Make or Buy – Wie sinnvoll ist ein DIY-IAM

7. Juli 2021 | 

Am Anfang vor der Einführung einer Identity and Access Management (IAM) Lösung steht oft die Frage: Make or Buy? Es erscheint viel einfacher, kostengünstiger und schneller die paar wenigen Funktionen selbst zu implementieren, bevor eine professionelle Lösung evaluiert, gekauft und eingeführt wird. Für Entwickler ist die Realisierung einer hauseigenen IAM-Lösung noch dazu eine spannende Aufgabe: Das Thema ist seit Langem bekannt, die nötigen Bibliotheken sind leicht verfügbar und in der Regel gut dokumentiert.

Unter solchen Voraussetzungen etwas Eigenes aufzubauen, ist verlockend. Wann hat man sonst schon die Gelegenheit, die eigenen Bedürfnisse in Features umzusetzen und neue Standards zu gestalten? Nur: Ist das auch sinnvoll?

Am Anfang steht der Zeitdruck

Zu Beginn ist die Begeisterung groß. Jeder beteiligt sich gerne und ist fasziniert, wie schnell es voran geht. Mit der Zeit aber wird es zäher. Unerwartete Probleme tauchen auf, immer mehr Sonderfälle müssen berücksichtigt werden. Die zunächst empfundene Freude über die umfassende Projekt- und Prozesskontrolle wird langsam zur Bürde. Zeitpläne werden verschoben. Mitglieder des Projektteams werden immer öfter für dringende Projekte im Kerngeschäft abgezogen. Und auch wenn man die eigene IT-Landschaft besser als jeder Fremdanbieter kennt, löst das alleine noch lange nicht alle möglichen Probleme. Im Gegenteil kann es sogar zu einer gewissen Betriebsblindheit führen und effizientere Ansätze verhindern.

Es wächst und wächst

Es dauert also ein bisschen länger. Aber auch nach der ersten lauffähigen Version sind derartige Projekte nie wirklich „fertig“. Bugs müssen beseitigt werden. Die Anwender verlangen nach weiteren Features. Im Laufe der Zeit müssen Anpassungen an veränderte Infrastrukturen und neue Security-Standards geschaffen werden. Der damit verbundene Aufwand wird in der Regel deutlich unterschätzt. Enthusiastisch begonnene Projekte entwickeln sich so zu einer Altlast mit viel Frust für alle Beteiligten. Schlimmer noch: Bei kritischen Aufgaben wie IAM wird das Ganze schnell auch sicherheitsrelevant.

Lohnt sie sich jetzt also, die eigene, selbstentwickelte IAM-Lösung? Oder ist ein fertiges Produkt der klügere Ansatz? Eine allgemeingültige Antwort gibt es nicht. Aber einige Parameter, die zumindest eine Richtung andeuten.

7 Gründe für Kaufen statt Machen

Entwicklerkapazitäten:
Die eigenen Entwickler werden nicht auf unbestimmte Zeit geblockt sondern können sich auf das Kerngeschäft konzentrieren, und das ist meist nicht IAM.

Definiertes Timing:
Ein fertiges Produkt mit passenden und geprüften Features kann sofort integriert und verwendet werden statt Schau’n wir mal wenn man sich seine Lösung selbst baut.

Ständig aktualisiertes Sicherheitskonzept:
Sicherheitspatches werden kontinuierlich bereitgestellt. Mitarbeiter können sich auf ihre Kernaufgaben konzentrieren.

Flexible Authentifizierungsverfahren:
Produkte stellen eine Vielzahl von Authentifizierungsverfahren bereit. Veränderte Nutzerpräferenzen und Integrationsansätze können so einfach berücksichtigt werden.

Profitieren Sie von anderen:
Mit einer breiten Installationsbasis sind die Produkte ausgereift und decken die Bedürfnisse vieler Kunden ab. Sie bieten Funktionen in verschiedenen Bereichen, die sich leicht integrieren und anpassen lassen.

Reibungslose Einbindung von Applikationen:
Applikationen und mobile Apps müssen nicht umständlich für unterschiedliche Identity Provider angepasst werden, sondern nutzen Standardschnittstellen

Gute Skalierung:
Cloud-basierte Lösungen wachsen mit dem Unternehmen mit.

Trotz allem können DIY-Projekte auch für IAM ab und an sinnvoll sein. Nämlich dann, wenn es um überschaubare Projekte ohne langfristige strategische Ausrichtung geht. Unter diesen Voraussetzungen sind Eigenentwicklungen nicht nur maßgefertigter, sondern können auch ein gewaltiger Motivationsfaktor fürs Team sein.

Sobald es aber um strategische Lösungen geht, zahlreiche Kunden und Lieferanten eingebunden werden sollen und das System über Jahre hinweg skalierbar sein muss, führt kein sinnvoller Weg an einem fertigen Produkt vorbei. Denn dann punkten diese mit Faktoren wie den Erfahrungen aus einer breiten Installationsbasis, einer verlässlichen Weiterentwicklung unabhängig von verfügbaren Kapazitäten und nicht zuletzt einer sicheren Kostenplanung.