Keyboard with a green enter button named IAM Identity & Access Management which is pressed by user.

Was ist Identitäts- und Zugriffsmanagement (IAM)?

In unserem Blog und auf unserer Website besprechen wir verschiedene Aspekte von IAM – Identity and Access Management. Lassen Sie uns einige Begriffe erklären und einige wichtige Aspekte hervorheben.

22. Apr 20259 min LesezeitTagsDatenschutzDatenübermittlungEU-US DPFDSGVOIdentitäts- und ZugriffsmanagementOTPPasswortPasswort zurücksetzen

IAM-Definition

IAM ist die Abkürzung für Identity and Access Management (zu Deutsch: Identitäts- und Zugriffsmanagement). Auf einer IAM-Plattform werden Regeln, Richtlinien, Prozesse und Technologien kombiniert, um berechtigten Benutzern den Zugriff auf IT-Ressourcen (z. B. auf eine Anwendung, ein Portal, ein Intranet, ein Gerät usw.) zu ermöglichen. Ziel ist es, digitale Identitäten zu verwalten und den richtigen Personen den Zugriff auf die richtigen Ressourcen zu ermöglichen. Oft werden ähnliche Begriffe wie IdM (Identity Management) synonym verwendet.

Aufgaben einer IAM-Lösung

Jede IAM-Lösung hat im Kern drei Aufgaben: die

berechtigter Benutzer.

Warum ist ein IAM-System wichtig?

Heutzutage kann kein Unternehmen oder Betrieb mehr ohne die sichere Verwaltung von Daten überleben, unabhängig davon, ob personenbezogene Daten von Mitarbeitern, Kunden, Lieferanten und Partnern verarbeitet werden. Firmen müssen sicherstellen, dass nur autorisierte Personen und Organisationen Zugriff auf diese Daten haben. Unbefugter Zugriff kann das geistige Eigentum und den Ruf eines Unternehmens schädigen und das Unternehmen digitaler Erpressung und Betrug aussetzen. Ein gut funktionierendes IAM-System schützt vor solchen Bedrohungen und gewährleistet die Einhaltung von Vorschriften und eine angemessene Datensicherheit.

IAM und Compliance

Unternehmen speichern nicht nur ihre eigenen Daten, sondern auch personenbezogene Daten Dritter. Darüber hinaus können sie sogar Daten für andere Organisationen verarbeiten. Solche Daten können Geheimhaltungsvereinbarungen unterliegen, urheberrechtlich geschützt sein oder ein Geschäftsgeheimnis darstellen. In all diesen Fällen müssen die Daten so geschützt werden, dass nur autorisierte Personen Zugriff auf sie haben und sie nur für rechtmäßige Zwecke verwendet werden dürfen.

Allgemeine Compliance

Compliance ist die Aufgabe, geltende Gesetze, Regeln und Vorschriften einzuhalten. Wenn wir über digitales Identitäts- und Zugriffsmanagement nachdenken, umfasst dies natürlich Datenschutzgesetze und -vorschriften, aber auch Gesetze zum Schutz von Geschäftsgeheimnissen und geistigem Eigentum, zur Gewährleistung der Meinungsfreiheit oder zum Schutz vor Überwachung. Ein weiterer Aspekt ist die Verhinderung des Durchsickerns von Informationen, wie z.B. Insiderinformationen oder anderer Daten, die nicht für die Öffentlichkeit bestimmt sind.

DSGVO-Compliance

Die Datenschutz-Grundverordnung (DSGVO) ist die Datenschutzverordnung der Europäischen Union (EU) und gilt für alle personenbezogenen Daten sowie den Datenaustausch innerhalb, nach und aus Europa. Ein Schwerpunkt der DSGVO liegt auf der Datenübermittlung in Drittländer. Dies sind Länder, in denen die DSGVO nicht anwendbar ist. Solche Datenübermittlungen sind nur zulässig, wenn das Drittland ein angemessenes Schutzniveau gewährleistet. Laut EU-Kommission ist dies bei Ländern wie Japan, der Schweiz oder Israel der Fall. Die USA beispielsweise sind kein Land mit einem angemessenen Schutzniveau.

