Artikel
Die sich entwickelnde Bedrohungslage sowie die fortschreitende Digitalisierung macht Identitäts- und Zugriffsmanagement (IAM) zu einer Schlüsselkomponente jeder IT-Sicherheitsarchitektur. Der Markt für IT-Sicherheit ist ein attraktives mehrjähriges und nachhaltiges Wachstumsthema, weshalb Credit Suisse Asset Management in führende Unternehmen im Bereich IAM investiert.
10. Januar 2023
Die ersten Formen von Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) wurden Anfang 1960 eingeführt, als Fernando Corbato, ein amerikanischer Informatiker und Professor am Massachusetts Institute of Technology (MIT), die Verwendung von Passwörtern zum Schutz von Computerdateien entwickelte1.
In den letzten Jahrzehnten hat sich der IAM-Markt weiterentwickelt und deutlich verändert: Ursprünglich wurden Identitätsmanagement-Lösungen ausschliesslich für den internen Gebrauch durch Mitarbeitende entwickelt. Je grösser und komplexer Unternehmen jedoch wurden, desto mehr Personen und Geräte aus anderen Netzwerken kamen hinzu, deren Identitäten und Zugriffsrechte authentifiziert und überprüft werden mussten. Zudem beschleunigte die Fernarbeit während der COVID-19-Pandemie diesen Trend. Dies hat den Bedarf an geeigneten Tools, die sicherstellen, dass die richtigen Personen zum richtigen Zeitpunkt den richtigen Zugriff auf die richtigen Systeme haben, nur vergrössert. Heutzutage hat sich Identitätssicherheit zur digitalen Eingangstür für IT-Netzwerke entwickelt und erstreckt sich über Benutzer, Geräte, Anwendungen und Infrastruktur.
In diesem Thematic Insight erläutern wir Identitäts- und Zugriffsmanagement und sein Marktpotenzial, vergleichen die Kosten von Cloud- und On-Prem-Lösungen und schliessen mit einem Fazit.
Identitäts- und Zugriffsmanagement ist das Rahmenwerk aus Geschäftsprozessen, Richtlinien und Technologien, das es den richtigen Subjekten (Personen oder Dingen, z.B. Servern) ermöglicht, die richtigen Ressourcen (Anwendungen oder Daten) störungsfrei zu verwenden, wenn sie es müssen. IAM-Systeme können als On-Premises-Lösung vor Ort oder von einem externen Anbieter als Cloud-basiertes Abonnement (SaaS) oder als Hybridmodell bereitgestellt werden.
Diversen Statistiken zufolge sind Identitäten der Angriffsvektor Nummer Eins für Cyberkriminelle:
Cyberbedrohungen entwickeln sich rasant, werden schneller und komplexer. Laut CrowdStrike, einem US-amerikanischen IT-Sicherheitsunternehmen, verkürzte sich der Einbruchszeitraum, also die Zeit, die Cyberkriminelle benötigen, um in ein Netzwerk einzudringen und auf Daten zuzugreifen, von neun Stunden und 42 Minuten im Jahr 2018 auf eine Stunde und 38 Minuten im Jahr 2022. Für den Zugriff auf kritische Assets und Infrastruktur ist also nur noch rund ein Sechstel der Zeit erforderlich5.
In der Vergangenheit nutzten Unternehmen einen sogenannten «Burg-und-Graben-Ansatz». Dieser geht davon aus, dass alle Sicherheitsbedrohungen von ausserhalb eines Unternehmens kommen und «traditionelle» Firewalls ausreichen, um die IT-Infrastruktur eines Unternehmens oder einer Regierungsbehörde zu sichern. In der digitalen, standortunabhängigen Welt von heute ist dieser Ansatz nicht mehr effektiv. Heutzutage erstrecken sich IT-Infrastrukturen weit über die Mauern von Gebäuden hinaus auf andere Anwendungen, Datenzentren, Benutzer und Geräte. Die COVID-19-Pandemie hat diesen Trend noch beschleunigt: Von zu Hause aus zu arbeiten ist nun Realität. Infolgedessen wurden die digitalen Ökosysteme komplexer und die Zahl digitaler Identitäten wächst exponentiell. Jede externe Verbindung zu einem IT-Netzwerk erfordert eine digitale Identität, unabhängig davon, ob es sich um eine Anwendung, einen Server, einen Benutzer oder ein Gerät handelt. Leider wird dadurch der potenzielle Angriffsvektor für Cyberkriminelle erweitert, da es mehr Einstiegspunkte ins Netzwerk gibt, was für die IT-Sicherheit eine ständige Herausforderung darstellt.
