Jede Website, jede App und jeder Online-Dienst mit Anmeldefunktion muss es seinen Nutzern ermöglichen, sich zu authentifizieren und zu autorisieren, also ihre Identität zu überprüfen und ihnen passende Rechte und Privilegien zuzuweisen: entscheiden, was diese Nutzer tun dürfen, welche Daten sie lesen, schreiben, ändern und löschen können.
Genau darum geht es beim Identitäts- und Zugriffsmanagement („IAM“, für „Identity and Access Management“ auf Englisch).
Warum Identitäts- und Zugriffsmanagement (IAM) so wichtig ist: Wenn es scheitert, bricht alles auseinander
Wir alle kennen die Hacker-Szenen aus Filmen: Ein Hacker, der versucht, auf ein Computersystem zuzugreifen, verwendet den Namen oder die E-Mail-Adresse einer Person, die er vorgibt zu sein, “errät” dann das Passwort und voilà: er ist drin. Wenig später versucht er möglicherweise sich erweiterte Rechte zu verschaffen oder einen Benutzer mit mehr Rechten auf dem System finden, das er kontrollieren will.
Auch wenn das eben „nur“ ein Film ist, zeigt es, warum IAM so wichtig ist: Wenn das Zugangsmanagement nicht richtig umgesetzt oder genutzt wird, kann dies schwerwiegende Folgen haben. Kriminelle können Identitäten stehlen, löschen oder neue erstellen. Und sie können Dinge tun, zu denen sie nicht in der Lage sein sollten: auf Geschäftsgeheimnisse zugreifen, Datensätze ändern, logische Bomben platzieren, oder ganze Systeme mittels Ransomware verschlüsseln. Oder, was am häufigsten vorkommt, Transaktionen im Namen anderer durchführen.
IAM ist der zentrale Zugangspunkt zu allem, was mit einem System gemacht werden kann, zu allen gespeicherten Daten und zu allen möglichen Aktionen. Es ist wie ein Hausschlüssel plus Code für die Alarmanlage: Ist das IAM unzureichend abgesichert oder falsch konfiguriert, steht das gesamte System oder die Plattform im schlimmsten Fall sperrangelweit offen.
Was Identitäts- und Zugriffsmanagement (IAM) leisten muss
IAM ist ein weit gefasster und nicht eindeutig definierter Begriff. Daher werden häufig auch andere Bezeichnungen verwendet, die ähnliche Aspekte abdecken, wie z. B. „Authentifizierungslösung“ oder „Benutzerverwaltung“, auch wenn diese Begriffe in der Regel nur Teilbereiche von IAM beschreiben. IAM umfasst dabei sowohl die Verwaltung von Identitäten als auch die Steuerung von Zugriffsrechten über den gesamten Lebenszyklus hinweg.
Es existieren zudem unterschiedliche Ausprägungen von IAM. So umfasst beispielsweise Customer Identity and Access Management (CIAM) Lösungen, die speziell auf externe Nutzer und verbraucherorientierte Websites und Anwendungen ausgerichtet sind, während klassische IAM-Lösungen häufig auf interne Anwendungsfälle innerhalb von Organisationen abzielen.
Es gibt jedoch einige grundlegende Funktionen, die jede IAM-Lösung erfüllen sollte:
- Zentralisierung & Identitätsverwaltung: Eine IAM-Lösung sollte zentralisiert sein, verschiedene Ressourcen und Subsysteme nahtlos verbinden und eine einheitliche Übersicht über Benutzeridentitäten und deren Zugriffsrechte bieten. Dazu gehört auch die Verwaltung des gesamten Identitätslebenszyklus (Anlegen, Ändern und Entziehen von digitalen Identitäten).
- Single Sign-On (SSO): Benutzer sollten mit einer einzigen Identität auf mehrere Systeme und Anwendungen zugreifen können, ohne sich mehrfach authentifizieren zu müssen.
- Starke Authentifizierung (MFA): Eine IAM-Lösung muss Benutzer zuverlässig authentifizieren und sollte fortgeschrittene Verfahren wie Multi-Faktor-Authentifizierung (MFA) unterstützen - insbesondere für privilegierte oder sicherheitskritische Zugriffe.
- Self-Service-Funktionen: Benutzer sollten grundlegende Funktionen selbstständig durchführen können, wie das Zurücksetzen von Passwörtern oder die Verwaltung ihrer Zugangsdaten.
- Berechtigungsmanagement (RBAC / Least Privilege): Zugriffsrechte sollten strukturiert und rollenbasiert vergeben werden, sodass Benutzer nur die Berechtigungen erhalten, die sie tatsächlich benötigen („Least Privilege“ / „Need-to-Know“).
- Abbildung komplexer Zugriffsregeln: Die Lösung sollte in der Lage sein, auch komplexe organisatorische Anforderungen und Zugriffslogiken abzubilden (z. B. kontextbasierte oder attributbasierte Regeln).
- Compliance & Auditierbarkeit: Zugriffe und Änderungen sollten nachvollziehbar protokolliert werden, um Compliance-Anforderungen zu erfüllen und Audits zu unterstützen.
- Skalierbarkeit & Performance: Die IAM-Lösung sollte in der Lage sein, mit wachsenden Nutzerzahlen und steigenden Anforderungen mitzuhalten, ohne an Performance oder Zuverlässigkeit zu verlieren.
- Integration & Standards (OIDC, OAuth, SAML): Eine IAM-Lösung sollte sich nahtlos in bestehende Verzeichnisdienste, Cloud- und On-Premise-Anwendungen integrieren lassen und dabei auf etablierte Industriestandards wie OpenID Connect (OIDC), OAuth 2.0 und SAML setzen.