Da die Passwortverifizierung immer eine Datenübertragung erfordert, ist die Nutzung von Cloud-basierten IAM-Lösungen, deren Anbieter in den USA ansässig sind, problematisch. Dies gilt auch dann, wenn diese Anbieter ihre Daten auf Servern in der EU speichern. Denn auch hier haben US-Sicherheitsdienste im Rahmen des US Cloud Act Zugriff auf diese Daten. Um dieser Situation zu begegnen und Datenübertragungen zwischen der EU und den USA zu ermöglichen, haben beide Seiten ein Abkommen vereinbart: das EU-US Data Privacy Framework (EU-US DPF). Dabei handelt es sich um eine Vereinbarung zur Angleichung der unterschiedlichen gesetzlichen Datenschutzanforderungen zwischen den beiden Regionen. Ob dieses Abkommen die Präsidentschaft von Donald Trump überlebt, wird die Zeit zeigen.

Was ist der Unterschied zwischen Identitätsmanagement und Zugriffsmanagement?

Beim Identitätsmanagement geht es darum, festzustellen, wer der Benutzer ist und zu welchen Benutzergruppen er gehört oder welche Rolle oder andere Eigenschaften er hat.

Beim Zugriffsmanagement geht es dagegen darum, auf welche Ressourcen der Benutzer zugreifen kann und welche Rechte er hat. Diese Entscheidung wird wiederum auf der Grundlage bestehender Richtlinien getroffen, die festlegen, welche Rolle, Gruppe oder Identität Zugriff auf eine Anwendung oder einen Speicherplatz hat und was sie damit tun darf.

Sehr oft werden die Begriffe Identität und Zugriff in einem Begriff zusammengefasst: Identitäts- und Zugriffsmanagement, kurz IAM.

Was ist Kundenidentitäts- und Zugriffsmanagement?

Customer Identity and Access Management (CIAM) (zu Deutsch: Kundenidentitäts- und Zugriffsmanagement) ist ein Untertyp von IAM. Es gibt dem Benutzer die Kontrolle über seine Identität. In der Regel können sich Benutzer in CIAM-Lösungen selbst anmelden, indem sie ihren eigenen Benutzernamen und ihr eigenes Passwort wählen. Sie können ihre Zugangsdaten auch selbst zurücksetzen und ändern. Somit haben sie die Möglichkeit, ihre eigene digitale Identität zu verwalten. So kann die Organisation durch die Verwendung eines CIAM-Systems, manuelle Prozesse wie händisches Zurücksetzen von Passwörtern automatisieren. Alle digitalen Unternehmen mit einer kundenorientierten Schnittstelle, für die Endnutzer eine Anmeldung benötigen, nutzen heutzutage eine CIAM-Lösung.

Was unterscheidet ein Enterprise Identity and Access Management System von einer Federated Identity Management Software?

Federated IAM-Lösungen können eine Identität über mehrere Identitätsmanagementsysteme hinweg verwalten. Ein Benutzer, der Zugriff auf bestimmte Domains oder Systeme hat, kann seine jeweilige digitale Identität auch für den Zugriff auf andere Domains oder Systeme verwenden. Auf diese Weise wird eine Identität durch die „Föderation“ übertragbar. In der Regel werden Federated IAM-Systeme von Anbietern sozialer Netzwerke wie z. B. Facebook oder LinkedIn, angeboten. In diesem Fall kann der Benutzer seine Facebook-Anmeldedaten verwenden, um sich bei Anwendungen anderer Drittanbieter anzumelden, die die Facebook-Föderation unterstützen. Man spricht hier von einem Social Login, da eine Anmeldung durch die Nutzung der eigenen Zugangsdaten des sozialen Netzwerkes erfolgt.

Im Gegensatz zu den im Konsumentenbereich weit verbreiteten Social Logins, ist es vielen Unternehmen wichtig, die Hoheit über die Zugangsdaten zu behalten und es ihren Mitarbeitern nicht zu erlauben, sich über Social Logins anzumelden. Allerdings ist es ihnen wichtig, dass ihre Mitarbeiter leicht, einfach und sicher auf unterschiedliche Unternehmensanwendungen (z. B. CRM, E-Mail, Intranet) zugreifen können. Ein sogenannter Enterprise Login oder Enterprise IAM erlaubt genau das. So können technisch gesehen mehrere Domänen oder Systeme innerhalb eines Unternehmens oder Konzerns eingebunden werden, allerdings erstreckt sich so ein Zugangssystem in der Regel nicht auf andere Organisationen.

