Identity- und Access-Management
Identity- und Access-Management (IAM) umfasst die Prozesse und Technologien zur Verwaltung digitaler Identitäten, Rollen und Zugriffsrechte über deren gesamten Lebenszyklus hinweg.
Identity- und Access-Management (IAM) bezeichnet das Zusammenspiel aus organisatorischen Prozessen und technischen Systemen, mit denen eine Organisation digitale Identitäten von Personen, Diensten und technischen Konten verwaltet und deren Zugriff auf Informationen und Systeme steuert. Kern des IAM ist die Frage, wer (Identität) unter welchen Bedingungen auf welche Ressourcen mit welchen Rechten zugreifen darf. Dabei werden die beiden Säulen Identitätsmanagement (Anlegen, Pflegen und Deaktivieren von Identitäten) und Zugriffsmanagement (Authentifizierung und Autorisierung) systematisch verbunden, um Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten Informationen sicherzustellen.
Ein wirksames IAM orientiert sich am Lebenszyklus einer Identität: Beim Eintritt (Joiner) werden Identität und Erstberechtigungen rollenbasiert vergeben, bei Veränderungen (Mover) wie Abteilungs- oder Funktionswechseln werden Rechte angepasst und nicht mehr benötigte Berechtigungen entzogen, und beim Austritt (Leaver) werden Zugänge fristgerecht deaktiviert. Tragende Prinzipien sind die Vergabe minimaler Rechte (Least Privilege), das Need-to-know-Prinzip sowie die Funktionstrennung (Segregation of Duties). Ergänzt wird dies durch starke Authentifizierung, insbesondere Multi-Faktor-Authentifizierung, sowie durch eine besondere Absicherung privilegierter Konten (Privileged Access Management).
Aus Compliance-Sicht ist IAM ein zentrales Kontrollfeld eines Informationssicherheits-Managementsystems (ISMS). Regelmäßige Rezertifizierungen (Access Reviews) belegen, dass erteilte Rechte weiterhin erforderlich und angemessen sind, während eine lückenlose Protokollierung der Zugriffe die Nachweisbarkeit gegenüber Auditoren und Aufsichtsbehörden sicherstellt. Die NIS2-Richtlinie und ihre nationale Umsetzung fordern von betroffenen Einrichtungen ausdrücklich Maßnahmen zur Zugriffskontrolle, Authentifizierung und zum Identitätsmanagement; auch ISO/IEC 27001 und der BSI IT-Grundschutz verankern IAM als grundlegende Sicherheitsmaßnahme. Ein gut dokumentiertes IAM reduziert damit nicht nur das Risiko unbefugter Zugriffe, sondern ist zugleich ein wesentlicher Baustein der gesetzlich geforderten Risikomanagementmaßnahmen.
Rechtliche Grundlage
Art. 21 Abs. 2 NIS2-Richtlinie (EU) 2022/2555; ISO/IEC 27001:2022 Anhang A 5.15-5.18, A 8.2-8.5; BSI IT-Grundschutz Baustein ORP.4 (Identitäts- und Berechtigungsmanagement)
Praxisbeispiel
Eine als besonders wichtige Einrichtung nach NIS2 eingestufte mittelständische Maschinenbau-GmbH stellt im Rahmen eines internen Audits fest, dass mehrere ausgeschiedene Mitarbeitende noch aktive Konten mit Zugriff auf das ERP-System besitzen. Die Informationssicherheitsbeauftragte führt daraufhin ein rollenbasiertes IAM ein: Berechtigungen werden über definierte Rollen statt einzeln vergeben, der Austrittsprozess wird mit der HR-Abteilung verzahnt, sodass Konten automatisiert deaktiviert werden, und privilegierte Administratorkonten erhalten eine verpflichtende Multi-Faktor-Authentifizierung. Eine halbjährliche Rezertifizierung durch die Fachvorgesetzten sowie eine revisionssichere Protokollierung schaffen anschließend den Nachweis, dass die Zugriffskontrolle den Anforderungen der NIS2-Umsetzung genügt.
Häufige Fragen
So unterstützt preeco Sie
Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.
Mehr erfahren