Identity & Access Management (IAM)

von Jörg Apel


Der unterschätzte Schlüssel zur Unternehmenssicherheit

Management Summary

Identity & Access Management (IAM) ist heute einer der wirksamsten Hebel zur Reduzierung von Cyberrisiken. Die Mehrzahl erfolgreicher Angriffe beginnt nicht mit Technik, sondern mit kompromittierten Zugangsdaten.

Für das Management bedeutet das:

  • Identitäten sind der neue Sicherheitsperimeter

  • Passwörter allein bieten keinen ausreichenden Schutz mehr

  • Fehlende Steuerung von Berechtigungen führt zu erheblichen Geschäftsrisiken

  • Mit überschaubarem Aufwand lassen sich hohe Sicherheitsgewinne erzielen

Die Kombination aus Mehrfaktor-Authentifizierung, klaren Berechtigungsmodellen und Zero-Trust-Prinzipien reduziert Risiken signifikant und ist wirtschaftlich sinnvoll.

Business Impuls

IAM ist kein IT-Thema – es ist ein Steuerungsinstrument für Risiko, Compliance und Effizienz.

Praxisbeispiel (KMU, Maschinenbau):
Ein Produktionsleiter hat über Jahre zusätzliche Berechtigungen erhalten. Nach einem Phishing-Angriff wird sein Account kompromittiert. Ergebnis: Zugriff auf ERP-System, Lieferantendaten und Produktionsplanung → Produktionsausfall und Reputationsschaden.

Management-Kernbotschaft:
Wer Zugriffe nicht aktiv steuert, delegiert die Kontrolle über das eigene Unternehmen.

1. Warum IAM überhaupt wichtig ist

Was sind Credentials?

Credentials (Zugangsdaten) sind digitale Nachweise einer Identität:

  • Benutzername + Passwort

  • Zertifikate

  • Tokens

  • biometrische Merkmale

  • Passkeys

Sie sind der Schlüssel zu Systemen, Daten und Geschäftsprozessen.

Realität der Bedrohungslage

Nach gängigen Studien und etablierten Sicherheitsleitlinien gilt:

Ein Großteil aller erfolgreichen Angriffe nutzt kompromittierte Identitäten.

Typische Angriffsarten über Nutzerkonten

  • Phishing (Täuschung zur Passwortpreisgabe)

  • Credential Stuffing (Wiederverwendung gestohlener Passwörter)

  • Brute Force (systematisches Erraten von Passwörtern)

  • Session Hijacking (Übernahme aktiver Sitzungen)

  • Social Engineering (Manipulation von Mitarbeitenden)

Praxisbeispiel (IT-Dienstleister):
Ein Mitarbeiter nutzt das gleiche Passwort privat und geschäftlich. Nach einem Datenleck wird das Passwort automatisiert getestet → erfolgreicher Zugriff auf Unternehmenssysteme.

Management-Relevanz

IAM ist direkt verbunden mit:

  • Betriebsfähigkeit (Verfügbarkeit)

  • Rechtlicher Haftung (z. B. NIS2)

  • Schutz sensibler Daten (DSGVO)

  • Reputation

2. Welche Risiken IAM reduziert

2.1 Unkontrollierter Zugriff

Ohne strukturiertes IAM:

  • zu viele Rechte

  • keine Transparenz

  • keine Nachvollziehbarkeit

Risiko:
Unbefugte Änderungen, Datenabfluss, Sabotage

2.2 Passwortbasierte Schwachstellen

Schwache oder wiederverwendete Passwörter führen zu:

  • schnellen Kompromittierungen

  • automatisierten Angriffen

  • massiven Skaleneffekten für Angreifer

2.3 Berechtigungswachstum („Privilege Creep“)

Typisch im KMU:

  • Auszubildende behalten alte Rechte

  • Rollen wechseln, Berechtigungen bleiben

  • Administratorrechte werden nicht entzogen

Praxisbeispiel (Gesundheitswesen):
Ein ehemaliger Azubi hat weiterhin Zugriff auf Patientendaten → DSGVO-Verstoß.

2.4 Missbrauch von Administrator-Konten

Ein kritischer Punkt:

  • Admin-Konten werden im Alltag genutzt

  • keine Trennung zwischen Standard- und Admin-Zugriff

Risiko:
Ein kompromittierter Admin-Account bedeutet oft vollständige Systemkontrolle.

2.5 Fehlende Identitätsstrategie

Ohne klare IAM-Strategie:

  • Insellösungen

  • inkonsistente Sicherheit

  • hohe Betriebskosten

3. Welche Maßnahmen sofort sinnvoll sind

3.1 Sichere Passwörter und Richtlinien

Grundprinzipien:

  • Mindestlänge statt Komplexitätszwang

  • keine Wiederverwendung

  • regelmäßige Überprüfung (nicht erzwungene Änderung ohne Anlass)

Managementsicht:
Einfach umsetzbar, geringer Aufwand, hoher Effekt.

3.2 Pro Dienst ein eigenes Passwort oder Passkey

Warum wichtig:

  • verhindert Kettenreaktionen bei Datenlecks

Empfehlung:

  • Einsatz von Passkeys (moderne, phishing-resistente Authentifizierung)

3.3 Passwort-Manager

Nutzen:

  • sichere Speicherung

  • Generierung starker Passwörter

  • zentrale Verwaltung

Praxisbeispiel:
Ein KMU reduziert Supportanfragen („Passwort vergessen“) um >50 %.

