rethink! IAM nach Berlin. Was uns erwartet hat: intensive fachliche Gespräche und erfrischende Offenheit. Denn Referenten und Teilnehmer haben ehrlich über Schmerzpunkte, Umwege und echte Fortschritte diskutiert. Ein Rückblick. 

Ob IAM, IGA, CIAM, PAM oder Zero Trust: Die Buzzwords waren schnell genannt. Doch anstatt an der Oberfläche zu kratzen, gingen Vorträge auf den Veranstaltungen wirklich in die Tiefe.  

Ein Beispiel: Ein Use Case zur Customer Identity zeigte, wie europäische IAM-Anbieter mit Fokus auf Datenschutz, lokaler Datenhaltung und FIDO2-basierter MFA passwortlose Authentifizierung realisieren. Auch für Kunden in sicherheitskritischen Regionen interessant und eine echte Alternative zu US-Plattformen! 

Ein anderer Beitrag von der Swisscom als chimärer Anbieter und Nutzer der Lösung thematisierte Privileged Access Management und Access Governance in einer heterogenen IT-Landschaft mit parallelen Altsystemen. Ziel war es, eine durchgängige Zugriffskontrolle über alle Benutzergruppen und Infrastrukturen hinweg zu etablieren – inklusive Integration von IGA und CIAM zur Abbildung von Enterprise-Kunden- und Dienstleisterzugriffen. Gerade in komplexen Übergangsarchitekturen ein wertvolles Zusammenspiel.    

Exkurs: Aha-Momente abseits von IAM

Die StrategieTage IT Security auf Schloss Bensberg waren auch dieses Jahr eine Wucht. Die C-Level-Riege der Informationssicherheit versammelte sich hier, um sich über die neusten IT-Sicherheitsstrategien zu informieren und die ein oder andere Handlungsempfehlung abzugreifen. Doch ein Thema hatte niemand auf dem Schirm.   

Gemeinsam mit unserem Partner ReversingLabs haben wir die Teilnehmer mit Demonstrationen zur Software Supply Chain Security in den Bann ziehen dürfen. Dabei leuchteten die Alarmglocken nicht nur am PC, sondern vor allem in den Köpfen der Besucher. Schließlich stellt Software Supply Chain eine erhebliche Sicherheitslücke in vielen Firmen dar. 

Tiefere Einblicke zur Software Supply Chain Security und der aktuellen Gesetzeslage geben wir Ihnen gerne in einem Blogbeitrag. Coming soon!   

Gefreut haben wir uns persönlich über die Aussage einer namhaften Elektronik-Fachmarktkette: „Das Tool ist am Ende fast egal!“. Schließlich predigen wir es unseren Kunden seit Jahren: Die Technologie trägt zum erfolgreichen Identity and Access Management nur einen Teil bei – grob geschätzt zwischen 25 und 30 Prozent. Der erste Impuls, Misserfolg auf ein Tool zu schieben, ist meist nicht gerechtfertigt. Viel eher tragen unklare Zuständigkeiten, mangelnde Prozessreife oder unrealistische Erwartungen zum Scheitern bei.  

„Wer IAM erfolgreich gestalten will, muss vor allem die Prozesse kennen und die Datenflüsse verstehen!“ Immer wieder wurde diese Botschaft wiederholt. Identity Security funktioniert nur mit einer sauberen Datenbasis und einem klaren Zielbild. Der geeignete Tool-Stack kommt danach. Und er ist – bedingt – austauschbar, wenn man sich nicht zu sehr im Customizing verfängt. 

IAM-Erfolg hängt also nicht nur von der Wahl des passenden Herstellers oder Produkts ab, sondern vor allem davon, seine eigene Position, seinen Reifegrad und die eigenen Prozesse im Unternehmen zu kennen. Erst wenn man Menschen, Prozesse und Datenflüsse ergründet, dokumentiert und dann aus dem Istzutand ein Zielbild samt ordentlicher Strategie und Architektur erstellt hat, sollte man in die Tool-Auswahl einsteigen.  

Unterm Strich gilt: Die Herausforderungen im Identity-Management sind weniger technischer als vielmehr organisatorischer Natur. Veraltete oder unnötig komplizierte (Papier-)Prozesse, inkonsistente Stammdaten, fehlende Rollenmodelle und zu viele manuelle Schritte bringen selbst die besten Tools an ihre Grenzen. Projekte stocken, weil es an der notwendigen Governance, klarer Verantwortlichkeit und Zuständigkeit für Prozesse oder am Verständnis für die eigenen Datenflüsse fehlt. 

Besonders prägnant wurden diese Punkte in einem Beitrag zusammengefasst, der sieben Gründe für das Scheitern von IGA-Projekten nannte – darunter schlechte Datenqualität, unklare Rollenmodelle und unzureichend definierte Joiner-Mover-Leaver-Prozesse. Die Message war deutlich: Ohne saubere Stammdaten und belastbare Prozesse geht es nicht! 

Der Wille zur Veränderung war auf beiden Veranstaltungen greifbar. Immer mehr Organisationen stellen sich grundsätzliche Fragen: Welche Systeme werden wirklich gebraucht? Wo lassen sich Synergien schaffen? Und wie gelingt der Spagat zwischen regulatorischen Anforderungen und Usability? Gerade hier wandelt sich der Austausch auf Augenhöhe zum Erfolgsfaktor. Denn wer zusätzlich zu seinen Meilensteinen auch Sackgassen teilt, bringt die Community voran. 

Was bleibt? Ein realistischer Blick auf das, was Identity Management leisten kann – und was nicht. Ein System allein reicht nicht aus. Prozesse, Daten und die Menschen dahinter entscheiden darüber, ob IAM-Projekte erfolgreich sind. Dafür muss IAM raus aus der IT-Nische und rein ins strategische Zentrum. Nur wer seine Identitäten versteht, kann Vertrauen digital gestalten.