Wer darf hier eigentlich was?

„Wer hat hier eigentlich Zugriffsrechte?“ Diese Frage habe ich in einem Workshop gestellt und bin in stille Gesichter geblickt. Drei Leute mit drei verschiedenen Antworten. Aber auch keine davon so richtig vollständig. Das ist leider kein Einzelfall. Und genau hier fängt das Thema Identity & Access Management an.

Warum Angreifer heute nach Identitäten suchen und nicht mehr nach Lücken

Wissen Sie genau, wer in Ihrem Unternehmen auf welche Systeme, Daten und Anwendungen zugreifen darf?

Die Frage klingt simpel. In der Praxis erlebe ich jedoch immer wieder, dass Unternehmen darauf keine eindeutige Antwort geben können. Genau an diesem Punkt beginnt das Thema Identity & Access Management kurz: IAM.

Spricht man über Cybersecurity, denken viele zuerst an Firewalls, Endpoint Protection oder E-Mail-Security wie etwa einen Spam-Filter. Das sind in der Tat wichtige, elementare Bausteine. Doch die Realität vieler Sicherheitsvorfälle zeigt eine Verschiebung. Angreifer suchen heute nicht mehr primär nach technischen Schwachstellen, sondern nach Identitäten.

Der Grund ist so einfach. Eine übernommene Identität muss nicht mühsam „aufgebrochen“ werden. Sie ist bereits der legitime Zugang. Wer ein gültiges Benutzerkonto kontrolliert, bewegt sich im Netzwerk wie ein Berechtigter, oft ohne dass ein klassisches Sicherheitswerkzeug überhaupt anschlägt. Das ist für Angreifer deutlich schneller und unauffälliger als zeitintensive technische Einbruchsmethoden.

Gestohlene Benutzerkonten, kompromittierte Administratoren oder über Jahre gewachsene Berechtigungen werden so zum direkten Weg auf kritische Daten und Systeme.

Deshalb bin ich davon überzeugt, dass der Schutz von Identitäten und ihren Berechtigungen heute zu den zentralen Aufgaben jeder Sicherheitsstrategie gehört.

IAM ist kein Produkt

Ein verbreiteter Irrtum besteht darin, IAM als reines Softwareprojekt zu verstehen, ganz nach dem Motto: „Wir kaufen ein IAM-Produkt und haben das Thema erledigt.“ So einfach funktioniert es leider nicht.

Wirksames Identity & Access Management ruht auf drei Säulen:

  • Anforderungen und Governance – die Regeln, nach denen Zugriff vergeben wird
  • Konzepte und Prozesse – die strukturierte Umsetzung dieser Regeln
  • Technische Werkzeuge – die Automatisierung und Unterstützung der Prozesse

Erst das Zusammenwirken dieser drei Komponenten schafft ein nachhaltiges Sicherheitsniveau.

Eine Organisation muss zunächst klären, welche Anforderungen überhaupt bestehen:

  • Wer darf welche Rollen erhalten?
  • Wie werden Berechtigungen vergeben, und nach welchem Prinzip?
  • Wer genehmigt Zugriffe?
  • Wie werden Austritte und Rollenwechsel sauber verarbeitet?
  • Welche regulatorischen Vorgaben sind einzuhalten?

Darauf bauen Konzepte und Prozesse auf. Und erst danach kommen technische Lösungen ins Spiel, die diese Prozesse automatisieren.

Die Reihenfolge ist dabei entscheidend. Die weltweit beste IAM-Plattform kann fehlende Governance nicht ersetzen. Umgekehrt stoßen manuelle Prozesse später an ihre Grenzen. Beides gehört daher zusammen.

Ein bewährtes Leitprinzip zieht sich durch alle drei Säulen. Least Privilege – jede Identität erhält genau die Rechte, die sie für ihre Aufgabe braucht. Genau dieses Prinzip wird im Alltag am häufigsten verletzt, weil Berechtigungen über Jahre angehäuft, aber selten wieder entzogen werden. Dieser „Berechtigungswildwuchs“ ist einer der am meisten unterschätzten Risikofaktoren.