3.4 Mehrfaktor-Authentifizierung (MFA)

Standardmaßnahme heute

  • Wissen (Passwort) + Besitz (Token)

  • oder biometrische Faktoren

Varianten:

  • App (Authenticator)

  • Hardware-Token (z. B. YubiKey)

  • SMS (nur eingeschränkt empfehlenswert)

Wirkung:
Reduziert das Risiko kompromittierter Accounts massiv.

3.5 Single Sign-On (SSO)

Authentifizierung über zentrale Identity Provider wie:

  • Apple

  • Google

  • Microsoft

Vorteile:

  • weniger Passwörter

  • zentrale Steuerung

  • bessere Benutzerfreundlichkeit

3.6 Berechtigungsmanagement

Kernprinzip: Least Privilege

  • nur die Rechte, die wirklich benötigt werden

Maßnahmen:

  • Rollen definieren

  • regelmäßige Rezertifizierung

  • klare Trennung von Funktionen

3.7 Trennung von Administrator-Konten

Best Practice:

  • Admin-Accounts nur für Admin-Aufgaben

  • kein E-Mail oder Surfen mit Admin-Rechten

3.8 Zero-Trust-Ansatz

Grundidee:

„Vertraue niemandem – prüfe alles.“

Umsetzung:

  • kontinuierliche Authentifizierung

  • Kontextbewertung (Ort, Gerät, Verhalten)

  • Zugriff nur nach Prüfung

4. Wie die Umsetzung gelingt

4.1 Schrittweiser Ansatz (empfohlen für KMU)

Phase 1 – Stabilisierung

  • MFA für alle kritischen Systeme

  • Passwort-Manager einführen

  • Admin-Konten trennen

Phase 2 – Struktur schaffen

  • Rollenmodell definieren

  • Berechtigungen bereinigen

  • SSO einführen

Phase 3 – Reifegrad erhöhen

  • Zero-Trust-Prinzipien

  • Automatisierung (Joiner/Mover/Leaver-Prozesse)

  • kontinuierliches Monitoring

4.2 Rollen & Verantwortlichkeiten

Typische Struktur:

  • Geschäftsleitung: Vorgaben & Risikoakzeptanz

  • IT: Umsetzung

  • Fachbereiche: Freigabe von Berechtigungen

  • Informationssicherheit: Kontrolle & Audit

4.3 Wirtschaftliche Bewertung

Maßnahme    Aufwand        Nutzen        Bewertung
MFA        gering        sehr hoch        sofort umsetzen
Passwort-Manager    gering        hoch        schnell wirksam
Berechtigungsmanagement    mittel        sehr hoch        strategisch wichtig
Zero Trust        höher        sehr hoch        langfristig

4.4 Typische Fehler vermeiden

  • MFA nur für IT, nicht für alle Nutzer

  • Admin-Rechte nicht reduziert

  • keine regelmäßige Überprüfung

  • IAM als einmaliges Projekt statt als Prozess

Fazit

IAM ist einer der wenigen Bereiche der Informationssicherheit, in denen mit geringem Mitteleinsatz eine sehr hohe Risikoreduktion erreichbar ist.

Aus meiner Sicht gilt:

Wenn Du heute nur eine Sicherheitsmaßnahme priorisieren kannst, dann ist es konsequentes Identity & Access Management.

Es schützt nicht nur Systeme, sondern sichert Geschäftsprozesse, Vertrauen und Unternehmenswert.


 

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

BSI C5:2026

von Jörg Apel
Bild
Cloud-Sicherheit verständlich gemacht Was KMU und Entscheider jetzt wissen sollten 1. Executive Summary (Zusammenfassung) Mit der Veröffentlichung des aktualisierten Kriterienkatalogs C5:2026 am 7. April 2026 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den maßgeblichen Rahmen für sicheres Cloud-Computing neu definiert. Diese Fassung löst den bisherigen Standard C5:2020 ab und adressiert die rasanten technologischen Fortschritte sowie die verschärfte Bedrohungslage der letzten Jahre. Der Katalog wurde von 121 auf nunmehr 168 Kriterien in 17 Kontrollbereichen erweitert. Die Neuerungen umfassen zukunftsweisende Technologien wie Post-Quanten-Kryptografie (PQK), Confidential Computing und Container-Management sowie eine signifikante Schärfung der Anforderungen an die Lieferkettensicherheit und die Mandantentrennung.
Weiter lesen »

Datensicherung im KMU

von Jörg Apel
Bild
Warum Backup kein IT-Detail, sondern Geschäftsabsicherung ist Management Summary Datensicherung ist eine der wirksamsten und zugleich am häufigsten unterschätzten Sicherheitsmaßnahmen in kleinen und mittleren Unternehmen. Sie entscheidet im Ernstfall darüber, ob ein Betrieb nach einem Cyberangriff, einem Systemausfall oder einem Bedienfehler innerhalb weniger Stunden wieder handlungsfähig ist oder tagelang stillsteht.
Weiter lesen »

Incident Response in KMU

von Jörg Apel
Bild
Warum Incident Response als Prozess zur modernen Unternehmensführung gehört Management-Zusammenfassung Cyberangriffe gehören für kleine und mittlere Unternehmen längst zu den realen Geschäftsrisiken. Ransomware, Social Engineering, Business Email Compromise und gezielte Angriffe auf Lieferketten können nicht nur IT-Systeme beeinträchtigen, sondern unmittelbar Produktion, Lieferfähigkeit, Liquidität und Reputation gefährden. Damit wird Incident Response von einer rein technischen Reaktion zu einer zentralen Managementaufgabe.
Weiter lesen »