Dr. Horst Walther, Kuppinger, Cole + Partner

Expertenfrageecke

Horst Walther SiG Software Integration GmbH, Hamburg[1]

erschienen in NIFIS Advice (02/2008), März 2008, Seite 3

An dieser Stelle beantworten regelmäßig Experten Fragen, die NIFIS häufig erreichen. In dieser Ausgabe steht Dr. Horst Walther, Partner bei Kuppinger Cole + Partner und Leiter des NIFIS-Expertenforums für Identity Management Rede und Antwort. Sollten auch Sie eine Frage an unsere Experten haben, senden Sie diese einfach an newsletter@nifis.de.

Bei vielen Aufgaben im Unternehmen ist die Zuständigkeit intuitiv klar, etwa bei der Buchhaltung, der Revision oder dem Controlling. Beim Identity Management ist dies allerdings nicht so eindeutig. IM ist eine fachliche Aufgabe und Teil der Unternehmensorganisation. Wer sollte also im Unternehmen für Identity Management zuständig sein?

Human Resources

Identity Management behandelt den Umgang mit digitalen Identitäten, also dem digitalen Abbild von Individuen. Human Resources (HR) hat eine natürliche Affinität zu Personen, sie könnte sich der Aufgabe annehmen - will es aber meistens nicht. Denn so, wie sich die HR-Funktion als &lquo;Personalverwaltung&rquo; sieht, ist sie relativ businessfern und die Reaktionszeit zu langsam.

Business

Im Fachbereich wiederum decken sich Verantwortung und Aufgaben. Allerdings fehlt methodisches und technisches Wissen. Hinzu kommt, das Identity Management eine unternehmensübergreifende Aufgabe ist. Der einzelne Fachbereich hingegen ist eben nur ein Bereich unter mehreren.

Informationssicherheit

Da die Erhöhung der Informationssicherheit häufig der Auslöser für die Einführung von damit zusammenhängender Technik und den zugehörigen Verfahren ist, wird hier häufig auch die Verantwortung dafür festgemacht. Zwar sind das Wissen um die Risiken und auch der entsprechende Sachverstand vorhanden, jedoch hat die ISS weder ein Organisationsmandat noch eine Ergebnisverantwortung.

IT

Da die IT die Maßnahmen des Identity Management umsetzen kann und muss und Sicherheitslücken hier offenbar werden - auch wenn sie originär aus anderen Bereichen stammen - nimmt sich die IT oft schon in Eigeninitiative der Aufgabe an. Das technische Umsetzungswissen dafür ist oft schon vorhanden. Was aber fehlt, ist das übergreifende Mandat für die Unternehmensgestaltung. Organisation ist eben nicht Technik.

Neue Funktion

Wenn die Organisationsaufgabe im Unternehmen nicht wirksam verankert ist, dann empfehlen wir, eine neue, interdisziplinär arbeitende Funktion zu schaffen. Sie muss für Identitäten, Rollen und Prozesse zuständig sein. Sie braucht organisatorisches und technisches Wissen - und ein Gestaltungsmandat für das Unternehmen.

Horst Walther, Hamburg