Authentifizierung

Identity and Access Management

Abkürzung: IAM

Framework von Prozessen, Richtlinien und Technologien zur Verwaltung digitaler Identitäten und zur Steuerung des Zugangs zu Ressourcen.

🧒

Einfach erklärt

Für jeden verständlich — ohne Vorkenntnisse

“IAM ist das System das weiß: Wer bist du? Was darfst du? Wann darf dein Zugang enden? Es verwaltet jeden Mitarbeiter vom ersten Tag (Account anlegen, Rechte vergeben) bis zum letzten Tag (Account sofort sperren). Gutes IAM verhindert, dass Ex-Mitarbeiter noch Monate später Zugang haben.”

Ausführliche Erklärung

IAM umfasst den gesamten Lebenszyklus von Identitäten: Provisioning (Anlegen bei Eintritt), Governance (Zugriffsrechte verwalten), Authentication (Wer bist du?), Authorization (Was darfst du?) und Deprovisioning (Entfernen bei Austritt). IAM-Lösungen: Microsoft Entra ID (Azure AD), Okta, Ping Identity, OneLogin. Kernkonzepte: Identity Governance & Administration (IGA), Access Reviews, Role Management, Lifecycle Management. IAM-Schwachstellen wie verwaiste Konten und überprivilegierte Zugänge sind häufige Einstiegspunkte.

>Wie funktioniert das?

Joiner: Neuer Mitarbeiter tritt ein — IAM-System legt Account an, weist Rolle zu, provisioniert Zugänge zu allen benötigten Systemen

Mover: Mitarbeiter wechselt Abteilung — Zugänge werden angepasst

Leaver: Mitarbeiter verlässt Unternehmen — alle Konten werden sofort deaktiviert

Kontinuierlich: Access Reviews überprüfen ob Zugänge noch benötigt werden

Compliance: Alle Zugangsänderungen werden protokolliert.

?Häufig gestellte Fragen

Antwort

Typischerweise das IT-Team gemeinsam mit HR — HR meldet Eintritte, Wechsel und Austritte, IT setzt die Zugänge um. In größeren Unternehmen gibt es dedizierte IAM-Teams.

Antwort

Regelmäßige Überprüfungen ob Nutzer noch die Berechtigungen brauchen die sie haben — gegen schleichende Privilegienakkumulation ("Permission Creep") bei der Berechtigungen mit jedem Rollenwechsel wachsen.

Antwort

Konten von ausgetretenen Mitarbeitern oder inaktiven Service-Accounts die noch aktiv sind — sie können von Insidern oder nach Credential-Diebstahl von Externen für unbemerkte Aktionen missbraucht werden.

Antwort

Zero Trust beginnt mit "Identität ist der neue Perimeter" — man vertraut nicht dem Netzwerk, sondern der verifizierten Identität. Ohne solides IAM ist Zero Trust nicht umsetzbar.

Antwort

Durch Metriken wie Time-to-Provision, Time-to-Deprovision, Anzahl verwaister Accounts, Prozentsatz überprüfter Zugänge, Access-Review-Compliance-Rate und Orphan-Account-Erkennungsrate.

Alle Begriffe im Glossar

APT Brute-Force-Angriff Botnet CVE Credential Stuffing DDoS EDR Firewall Honeypot IDS KI-Angriff (Adversarial AI)Lateral Movement LLM-Sicherheit Malware MFA Netzwerksegmentierung OSINT Passkeys Patch Management Phishing Prompt Injection Ransomware SIEM Social Engineering SQL-Injection Threat Intelligence TTP WAF XDR Zero-Day Zero Trust XSS CSRF MitM Supply-Chain-Angriff Spear-Phishing Vishing Smishing Watering-Hole-Angriff Drive-by-Download Insider-Bedrohung Typosquatting Clickjacking DNS-Spoofing Session-Hijacking BEC Cryptojacking SIM-Swapping SOC Pentest Threat Hunting Red Team Blue Team DevSecOps Security Awareness Training Vulnerability Management SAST DAST 3-2-1 Backup-Strategie Cyber-Versicherung NIS2 DSGVO ISO/IEC 27001 BSI IT-Grundschutz NIST CSF KRITIS — Kritische Infrastrukturen PCI-DSS CRA TISAX — Automotive Informationssicherheit BCM Meldepflicht bei Datenpannen Adversarial Machine Learning Model Poisoning Deepfake KI-Halluzination LLM-Jailbreak Federated Learning Shadow AI Trojaner Computerwurm Spyware Rootkit Keylogger Fileless Malware Backdoor Infostealer Wiperware Adware OAuth 2.0 SAML SSO PAM IAM RBAC Passwort-Manager Biometrische Authentifizierung Hardware-Sicherheitsschlüssel VPN DMZ VLAN Port-Scanning BGP-Hijacking IPS NAC TLS SSH HTTPS — HyperText Transfer Protocol Secure SPF, DKIM & DMARC — E-Mail-Authentifizierung IPsec — Internet Protocol Security API-Sicherheit DNSSEC