Leistung

Identity & Access Management

Jeder Mitarbeiter, Dienstleister und jede Applikation hat eine digitale Identität. IAM stellt sicher, dass diese Identitäten korrekt verwaltet, Zugänge nur bei Bedarf gewährt und bei Ausscheiden sofort entzogen werden — die Grundlage jedes funktionierenden Sicherheitsprogramms.

Joiner-Mover-LeaverRBAC & ABACSSO & MFAIdentity GovernanceProvisionierung

Executive Summary

Warum IAM die Grundlage der Cybersecurity ist

Identity & Access Management (IAM) befasst sich mit der Frage: Wer darf was — auf welchem System, zu welchem Zeitpunkt, unter welchen Bedingungen? Jede fehlerhafte Antwort auf diese Frage ist ein potenzielles Sicherheitsleck: zu weitreichende Zugriffsrechte, vergessene Accounts ehemaliger Mitarbeiter, nicht dokumentierte Service-Accounts oder fehlende MFA bei Remote-Zugriffen.

IAM umfasst die gesamte Lebenszyklus-Verwaltung digitaler Identitäten: vom ersten Arbeitstag (Joiner), über Stellenwechsel (Mover), bis zum Ausscheiden (Leaver). Es integriert Verzeichnisdienste (Active Directory, LDAP), Identitäts-Governance-Plattformen, SSO-Systeme und MFA in ein kohärentes Gesamtbild.

IAM — Kernbereiche

Identity Lifecycle Management — Joiner, Mover, Leaver-Prozesse

Access Governance & IGA — Rollenmodelle, Rezertifizierung, SOD

Single Sign-On (SSO) — Zentrales Login für alle Applikationen

Multi-Faktor-Authentifizierung (MFA) — Zweiter Faktor für alle Zugänge

Directory Services — Active Directory, Entra ID, LDAP-Konsolidierung

58%

Datenpannen durch kompromittierte Zugangsdaten (Verizon DBIR)

30%

der Accounts von ehemaligen Mitarbeitern bleiben aktiv (Ponemon)

Identity Lifecycle

Joiner — Mover — Leaver

Der Identitäts-Lebenszyklus definiert, wann welche Zugänge gewährt, geändert oder entzogen werden müssen. Lücken in jedem Schritt sind direkte Sicherheitsrisiken.

Joiner

Neuer Mitarbeiter, Dienstleister oder Systemaccount wird eingerichtet. Kontoerstellung, Rollenzuweisung, AD-Gruppen, Applikationszugriff — alles automatisiert aus dem HR-System.

Automatisch, vollständig, auditierbar

Mover

Stellenwechsel, Abteilungsversetzung oder Beförderung. Alte Rollen werden entzogen, neue gewährt — ohne Rechte-Akkumulation (Role Mining, Rezertifizierung). SOD-Konflikte werden automatisch erkannt.

Least Privilege, SOD-Compliance

Leaver

Mitarbeiter verlässt das Unternehmen. Alle Zugänge — AD, Applikationen, Cloud, VPN, SSO — werden sofort und vollständig deaktiviert. Kritisch: Vertragskündigungen zum Freitag werden Montag vergessen.

Sofort, vollständig, lückenlos

Herausforderungen

Typische IAM-Problembilder

Rechte-Akkumulation (Privilege Creep)

Mitarbeiter sammeln über Jahre Zugriffsrechte an. Jede Versetzung fügt Rechte hinzu — alte werden nie entzogen. Das Ergebnis: Accounts mit massiven, ungenutzten Berechtigungen, die kein Auditor mehr nachvollziehen kann.

Verwaiste Accounts (Orphaned Accounts)

Accounts von Mitarbeitern, die das Unternehmen verlassen haben — aktiv in AD, mit gültigen Zugängen zu Systemen. Häufig: 30 Tage nach Kündigung noch voll funktionsfähig. Ein klassisches Angriffsvektorziel.

Fehlende Trennung von Funktionen (SOD)

Ein Buchhalter kann Zahlungen anlegen UND freigeben. Ein IT-Administrator kann Protokolle anlegen UND löschen. Ohne SOD-Enforcement in IAM ist das Vier-Augen-Prinzip eine leere Richtlinie.

Manuelle Provisionierungsprozesse

IT-Abteilungen bearbeiten Zugriffsanträge manuell per E-Mail oder Ticket. Neue Mitarbeiter warten Tage auf ihre Accounts. Offboarding geschieht zu langsam. Fehler bei manuellen Prozessen häufen sich.

Kein Überblick über Applikationszugänge

Wer hat Zugriff auf welche Applikation mit welchen Rechten? In typischen Unternehmen mit 50–200 Applikationen gibt es dafür keine zentrale Antwort. Rezertifizierungen werden seltener durchgeführt oder existieren nicht.

