Die Krise der digitalen Identitäten
In einer Zeit, in der Unternehmen massive Investitionen in Firewalls und Verschlüsselung tätigen, ist die größte Schwachstelle oft der Mensch und seine digitalen Identitäten. Aktuelle Studien zeigen, dass sich die Bedrohungslage dramatisch verändert hat: Laut einer Studie bevölkern 82-mal mehr nicht-menschliche als menschliche Identitäten unsere Systeme. Gleichzeitig sinkt das Vertrauen in die eigene Widerstandsfähigkeit: Nur noch 28 Prozent der IT-Verantwortlichen glauben, sich binnen zwölf Stunden von einem Cybervorfall erholen zu können, was einem Vertrauensverlust von 15 Prozentpunkten in nur einem Jahr entspricht.
Die Reaktion der Branche ist klar: 89 Prozent der Unternehmen planen, in den nächsten zwölf Monaten spezialisiertes Personal für Identitätsmanagement einzustellen. Noch bemerkenswerter ist, dass 87 Prozent der IT-Verantwortlichen einen Wechsel ihres IAM-Anbieters planen oder bereits vollzogen haben, wobei Sicherheitsbedenken (58 Prozent) der Hauptgrund sind. Die stille Invasion der KI-Agenten, die bereits in 89 Prozent der Identitätsinfrastrukturen integriert sind, beschleunigt das Wachstum nicht-menschlicher Identitäten und die Sorge vor neuen, agentenbasierten Cyberangriffen.
Von Access Management zu Governance: Wege zu schlanken Strukturen
Angesichts hybrider Cloud-Infrastrukturen und ständig neuer Anwendungen stoßen klassische, aufwendige IAM-Projekte, deren Implementierung im Mittelstand oft 12 bis 18 Monate dauert, an ihre Grenzen. Der Fokus verlagert sich daher vom bloßen Identity- und Access-Management (IAM) hin zur Identity Governance and Administration (IGA). IGA betrachtet den gesamten Lebenszyklus der Zugriffsrechte – von der Vergabe über die Überprüfung bis zur Entziehung.
Ein pragmatischer Weg zu schlankeren Strukturen ist der No-Code-Ansatz. No-Code-IAM-Plattformen nutzen ereignisgesteuerte Architekturen und vorgefertigte Konnektoren für gängige Systeme wie Active Directory, SAP oder Salesforce. Dies ermöglicht die Automatisierung von Routineaufgaben wie Onboarding und Deprovisioning. Schätzungen zufolge können 90 bis 95 Prozent der üblichen IAM-Anforderungen mittelständischer Unternehmen ohne Programmierung umgesetzt werden.
Die Vorteile sind messbar:
- Kosteneffizienz und schnellere Implementierung.
- Reduzierung der Angriffsfläche durch automatisierte Deprovisioning-Prozesse.
- Compliance-Erfüllung durch lückenlose Dokumentation aller identitätsbezogenen Aktivitäten und die Durchsetzung der Funktionstrennung (Separation of Duties, SoD).
Zero Trust und Threat-aware IAM: Dynamische Verteidigung in Echtzeit
Die digitale Identität ist zum zentralen Kontrollpunkt der Sicherheitsarchitektur geworden. Der Zero-Trust-Ansatz („Never trust, always verify“) stellt daher IAM in den Mittelpunkt.
Die konsequente Umsetzung einer Zero-Trust-Umgebung erfordert sieben strukturierte Schritte, beginnend mit:
- Identity Governance und Lifecycle Management (saubere, konsistente Identitäten).
- Starke, adaptive Authentifizierung (MFA und Single Sign-on, das situationsabhängig die Anforderungen anpasst).
- Least-Privilege-Prinzip (minimale Berechtigungen, idealerweise über Just-in-Time-Freigaben).
Die Weiterentwicklung dieses Prinzips ist das Threat-aware IAM, welches starre Rollen durch dynamische Schutzschilde ersetzt. Threat-aware IAM bewertet Zugriffsentscheidungen nicht statisch, sondern anhand des Echtzeit-Kontexts, der Faktoren wie Standort, Geräteintegrität, Uhrzeit und Authentifizierungsverhalten berücksichtigt. Dies ermöglicht es, Anomalien zu erkennen, etwa wenn ein Konto kurz nach einer Privilegienerweiterung aus einer ungewohnten Region auf sensible Systeme zugreift. Um wirksam zu sein, muss Threat-aware IAM nahtlos in operative Sicherheitsprozesse des Security Operations Centers (SOC) integriert werden, beispielsweise über APIs zu SIEM-, SOAR- und Threat-Intelligence-Systemen.
Spezialfall KRITIS und Digitale Kundenprozesse
Gerade in regulierten Sektoren wie KRITIS (Kritische Infrastrukturen) ist IAM ein Pfeiler der Unternehmenssicherheit. Hier müssen Berechtigungen klare Strukturen aufweisen, um das Least-Privilege-Prinzip umzusetzen und die Trennung toxischer Funktionen (SoD) zu gewährleisten. Am Beispiel eines mittelgroßen Krankenhauses muss die IT eine sechsstellige Anzahl von IT-Berechtigungen für etwa 2.700 Mitarbeitende verwalten. NIS-2-Compliance macht die konsequente Steuerung dieser Rechte, auch für technische Identitäten, unerlässlich.
Im Finanzsektor sorgt das Digitale Onboarding für Geschwindigkeit, muss jedoch komplexe regulatorische Anforderungen (GwG, eIDAS) und Kundenbedürfnisse in Einklang bringen. Banken sind auf ein vielfältiges Portfolio an Identifikationsverfahren (wie Videoident, Foto-Ident, eID-Ident oder Bank-Ident) angewiesen, um die Konversionsrate zu maximieren. Die Zukunft gehört voraussichtlich den eID-basierten Identifikationsverfahren, wobei die Integration der European Digital Identity Wallet (EUDI-Wallet) ab 2027/2028 Banken vor neue Herausforderungen stellt, die flexible SaaS-Lösungen externer Anbieter erfordern.
Fazit: IAM als strategisches Imperativ
Digitale Identitäten sind heute das bevorzugte Angriffsziel. Mit verschärften regulatorischen Vorgaben durch die DSGVO und NIS-2 ist die Implementierung von Identity Governance zur strategischen Notwendigkeit geworden. Der Umstieg auf No-Code-Ansätze und die Verlagerung hin zu risikobasierten, dynamischen Zugriffsentscheidungen durch Threat-aware IAM sind wirksame Schritte, um die eigene Resilienz zu erhöhen und Audits gelassen entgegenzusehen.
Wenn die digitale Identität das Schloss zu Ihren wichtigsten Ressourcen ist, dann sorgt ein modernes IAM-System dafür, dass dieses Schloss nicht nur mechanisch funktioniert, sondern in Echtzeit erkennen kann, ob der Schlüsselträger auch wirklich in der richtigen Situation ist, um ihn zu benutzen. Es macht die Zugriffssteuerung von einer administrativen Aufgabe zu einem aktiven Sicherheitsschild.