Die häufigsten Cyberangriffe erfolgen in Form von Phishing, Malware, Credential Stuffing oder Missbrauch von Berechtigungen6. Als Gegenmassnahme setzen Unternehmen ein Zero-Trust-Framework für ihre Netzwerke ein, das davon ausgeht, dass niemand, nicht einmal ein interner Benutzer, vertrauenswürdig ist und jeder Benutzer authentifiziert, autorisiert und kontinuierlich bewertet werden muss, bevor er Zugriff auf Daten oder Anwendungen erhält. Dadurch fungiert IAM als der zentrale Einstiegspunkt ins Netzwerk, der alle Benutzer, Geräte und Anwendungen überprüft und ihnen den Zugriff ermöglicht. Zu diesem Zweck unterstützen IAM-Lösungen fünf «A»-Bereiche: Authentifizierung, Autorisierung, Administration, Analyse und Audit.
Die Investmentbank Jefferies prognostiziert ein Wachstum des IAM-Marktes, der sich aus den fünf Segmenten Access Management/Single Sign-On (SSO), Advanced Authentication, Privilege Access Management (PAM), Identity Governance and Administration (IGA) und Customer Identity and Access Management (CIAM) zusammensetzt, von USD 20,1 Mia. im Jahr 2021 auf USD 37,4 Mia. im Jahr 2025 bei einer durchschnittlichen jährlichen Wachstumsrate (CAGR) von 15,7 %. CIAM dürfte mit einer CAGR von 26,5 % die stärkste Wachstumsbeschleunigung erreichen; PAM, Advanced Authentication, IGA und Access Management/SSO werden voraussichtlich jeweils 16,0 %, 15,3 %, 9,9 % und 5,2 % erreichen7.
Abbildung 1: Der Markt für Identitäts- und Zugriffsmanagement (in Mia. USD)
Quelle: Jefferies (2022): Okta, Initiation Report, Equity Research, 15. Sept. 2022, S. 13.
Der Markt für IAM macht rund 10 % der Gesamtausgaben für IT-Sicherheit aus8. Das starke Wachstum wird durch die fortschreitende Digitalisierung unserer Gesellschaft und den Übergang zur Cloud angetrieben. Wir sind der Ansicht, dass der IAM-Markt in den nächsten Jahren voraussichtlich besser abschneiden wird als der Gesamtmarkt für IT-Sicherheit, hauptsächlich aufgrund der steigenden Anzahl von Benutzern, Anwendungen und Geräten, die versuchen, auf das Netzwerk zuzugreifen. Darüber hinaus ist der Wechsel zu Zero Trust auch weiterhin ein Wachstumstreiber für IAM. Zudem sind wir der Ansicht, dass es drei mögliche Wachstumshindernisse geben könnte:
Der IAM-Markt wird hauptsächlich durch die wachsende Akzeptanz der Cloud angetrieben, die auf Kosten der älteren On-Prem-Anbieter erfolgt, die unserer Ansicht nach Gefahr laufen, Marktanteile zu verlieren. Die Hauptgründe für diese Marktanteilsverschiebung sind folgende:
Abbildung 2 zeigt ein Beispiel für einen Vergleich der Gesamtbetriebskosten (Total Cost of Ownership, TCO) einer herkömmlichen On-Premises-IAM-Softwarelösung im Vergleich zu einer IAM-Softwarelösung in der Cloud für ein mittelständisches Unternehmen (5000 Benutzer). Dazu gehört auch der Technologieanteil (der unabhängig von der Bereitstellung in der Cloud oder einem On-Premise-Modul vergleichbar ist). Allerdings könnten die Kosten durch sonstige Faktoren wie Implementierungsexperten, Service und Wartung, Software-Updates und Bereitstellung über fünf Jahre erhöht werden9.
Abbildung 2: Vergleich der TCO eines herkömmlichen IAM-On-Premises-Ansatzes mit dem IAM-Cloud-Ansatz (in USD)
Quelle: Identropy (2013): IDaaS for Dummies, 2013, John Wiley & Sons, Hoboken, NJ, S. 30. Trotz der Tatsache, dass dieses Beispiel für die TCO-Berechnung vor einigen Jahren veröffentlicht wurde, weisen neuere Publikationen ähnliche Kostenvorteile auf. Als Beispiel empfehlen wir interessierten Leserinnen und Lesern die in der Fussnote erwähnte TCO-Analyse10.