Wie Datenschutz und Privatsphäre ins Spiel kommen
Diese Reihe von Funktionen zeigt, dass der IAM-Dienst der Schlüssel zum gesamten System ist: alle Daten, alle Identitäten, alles, was auf der Plattform getan werden kann. Wenn es also Mängel beim technischen Datenschutz gibt, ist das gesamte System nicht konform und kann leicht kompromittiert werden.
Aus diesem Grund widmet beispielsweise das Bundesamt für Sicherheit in der Informationstechnik (BSI) dem IAM einen eigenen Abschnitt in seinem IT-Grundschutz-Kompendium (dort ORP.4 - Identitäts- und Berechtigungsmanagement).
- Erstens wird festgestellt, dass die Verantwortung für IAM auf der Führungsebene liegt (Abschnitt 3).
- Zweitens sollte der IAM-Dienst ein Kernnetzdienst sein (ORP.4 A18).
- Und drittens sollte der Dienst alle Kriterien erfüllen, die im umfassenden Teil des Kompendiums aufgeführt sind.
Auch das regulatorische Umfeld hat sich signifikant erweitert. Die NIS2-Richtlinie, die seit Oktober 2024 Anwendung findet, führt „die Nutzung von Multi-Faktor-Authentifizierung oder Lösungen zur kontinuierlichen Authentifizierung“ als Mindestmaßnahme für das Risikomanagement bei „besonders wichtigen“ (wesentlichen) und „wichtigen“ Einrichtungen auf. Im Finanzsektor geht der Digital Operational Resilience Act (DORA) noch einen Schritt weiter: Er fordert „starke Authentifizierungsmechanismen“.
Für die meisten Dienste, die eine bestimmte Größe und Komplexität überschreiten, ist es fast unmöglich, alle diese Kriterien mit einer selbst entwickelten Lösung zu erfüllen. Dies gilt insbesondere für verteilte Systeme, die eine cloudbasierte IAM-Lösung erfordern. Es wird ein Provider benötigt, was im Sinne des Datenschutzes bedeutet: ausgelagerte Datenverarbeitung nach Art. 28 DSGVO (oder in einigen Fällen: gemeinsame Kontrolle, Art. 26 DSGVO).
Da es sich bei den Authentifizierungsdaten um personenbezogene Daten handelt und sie der Schlüssel für den Zugang zu noch mehr Daten sind, findet ein Datentransfer zum und vom IAM-Anbieter statt, der die komplexen Regeln der Datenschutz-Grundverordnung (DSGVO) auslöst.
- Der IAM-Anbieter muss sorgfältig ausgewählt werden, und die Gründe sollten dokumentiert werden.
- Eine Vereinbarung zur Datenverarbeitung im Auftrag (AVV oder englisch „DPA“ für „Data Processing Agreement“) ist zwischen den Parteien erforderlich.
- Datenübermittlungen in Drittländer/Länder ohne Angemessenheitsbeschluss sind nur zulässig, wenn geeignete Garantien bestehen, etwa durch Standardvertragsklauseln (SCCs) oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCRs).
- Ein Sonderfall sind Datentransfers in die USA. Hier besteht ein Angemessenheitsbeschluss der EU-Kommission auf Grundlage des EU-US Data Privacy Frameworks (DPF), der die Übermittlung personenbezogener Daten an zertifizierte US-Unternehmen ohne zusätzliche Garantien ermöglicht. Eine erste Klage gegen das DPF wurde im September 2025 vom Europäische Gericht EuG abgewiesen. Es ist jedoch möglich, dass der Fall vor dem Europäischen Gerichtshof (EuGH) landet und dort erneut geprüft wird, da in der Vergangenheit bereits ähnliche Regelungen für unzureichend erklärt wurden. Auch in den USA bleibt der zugrunde liegende Übermittlungsmechanismus Gegenstand rechtlicher Prüfungen. Wie dauerhaft das Data Privacy Framework (DPF) tatsächlich Bestand haben wird, lässt sich derzeit nicht abschließend beurteilen.
Erforderliche Maßnahmen
IAM-Systeme erhalten nicht immer die Aufmerksamkeit, die sie verdienen. Sie arbeiten im Hintergrund, sind technisch anspruchsvoll und werden daher oft als wenig greifbar wahrgenommen. Dennoch sind sie die zentrale Kontrollinstanz zwischen einem System und der Außenwelt. Wenn sie schwach, kompromittiert oder einfach nicht konform sind, ist das gesamte System betroffen. Nochmals: IAM ist eine Aufgabe der Führungsebene.
Die gute Nachricht ist, dass die Wahl des richtigen Cloud-basierten IAM-Systems das Leben für das Unternehmen, die IT-Abteilung und die Benutzer gleichermaßen erleichtert. Gut definierte Rollen und einfach zu bedienende Self-Service-Funktionen minimieren den Verwaltungsaufwand und machen Prozesse transparent. Wartung und Weiterentwicklung werden an einen Anbieter ausgelagert, der zentral und effizient arbeitet und ständig die neuesten Entwicklungen in Technologie, Verwaltung und Gesetzgebung verfolgt. Gerade in komplexen IT-Landschaften wird IAM damit zu einem entscheidenden Faktor für Sicherheit, Effizienz und Skalierbarkeit.
Wir bei Engity sind überzeugt: Ein durchdachtes und zuverlässig betriebenes IAM ist die Grundlage für sichere und effiziente digitale Prozesse.
Hinweis: Dieser Beitrag wurde erstmals im März 2022 veröffentlicht und zuletzt im Mai 2026 aktualisiert und korrigiert.