Die Einschätzung der Cyber Academy
IAM ist die Disziplin, die regelt, wer auf was zugreifen darf, wann, wie und unter welchen Bedingungen. Provisionierung, Authentifizierung, Autorisierung, Deprovisionierung. Die Identität ist der neue Perimeter. Jede Zero-Trust-Architektur ist im Kern ein anspruchsvolles IAM-Problem, das als Netzwerkproblem verkleidet ist.
Was IAM tatsächlich umfasst
Identity and Access Management ist die operative Disziplin, die entscheidet, wer auf was zugreifen darf, wann, wie und unter welchen Bedingungen. In der Praxis baut sie auf einer kleinen Gruppe wiederholbarer Funktionen auf: Bereitstellung einer Identität, wenn eine Person oder ein Dienst hinzukommt, Authentifizierung dieser Identität im Moment des Zugriffs, Autorisierung der konkret erlaubten Aktionen und Ressourcen sowie Entzug der Identität, wenn die Rolle oder Beziehung endet. Der schwierige Teil ist selten ein einzelner Anmeldebildschirm.
Es geht darum, die Verbindung zwischen einer realen Person, ihren digitalen Identitäten und ihren angesammelten Berechtigungen über die Zeit hinweg konsistent zu halten, über Dutzende von Systemen hinweg, die jeweils ihre eigene Vorstellung davon haben, was ein Konto ist.
Ein nützliches Denkmodell ist der Identitätslebenszyklus. Eintretende erhalten Konten und einen Basiszugriff. Wechselnde gehen von einem Team ins andere und sollten alte Berechtigungen verlieren, während sie neue erhalten. Austretende müssen sauber abgeschnitten werden. Die meisten Zugriffsvorfälle lassen sich auf ein Versagen in diesem Lebenszyklus zurückführen: verwaiste Konten, die nie deaktiviert wurden, oder Berechtigungen, die sich anhäuften, weil Zugriff gewährt, aber nie überprüft wurde. IAM ist das System, das den Ablauf von Eintritt, Wechsel und Austritt zuverlässig macht statt zu einem manuellen Gewusel.
Identität als Perimeter
IAM ist heute wichtiger, weil die Netzwerkgrenze aufgehört hat, eine sinnvolle Kontrolle zu sein. Nutzer verbinden sich von überall, Workloads laufen über mehrere Cloud-Anbieter hinweg, und Maschinenidentitäten (Dienstkonten, API-Schlüssel, Workload-Token) sind oft zahlreicher als menschliche. Wenn es kein Innen und Außen mehr zu verteidigen gibt, wird die Identität zur Linie, die über den Zugriff entscheidet. Das ist die Kernerkenntnis hinter Zero Trust: standardmäßig niemals vertrauen, jede Anfrage gegen Identität, Geräteposture und Kontext prüfen. Eine Zero-Trust-Architektur ist im Kern ein anspruchsvolles IAM-Problem, das sich als Netzwerkproblem verkleidet.
IAM ist außerdem der Ort, an dem mehrere angrenzende Kontrollen ansetzen. Die Multi-Faktor-Authentifizierung stärkt den Authentifizierungsschritt. Privileged Access Management schützt die kleine Zahl von Identitäten, die den größten Schaden anrichten können. Das Prinzip der geringsten Rechte ist die Richtlinie, die IAM durchsetzt: nur den Zugriff gewähren, den eine Rolle wirklich benötigt, und nicht mehr. Behandeln Sie diese als Schichten desselben Problems und nicht als getrennte Projekte.
Governance- und Standardkontext
IAM steht im Zentrum der meisten Sicherheitsframeworks, weil die Zugriffskontrolle grundlegend ist. ISO/IEC 27001 behandelt Zugriffskontrolle und Identitätsmanagement als zentrale Kontrollbereiche eines Informationssicherheits-Managementsystems und erwartet von Organisationen, dass sie eine Zugriffskontrollrichtlinie definieren, den Benutzerzugriff über den gesamten Lebenszyklus verwalten und Zugriffsrechte überprüfen. Das NIST Cybersecurity Framework ordnet Identitätsmanagement und Zugriffskontrolle den Schutzfunktionen zu, die jedes Programm abdecken sollte. Bei regulierten Daten unterstützt die Zugriffsdisziplin auch die Datenschutzpflichten nach der GDPR, da die Beschränkung, wer personenbezogene Daten erreichen kann, Teil des Nachweises angemessener technischer Maßnahmen ist.
Was Praktiker tatsächlich tun, spiegelt dies wider. Sie bauen autoritative Identitätsquellen auf, automatisieren Bereitstellung und Entzug, zentralisieren die Authentifizierung über Single Sign-on, modellieren Berechtigungen nach Möglichkeit als Rollen, führen wiederkehrende Zugriffsüberprüfungen durch und pflegen einen Prüfpfad darüber, wem was und warum gewährt wurde. Gut umgesetzt ist IAM für die Nutzer unsichtbar und gegenüber Auditoren nachweisbar. Schlecht umgesetzt ist es die stille Grundursache hinter einem großen Anteil der Sicherheitsverletzungen.
Frequently asked questions
01Was ist der Unterschied zwischen Authentifizierung und Autorisierung im IAM?
Die Authentifizierung weist nach, wer eine Identität ist, zum Beispiel über ein Passwort plus einen zweiten Faktor. Die Autorisierung entscheidet, was diese nachgewiesene Identität nach der Verifizierung tun darf. IAM muss beides richtig machen: eine starke Anmeldung bedeutet nichts, wenn das Konto danach Zugriff hat, den es nie hätte haben dürfen.
02Wie verhält sich IAM zu Zero Trust?
Zero Trust entfernt das implizite Vertrauen auf Basis des Netzwerkstandorts und prüft stattdessen jede Anfrage. Da sich diese Prüfung auf Identität, Gerät und Kontext stützt, ist eine Zero-Trust-Einführung weitgehend ein IAM-Programm. Starke Authentifizierung, geringste Rechte und fortlaufende Zugriffsentscheidungen sind die Bausteine.
03Was ist der Identitätslebenszyklus?
Es ist der Ablauf von Eintritt, Wechsel und Austritt: Zugriff bereitstellen, wenn jemand hinzukommt, ihn anpassen, wenn sich die Rolle ändert, und ihn entfernen, wenn die Person geht. Die meisten Zugriffsprobleme, etwa verwaiste Konten und das Anwachsen von Privilegien, entstehen aus Lücken in diesem Lebenszyklus.
04Wie unterscheidet sich IAM von PAM?
IAM steuert den Zugriff für die gesamte Population an Identitäten über deren Lebenszyklus hinweg. Privileged Access Management konzentriert sich auf die kleine Gruppe risikoreicher Konten, etwa Administratoren und Dienstkonten, und ergänzt strengere Kontrollen wie Vaulting, Sitzungsüberwachung und Just-in-time-Rechteerhöhung. PAM ist eine spezialisierte Schicht innerhalb der breiteren IAM-Disziplin.
05Warum sind Zugriffsüberprüfungen wichtig?
Zugriff neigt dazu, sich anzusammeln, weil das Gewähren einfach ist und das Entziehen vergessen wird. Die periodische Zugriffszertifizierung bittet die Eigentümer zu bestätigen, wer was weiterhin haben soll, und erkennt so das Anwachsen von Privilegien und verwaiste Berechtigungen. Es ist zudem eine Kontrolle, die Auditoren unter Frameworks wie ISO/IEC 27001 nachgewiesen sehen wollen.