Was sind die Unterschiede zwischen einer Cloud-basierten, Cloud-nativen und einer On-Premise-Lösung für das Identitäts- und Zugriffsmanagement?

Identitäts- und Zugriffsmanagementsysteme können auf unterschiedliche Weise eingesetzt werden. Die traditionelle Methode besteht darin, die Lösung vor Ort (On-Premise) oder mit anderen Worten „intern“ oder in einem gemieteten Regal in einem Rechenzentrum auszuführen. Dies bedeutet jedoch, dass eigene Computer (Server) benötigt werden, Software angepasst und installiert werden muss und auf dem neuesten Stand gehalten werden muss. Darüber hinaus müssen sich Sicherheits- und IT-Entwicklungsingenieure um die proprietäre IT-Landschaft kümmern. Schließlich kann die Skalierung von Vor-Ort-Lösungen in einer immer komplexeren Umgebung zu einer Herausforderung werden, je schneller das Unternehmen wächst.

Die Alternative zu einer On-Premise-Lösung stellt eine cloud-basierte IAM-Lösung dar. Hierbei handelt es sich um eine Anwendung, die außerhalb der Cloud entwickelt und für den Betrieb in der Cloud angepasst wurde. Dabei stellt in der Regel ein Drittanbieter seinen Kunden eine skalierbare und sichere Plattform mit einer Identitätslösung zur Verfügung, die Unternehmen und Organisationen in ihre Anwendungslandschaft implementieren. Der große Vorteil für Unternehmen besteht darin, dass sie sich nicht um diesen hoch spezialisierten Bereich selbst kümmern müssen und so jederzeit nicht nur auf eine sichere Lösung, sondern auch benötigten Anwendersupport zurückgreifen können. Sehr oft wird hierfür der Begriff „Identity-as-a-Service (IDaaS)“ verwendet.

Cloud-native Lösungen sind Anwendungen, die explizit für den Cloud-Betrieb entwickelt wurden. Im Gegensatz zu herkömmlichen Lösungen, die lediglich für die Cloud optimiert wurden, ist bei Cloud-nativen Anwendungen die Cloud von Anfang an mitgedacht. Dazu gehört die Entwicklung und Bündelung von IAM-Anwendungen auf eine Weise, die eine einfache Bereitstellung auf mehreren Servern überall ermöglicht. Dies wiederum macht eine cloud-native IAM-Lösung äußerst flexibel, skalierbar und belastbar.

Wie authentifiziere ich mich mithilfe eines IAM-Systems?

Ein Standard-Authentifizierungssystem (IAM) bietet heute in der Regel eine Vielzahl unterschiedlicher Authentifizierungsmethoden an, die in Zukunft sicherlich durch zusätzliche neue Methoden ergänzt oder weiterentwickelt werden.

Hierbei ist der Regelfall der Authentifizierung bis heute der Login mit Benutzername (oder E-Mail-Adresse) und Passwort. Zu den fortgeschritteneren Funktionen gehören Social Logins, Biometrie, Magic Links oder Single Sign-On. Da Ein-Faktor-Authentifizierungs-Methoden allein immer Missbrauchs-anfälliger werden, sind kombinierte Systeme der Multi-Faktor-Authentifizierung (MFA), die mindestens zwei Faktoren verlangen, heute der eigentliche Sicherheitsstandard. Leider werden diese Mehrfaktorenverfahren heute noch viel zu wenig genutzt, da die Gefahren und Risiken bei den Nutzern immer noch nicht gegenwärtig sind.

Der erste Faktor bei der Multi-Faktor-Authentifizierung ist meist der Benutzername/das Passwort. Als zweiter Faktor wird regelmäßig ein Einmalpasswort (OTP), das auf einem Telefon empfangen oder von einem separaten Gerät oder einer App erstellt wird, oder ein biometrischer Marker wie ein Fingerabdruck genutzt.