Abbildung 2 zeigt, dass ein IAM-Cloud-Ansatz hinsichtlich der Gesamtbetriebskosten attraktiver ist als ein herkömmlicher On-Premises-Ansatz. Die Hauptgründe sind, dass Cloud-Lösungen weder den Kauf spezieller Hardware noch spezielle Implementierungs- und Betriebsteams erfordern, da sie vom IAM-Anbieter verwaltet werden. Darüber können Cloud-Lösungen dank der gemeinsam genutzten Hardware und Betriebsmitarbeitenden aus dem Cloud-Modell Kosteneinsparungen aus Skaleneffekten an die Kundschaft weitergeben. Da die IAM-Cloud-Lösungen softwarebasiert sind, ist es für das Unternehmen nicht erforderlich, alle vier bis fünf Jahre Hardware-Aktualisierungen durchzuführen, und die Zahlungen erfolgen auf Basis eines Pay-per-Use-Modells, was die Skalierung erheblich vereinfacht.
Ein Übergang von On-Premises- zu Cloud-basierten IAM-Lösungen fand in den letzten Jahren aufgrund ihrer Skalierbarkeit, Flexibilität, Effizienz und Kosteneinsparungen auf breiter Basis statt. Im Allgemeinen sind wir der Ansicht, dass sich dieser Trend nur noch beschleunigen und laut IDC-Prognosen bis 2025 eine Penetration von rund 65 % erreichen wird, während wir bei On-Premise-Bereitstellungen davon ausgehen, dass sie zurückgehen könnten11.
Seit die Menschen zu kommunizieren begonnen haben, besteht ein Bedarf an Schutz und Kontrolle des Zugriffs auf Informationen. Die zentralen Komponenten dieser Kontrolle sind im Wesentlichen noch immer die gleichen wie heute: Man bestätigt die eigene Identität, wenn man versucht, auf Systeme, Anwendungen und Informationen zuzugreifen, und ermittelt nach der Authentifizierung, ob man auf eine bestimmte Ressource zugreifen oder eine bestimmte Aktion ausführen kann.
Heutzutage ist die Sicherung der Mitarbeiteridentität für Unternehmen zu einer Priorität geworden, da sich das globale Arbeitsmodell immer mehr in Richtung «Arbeiten von überall» verschiebt und der Übergang zur Cloud herkömmliche Grenzlinien verwischt. Identitäts- und Zugriffsmanagement ist eine zentrale Komponente jeder IT-Sicherheitsarchitektur, die durch das sich entwickelnde Bedrohungsumfeld und die fortschreitende Digitalisierung unserer Gesellschaft angetrieben wird. Dadurch wird der Markt für IT-Sicherheit zu einem attraktiven, mehrjährigen Langzeit-Wachstumsthema, weshalb wir in führenden Unternehmen im Bereich IAM investiert sind.
Wählen Sie in der Fondssuche aus unserem umfangreichen Produktangebot die für Sie passende Anlagelösung. Hier erhalten Sie Zugriff auf alle produktbezogenen Informationen.
Folgen Sie einem Fonds und erhalten Sie das Factsheet jeden Monat schnell und unkompliziert per E-Mail.
Fragen Sie uns nach interessanten Anlagechancen. Wir helfen Ihnen, Ihre Anlageziele zu erreichen.
Sofern dieses Material Aussagen zur Zukunft enthält, sind diese Aussagen zukunftsgerichtet und bergen daher diverse Risiken und Ungewissheiten. Sie sind keine Garantie für künftige Ergebnisse.
Die vorgenannten Personen führen regulierte Tätigkeiten nur in dem Land/den Ländern durch, in dem/denen sie ordnungsgemäss lizenziert sind, sofern dies relevant ist.
1 Quelle: The Wall Street Journal (2014): Despite Data Thefts, the Password Endures, in: The Wall Street Journal, 21. Mai 2014.
2 Quelle: VansonBourne/HYPR (2022): The State of Authentication in the Finance Industry, Umfrage, S. 5, URL: https://get.hypr.com/hubfs/DL%20Assets/State-of-Authentication-in-Finance-Industry-2022.pdf, 25.9.2022.
3 Quelle: Egress (2021): Insider Breach Data Survey, S. 5, URL: https://www.egress.com/media/4kqhlafh/egress-insider-data-breach-survey-2021.pdf, 25.9.2022.
4 Quelle: The Identity Defined Security Alliance (IDSA) (2020): Identity Security: A work in progress, Medienmitteilung, URL: https://www.idsalliance.org/press-release/79-of-organizations-have-experienced-an-identity-related-security-breach-in-the-last-two-years-according-to-new-identity-defined-security-alliance-study/, 25.9.2022.
5 Quelle: CrowdStrike (2022): The CrowdStrike 2022 Global Threat Report, S. 8, URL: https://go.crowdstrike.com/rs/281-OBQ-266/images/Report2022GTR.pdf, 25.9.2022.
6 Quelle: VansonBourne/HYPR (2022): The State of Authentication in the Finance Industry, Umfrage, S. 7, URL: https://get.hypr.com/hubfs/DL%20Assets/State-of-Authentication-in-Finance-Industry-2022.pdf, 25.9.2022.
