Identity and Access Management
Rahmenwerk für die zentrale Verwaltung digitaler Identitäten und deren Zugriffsrechte auf IT-Ressourcen.
Identity and Access Management (IAM) umfasst Richtlinien, Prozesse und Technologien, die sicherstellen, dass die richtigen Personen zum richtigen Zeitpunkt auf die richtigen Ressourcen zugreifen können — und nur auf diese. IAM bildet das Fundament jeder modernen Sicherheitsarchitektur, da Identität in hybriden und Cloud-Umgebungen die neue Sicherheitsgrenze darstellt.
Kernkomponenten
Ein IAM-System besteht aus vier Säulen: Authentifizierung verifiziert die Identität eines Nutzers (Passwort, MFA, biometrisch). Autorisierung bestimmt, auf welche Ressourcen ein authentifizierter Nutzer zugreifen darf (RBAC, ABAC). Provisioning automatisiert die Erstellung, Änderung und Löschung von Benutzerkonten über ihren gesamten Lebenszyklus. Audit und Compliance protokollieren alle Zugriffe und Änderungen für Nachvollziehbarkeit und regulatorische Anforderungen.
IAM vs. PAM
IAM und PAM werden häufig verwechselt, erfüllen aber unterschiedliche Funktionen.
| Merkmal | IAM | PAM |
|---|---|---|
| Zielgruppe | Alle Nutzer der Organisation | Privilegierte Konten (Admins, Service Accounts) |
| Fokus | Identitätslebenszyklus und Zugriffssteuerung | Absicherung erhöhter Berechtigungen |
| Typische Funktionen | SSO, MFA, Provisioning, Federation | Password Vaulting, Session Recording, JIT Access |
| Scope | Breite Abdeckung aller Zugriffsarten | Tiefe Kontrolle kritischer Zugänge |
| Verhältnis | Rahmenwerk für alle Identitäten | Spezialisierung innerhalb von IAM |
PAM ist eine Teilmenge von IAM, die sich auf die besonders sensiblen privilegierten Zugänge konzentriert. Ein vollständiges IAM-Programm schließt PAM als spezialisierte Komponente ein.
SSO, MFA und Federation
Single Sign-On (SSO) ermöglicht Nutzern, sich einmal anzumelden und auf mehrere Anwendungen zuzugreifen. Multi-Faktor-Authentifizierung (MFA) ergänzt das Passwort um einen zweiten Faktor — idealerweise FIDO2/WebAuthn statt SMS. Federation erlaubt die übergreifende Nutzung von Identitäten über Organisationsgrenzen hinweg, etwa über SAML oder OpenID Connect.
IAM in der Cloud
In hybriden Umgebungen ist IAM eng mit Cloud-Plattformen verzahnt. Microsoft Entra ID (ehemals Azure AD) bildet die Identitätsebene für Microsoft 365 und Azure. In Kombination mit Conditional Access-Richtlinien lassen sich Zugriffe kontextabhängig steuern — etwa basierend auf Standort, Gerätekonformität oder Risikolevel. AWS IAM steuert den Zugriff auf Cloud-Ressourcen mit feingranularen Policies. Die Synchronisation zwischen On-Premises Active Directory und Cloud-Identitätsdiensten ist eine der kritischsten Schnittstellen in hybriden Architekturen.
Identität als neue Sicherheitsgrenze
In einer Welt ohne klassischen Netzwerkperimeter wird Identität zum zentralen Kontrollpunkt. Zero Trust basiert auf der Prämisse, dass jeder Zugriff über die Identität verifiziert wird — unabhängig vom Standort. Kompromittierte Identitäten sind der häufigste Einstiegspunkt für Angreifer, was IAM zur kritischsten Sicherheitsschicht macht. Das Least-Privilege-Prinzip stellt dabei sicher, dass jede Identität nur die minimal notwendigen Berechtigungen erhält.
Relevanz für KMUs
Auch ohne dediziertes IAM-Produkt nutzen die meisten KMUs bereits IAM-Bausteine: Active Directory, Microsoft 365 mit Entra ID, MFA. Die Herausforderung liegt in der konsistenten Umsetzung — einheitliches Onboarding und Offboarding, konsequentes MFA für alle Nutzer, regelmäßige Überprüfung von Zugriffsrechten. Identity & Access Hardening schließt genau diese Lücken.