Für nicht-digitale Menschen wie ältere, kranke und pflegebedürftige Personen müssen alternative Authentifizierungsmethoden geschaffen werden, da immer mehr Dienstleistungen im Gesundheits- und Pflegebereich digitalisiert werden. Biometrische Merkmale sind im Alter oft keine zuverlässige Anmeldemethode mehr, und das Merken von Passwörtern wird mit dem Alter eine immer größere Herausforderung. Mögliche Alternativen können die Anmeldung über die NFC-Funktion (Near Field Communication) einer Krankenversichertenkarte oder eines Personalausweises sein. Weitere Informationen zu solchen Anwendungsfällen finden Sie hier.

Was sind die Vorteile eines Identitäts- und Zugriffsmanagement Systems?

Unternehmen, die ein Identitäts- und Zugriffsmanagement System verwenden profitieren von vielen Vorteilen.

  1. Die Zuweisung von Konten und Rechten, laufen in modernen IAM-Systemen automatisiert ab. Manuelle Kontrollen und Support-Ticktes fallen seltener an, da Routine-Aufgaben wie das Zurücksetzen von Passwörtern oder das Anlegen neuer Accounts, direkt an das IAM-System ausgelagert werden können. So können auch alle Zugriffsrechte in einem Unternehme leichter auf einmal geändert werden, wenn Sicherheitsrichtlinien aktualisiert werden. Dies entlastet IT-Abteilungen und spart Kosten.
  2. Cyberattacken gelten weiterhin als größte Bedrohung für Unternehmen, und IAM-Systeme stellen sicher, dass nur die Nutzer Zugriff erhalten, die über die entsprechenden Zugriffsrechte und Berechtigungen verfügen. Das verringert das Risiko von Datenlecks und unbefugtem Zugriff, schützt vor Hackerangriffen und verbessert die Datensicherheit.
  3. Für Unternehmen ist die Einhaltung von Compliance-Richtlinien von großer Bedeutung, da Verstöße zu Strafen oder Imageschäden führen können. IAM-Systeme helfen den Unternehmen innerhalb gesetzlicher Vorgaben zu handeln, indem Berechtigungen und Zugriffe dokumentiert und logisch nachvollziehbar sind.
  4. Moderne IAM-Systeme erlauben Nutzern, sich unkompliziert in den verschiedensten Systemen anzumelden. Durch die Verwendung von Single Sign-On (SSO) Lösungen können Nutzer mit nur einem Satz Anmeldedaten auf die unterschiedlichsten Systeme zugreifen. Zudem können Passwörter in nahezu Echtzeit selbständig zurückgesetzt werden. Das spart Zeit und wirkt sich positiv auf die Produktivität und die Mitarbeiterzufriedenheit aus.

Welche Herausforderungen gibt es beim Identitäts- und Zugriffsmanagement?

Wie jedes komplexe System haben auch IAM-Lösungen ihre eigenen Herausforderungen, die beachtet werden sollten, aber grundsätzlich gut in den Griff zu bekommen sind.

Im Laufe der Zeit und in einer dynamischen Umgebung können die Kosten und die Komplexität für IAM-Systeme zunehmen. Dies gilt insbesondere für On-Premise-Systeme, die sich oftmals nicht einfach skalieren und für die zukünftigen Anforderungen anpassen oder weiterentwickeln lassen. Noch wichtiger ist jedoch, dass es oft schwierig ist, sie rechtskonform zu betreiben. Dies umfasst die Wartung der Plattform mit kontinuierlichen Datenschutzbewertungen, Penetrationstests und Risikoanalysen.

Cloud-basierte IAM- oder IDaaS-Lösungen können ihre eigenen Compliance-Fallstricke haben. Dabei bestehen die häufigsten Herausforderungen in Datenübertragungen aus Europa heraus an US-Anbieter, die nicht am EU-US-Datenschutzrahmen teilnehmen und die gemäß der DSGVO möglicherweise nicht zulässig sind. Hierbei spielen Serverstandort, bzw. der Standort des Serverbetreibers oftmals eine große Rolle.

Hinweis: Dieser Artikel wurde erstmals im April 2022 veröffentlicht und zuletzt im April 2025 aktualisiert und korrigiert.