Inkonsistente MFA-Durchsetzung

MFA für den VPN-Zugang, aber nicht für interne Applikationen. MFA für Admins, aber nicht für normale Nutzer in sensitiven Systemen. Uneinheitliche Durchsetzung schafft blinde Flecken, die Angreifer gezielt ausnutzen.

Unser Ansatz

IAM-Implementierung: Schrittweise, risikoorientiert

Current-State-Assessment & Identity-Inventar

Vollständige Erfassung aller Identitäten: menschliche Accounts, Service-Accounts, technische User in Applikationen. Analyse bestehender Rollenstrukturen, Berechtigungsverteilung und Provisionierungsprozesse. Identifikation kritischer Lücken: Orphaned Accounts, Rechte-Akkumulation, fehlende MFA, nicht dokumentierte SOD-Konflikte.

IAM-Strategie & Target Architecture

Definition des Zielbildes: zentrales Identity-Provider-Konzept, Rollenmodell (RBAC vs. ABAC), Applikationsintegrationsstrategie, HR-System-Integration, SSO-Architektur. Entscheidung zur Plattformauswahl (Microsoft Entra, SailPoint, Saviynt, One Identity) auf Basis Ihrer Umgebung.

Directory-Konsolidierung & Plattformaufbau

Bereinigung und Konsolidierung von Active Directory, ggf. AD-Forest-Merge, Entra ID (Azure AD)-Integration. Aufbau der IAM-Plattform, Konfiguration von Connectors für Zielsysteme und HR-Integration. Pilotgruppe für erstes Rollout.

Rollenmodell, Governance & Rezertifizierung

Business-Role-Mining aus Ist-Bestand, Bereinigung, Dokumentation und Freigabe durch Fachbereiche. Aufbau von Rezertifizierungskampagnen (quartalsweise oder anlassbezogen). SOD-Regelwerk-Implementierung. Access-Request-Self-Service-Portal für Mitarbeiter.

SSO, MFA & Applikationsintegration

SAML/OIDC-Integration aller relevanten Applikationen für SSO. MFA-Rollout für alle Nutzergruppen (Phasenplan). Konditionale Zugriffsrichtlinien: MFA für risikoreiche Aktionen, Gerätecompliance-Prüfung. Integration von CyberArk oder anderem PAM-System für privilegierte Zugänge.

Regulatorik

IAM in Regulatorik & Compliance

Framework	IAM-relevante Anforderung	Kontrolle
ISO 27001:2022	A.5.15 Access Control, A.5.16 Identity Management, A.5.18 Access Rights (Rezertifizierung)	IGA-Plattform, Rezertifizierung
DORA (Art. 9)	Nutzerverwaltung, Zugriffsrechte-Management, MFA für kritische Systeme	JML-Lifecycle, MFA-Enforcement
PCI-DSS 4.0	Req. 7 (Least Privilege), Req. 8 (Identity & Auth. Management), MFA Requirement 8.4	RBAC, MFA, regelmäßige Reviews
NIS2 (Art. 21)	Multi-Faktor-Authentifizierung für alle privilegierten Zugänge	MFA, SSO, PAM-Integration
GDPR / PDPL	Zugangsbeschränkung auf personenbezogene Daten (Datenschutz-by-Design)	ABAC, Rezertifizierung, Logging

Deliverables

Was Sie von uns erhalten

IAM-Assessment-Report

Detaillierter Ist-Stand: Identitäts-Inventar, Gap-Analyse gegen Best Practices und regulatorische Anforderungen, priorisierter Maßnahmenplan mit Business-Impact-Bewertung.

Target-Architecture-Dokument

Vollständige Zielarchitektur: Identity-Provider-Design, Rollenkonzept, Applikationsintegrationsstrategie, SSO-Architektur, MFA-Durchsetzungskonzept.

Rollenmodell & SOD-Matrix

Dokumentiertes Rollenmodell (Business Roles → IT Roles → Entitlements), SOD-Konfliktmatrix und automatisierter Konflikterkennung in der Plattform.

Betriebsbereite IAM-Plattform

Konfigurierte Plattform mit funktionierenden Connectors, JML-Workflows, Rezertifizierungskampagnen und Self-Service-Portal — dokumentiert und übergabebereit.

MFA & SSO-Rollout

Vollständig implementiertes MFA für alle Nutzergruppen, SSO für alle integrierten Applikationen, konditionaler Zugriff nach Risikoprofil.

Compliance-Dokumentation

Audit-fähige Nachweise: Zugriffslogs, Rezertifizierungshistorie, SOD-Konfliktberichte, Account-Lifecycle-Dokumentation für Auditoren und Regulatoren.