7 Quelle: Jefferies (2022): Okta, Initiation Report, Equity Research, 15. Sept. 2022, S. 13.
8 Quelle: Oppenheimer (2022): Cybersecurity Primer 1,0, Branchenbericht, 18. April 2022, S. 15.
9 Quelle: Identropy (2013): IDaaS for Dummies, 2013, John Wiley & Sons, Hoboken, NJ, S. 30.
10 Die folgenden zwei Studien sind als weiterführende Lektüre empfehlenswert:
11 Quelle: IDC (2021): IDC forecasts worldwide «Whole Cloud» spending to reach USD 1.3 trillion by 2025, URL: https://www.idc.com/getdoc.jsp?containerId=prUS48208321, 28.9.2022.
Dieses Material stellt Marketingmaterial der Credit Suisse Group AG und/oder mit ihr verbundener Unternehmen (nachfolgend «CS» genannt) dar. Dieses Material stellt weder ein Angebot oder eine Aufforderung zur Emission oder zum Verkauf noch einen Bestandteil eines Angebots oder einer Aufforderung zur Zeichnung oder zum Kauf von Wertpapieren oder anderen Finanzinstrumenten oder zum Abschluss einer anderen Finanztransaktion dar. Ebenso wenig stellt es eine Aufforderung oder Empfehlung zur Partizipation an einem Produkt, einem Angebot oder einer Anlage dar. Diese Marketingmitteilung stellt kein rechtsverbindliches Dokument und keine gesetzlich vorgeschriebene Produktinformation dar. Dieses Material stellt in keiner Weise ein Anlageresearch oder eine Anlageberatung dar und darf nicht für Anlageentscheidungen herangezogen werden. Es berücksichtigt weder Ihre persönlichen Umstände noch stellt es eine persönliche Empfehlung dar, und die enthaltenen Informationen sind nicht ausreichend für eine Anlageentscheidung. Die in diesem Dokument enthaltenen Informationen und Meinungen repräsentieren die Sicht der CS zum Zeitpunkt der Erstellung und können sich jederzeit und ohne Mitteilung ändern. Sie stammen aus Quellen, die für zuverlässig erachtet werden. Die CS gibt keine Gewähr hinsichtlich des Inhalts und der Vollständigkeit der Informationen und lehnt, sofern rechtlich möglich, jede Haftung für Verluste ab, die sich aus der Verwendung der Informationen ergeben. Ist nichts anderes vermerkt, sind alle Zahlen ungeprüft. Die Informationen in diesem Dokument dienen der ausschliesslichen Nutzung durch den Empfänger. Die Angaben in diesem Material können sich nach dem Datum der Veröffentlichung dieses Materials ohne Ankündigung ändern, und die CS ist nicht verpflichtet, die Angaben zu aktualisieren. Dieses Material kann Angaben enthalten, die lizenziert und/oder durch geistige Eigentumsrechte der Lizenzinhaber und Schutzrechtsinhaber geschützt sind. Nichts in diesem Material ist dahingehend auszulegen, dass die Lizenzinhaber oder Schutzrechtsinhaber eine Haftung übernehmen. Das unerlaubte Kopieren von Informationen der Lizenzinhaber oder Schutzrechtsinhaber ist strengstens untersagt. Dieses Material darf nicht an Dritte weitergegeben oder verbreitet und vervielfältigt werden. Jegliche Weitergabe, Verbreitung oder Vervielfältigung ist unzulässig und kann einen Verstoss gegen den Securities Act der Vereinigten Staaten von 1933 in seiner jeweiligen Fassung (der «Securities Act») bedeuten. Zudem können im Hinblick auf das Investment Interessenkonflikte bestehen. In Zusammenhang mit der Erbringung von Dienstleistungen bezahlt die Credit Suisse AG und/oder mit ihr verbundene Unternehmen unter Umständen Dritten oder erhält von Dritten als Teil ihres Entgelts oder in anderer Weise eine einmalige oder wiederkehrende Vergütung (z.B. Ausgabeaufschläge, Platzierungsprovisionen oder Vertriebsfolgeprovisionen). Potenzielle Anleger sollten (mit ihren Steuer-, Rechts- und Finanzberatern) selbstständig und sorgfältig die in den verfügbaren Materialien beschriebenen spezifischen Risiken und die geltenden rechtlichen, regulatorischen, kreditspezifischen, steuerlichen und buchhalterischen Konsequenzen prüfen, bevor sie eine Anlageentscheidung treffen.
Händler: Credit Suisse (Deutschland) AG, Taunustor 1, 60310 Frankfurt am Main