Die Bedeutung von IAM wächst

Die wachsende Relevanz von IAM schlägt sich inzwischen deutlich in regulatorischen Anforderungen nieder.

Die europäische NIS2-Richtlinie verpflichtet betroffene Unternehmen zu angemessenen Maßnahmen im Management von Cyberrisiken. Dazu zählen ausdrücklich Zugriffskontrollen, Authentifizierung und die Absicherung digitaler Identitäten.

Auch das NIST Cybersecurity Framework (CSF) 2.0 hebt das Thema stärker hervor als zuvor. Identitäten und Zugriffsmanagement gelten dort als zentrale Bestandteile moderner Cybersecurity. Die Kontrolle darüber, wer auf welche Ressourcen zugreifen darf, wird als grundlegende Voraussetzung für Resilienz betrachtet.

Dass das IAM kein „Nice-to-have“ mehr ist, wird mittlerweile immer deutlicher – bei Kunden, Auditoren, Regulatoren und Versicherern gleichermaßen.

IAM ist nicht nur etwas für Großunternehmen

Besonders häufig höre ich auch den Satz: „Für uns lohnt sich IAM bisher nicht. Wir sind dafür zu klein.“

Genau diese Sichtweise halte ich für riskant. Denn die Angriffsfläche entsteht häufig durch ungeklärte Zugriffe und die gibt es in kleinen Organisationen genauso.

Niemand muss mit einem vollumfänglichen Enterprise-IAM starten. Ein tragfähiger Ansatz darf schrittweise wachsen:

  1. Transparenz schaffen – welche Benutzerkonten existieren überhaupt?
  2. Rollen und Verantwortlichkeiten definieren – wer benötigt welchen Zugriff, und warum?
  3. Berechtigungen regelmäßig überprüfen – durch wiederkehrende Rezertifizierung statt einmaliger Vergabe
  4. Joiner-Mover-Leaver-Prozesse etablieren – Zugriffe entstehen, ändern sich und enden mit dem Beschäftigungsverhältnis
  5. Multi-Faktor-Authentifizierung einführen – die wirksamste Einzelmaßnahme gegen gestohlene Zugangsdaten
  6. Privilegierte Konten gesondert schützen – Administratoren und kritische Zugänge gehören in ein eigenes Schutzregime (Privileged Access Management)
  7. Automatisierung schrittweise ausbauen – dort, wo manuelle Prozesse an Grenzen stoßen

Jeder einzelne dieser Schritte erhöht die Sicherheit messbar, unabhängig davon, ob die übrigen schon umgesetzt sind.

Einfach mal anfangen

Aus meiner Sicht ist der größte Fehler nicht ein unvollständiges IAM, sondern gar keins zu haben.

Identity & Access Management muss nicht von Anfang an perfekt sein. Es darf und sollte modular wachsen. Entscheidend ist ein strukturierter Einstieg und der Wille, das Thema langfristig weiterzuentwickeln.

Denn jede Identität ist ein möglicher Zugang zu Ihren wertvollsten Informationen. Und genau diese gilt es angemessen zu schützen.

Eine ehrliche Standortbestimmung lohnt sich. Wüssten Sie heute auf Anhieb, wer in Ihrem Unternehmen welche privilegierten Zugriffe besitzt und wer sie zuletzt überprüft hat? Wenn die Antwort zögerlich ausfällt, ist das ein guter Anlass für den ersten Schritt. Sprechen Sie uns gerne an, wenn Sie einen strukturierten Einstieg ins Thema suchen.

David Hänel

David Hänel

Ehrliches Miteinander und konstruktiver Austausch.
IT-Security bedeutet nicht automatisch eine Einschränkung des Benutzerkomforts.