FAQ

Häufige Fragen zu IAM

Was ist der Unterschied zwischen IAM und PAM?

IAM (Identity & Access Management) verwaltet alle digitalen Identitäten in einem Unternehmen und regelt, wer auf welche Systeme und Daten zugreifen darf — für alle Nutzertypen und Berechtigungsstufen. PAM (Privileged Access Management) ist ein spezialisierter Teilbereich von IAM und fokussiert sich ausschließlich auf Accounts mit erhöhten, administrativen Rechten. Kurz: IAM ist das Fundament, PAM ist die spezialisierte Sicherung der „Super-User“. In einer reifen Sicherheitsarchitektur ergänzen sich beide: IAM für den gesamten Identitäts-Lifecycle, PAM für die sichere Verwaltung und Überwachung privilegierter Konten.

Was ist Identity Governance & Administration (IGA) und warum brauchen wir es?

IGA ist der Teil von IAM, der sich mit der Governance-Seite befasst: Wer hat welche Zugriffsrechte? Sind diese Rechte noch aktuell und berechtigt? Wurden SOD-Konflikte geprüft? IGA-Plattformen (z. B. SailPoint, Saviynt) ermöglichen periodische Rezertifizierungskampagnen, in denen Vorgesetzte die Zugriffsrechte ihrer Mitarbeiter bestätigen oder entziehen. Dies ist besonders relevant für regulierte Branchen: ISO 27001 (A.5.18), DORA und PCI-DSS fordern explizit regelmäßige Reviews von Zugriffsrechten.

Wie läuft eine IAM-Integration mit dem HR-System ab?

Die HR-System-Integration ist das Herzstück jedes effizienten IAM-Systems. Im Idealfall ist das HR-System die „Source of Truth“ für alle Identitäten: Wenn ein neuer Mitarbeiter im HR-System angelegt wird, wird automatisch der AD-Account erstellt, Rollen werden zugewiesen, E-Mail eingerichtet und Applikationszugänge provisioniert — ohne IT-Ticket. Typische HR-Systeme: SAP HCM, Workday, Oracle HCM. Integration erfolgt via REST-API, SCIM 2.0 oder proprietäre Konnektoren der IAM-Plattform. Wir designen und implementieren diese Integration vollständig.

Kann IAM auch Service-Accounts und technische Identitäten verwalten?

Ja — und dies ist einer der oft vernachlässigten Bereiche. Service-Accounts von Applikationen, technische Benutzer für Batch-Jobs, API-Tokens und Applikations-Credentials fallen ebenfalls unter IAM. Die Herausforderung: Ihre Anzahl übersteigt oft die menschlichen Accounts um ein Vielfaches, und niemand weiß genau, welche Applikation welchen Account noch verwendet. IAM umfasst in unserem Ansatz ein vollständiges Inventar aller technischen Identitäten, die Integration mit PAM für privilegierte Service-Accounts und ein Lifecycle-Management auch für nicht-menschliche Identitäten.

Welche Plattform empfehlen Sie für IAM?

Wir sind bewusst hersteller-agnostisch und empfehlen auf Basis Ihrer konkreten Situation. Entscheidend sind: Ihre bestehende Infrastruktur (Microsoft-lastig → Entra ID + Azure, heterogen → SailPoint oder Saviynt), die Anzahl der Applikationen, Ihre Compliance-Anforderungen und das verfügbare Budget. Microsoft Entra ID eignet sich ideal für Microsoft-zentrierte Umgebungen. SailPoint IdentityNow ist Marktführer bei IGA für komplexe Anforderungen. Saviynt bietet gutes Preis-Leistungs-Verhältnis für mittelgroße Unternehmen. Wir führen immer eine unabhängige Plattformauswahl durch — ohne Herstellerbindung.

Wie hängen IAM und Zero Trust zusammen?

Zero Trust basiert auf dem Prinzip „Never trust, always verify“ — jeder Zugriff wird kontextabhängig geprüft, unabhängig davon, ob er aus dem internen Netz oder extern kommt. IAM ist die technische Basis für Zero Trust: starke Identitätsverifizierung (MFA), kontinuierliche Authentifizierung, minimale Zugriffsrechte (Least Privilege) und Zugriffssteuerung auf Basis von Gerätestatus, Standort und Nutzerrisiko-Score. Ohne ein funktionierendes IAM-Fundament ist Zero Trust nicht umsetzbar — es wäre wie ein Türschloss ohne Schlüsselverwaltung.

IAM-Projekt besprechen — unverbindlich und vertraulich

Ob Greenfield-IAM, Legacy-Konsolidierung oder IGA-Einführung — wir helfen mit dem richtigen Ansatz für Ihre Umgebung.

Erstgespräch anfragen → Alle Leistungen