{"id":858,"date":"2025-07-23T14:38:31","date_gmt":"2025-07-23T12:38:31","guid":{"rendered":"https:\/\/g-lorenzen.de\/?p=858"},"modified":"2025-07-23T14:39:14","modified_gmt":"2025-07-23T12:39:14","slug":"iam-ist-kein-luxus-mehr-warum-nis-2-identity-und-access-management-unverzichtbar-macht","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/07\/23\/iam-ist-kein-luxus-mehr-warum-nis-2-identity-und-access-management-unverzichtbar-macht\/","title":{"rendered":"IAM ist kein Luxus mehr: Warum NIS-2 Identity und Access Management unverzichtbar macht"},"content":{"rendered":"\n

<\/h2>\n\n\n\n

Die digitale Landschaft ist einem konstanten Wandel unterworfen, und mit ihr wachsen auch die Bedrohungen durch Cyberangriffe stetig an. Um dem entgegenzuwirken, hat die Europ\u00e4ische Union die Network-and-Information-Security-Richtlinie 2.0 (NIS-2)<\/strong> erlassen, mit dem klaren Ziel, das Sicherheitsniveau in allen Mitgliedstaaten zu erh\u00f6hen. Im Zentrum dieser Bem\u00fchungen steht ein Bereich, der oft untersch\u00e4tzt, aber f\u00fcr die Informationssicherheit absolut fundamental ist: das Identity and Access Management (IAM)<\/strong>.<\/p>\n\n\n\n

NIS-2: Eine versch\u00e4rfte Realit\u00e4t f\u00fcr Unternehmen<\/h3>\n\n\n\n

Die NIS-2-Richtlinie wird voraussichtlich im M\u00e4rz 2025 in nationales Recht umgesetzt und bindend f\u00fcr zahlreiche Organisationen. Im Vergleich zur bisherigen KRITIS-Regulierung wird die Zahl der betroffenen Unternehmen in Deutschland massiv ansteigen \u2013 von gesch\u00e4tzten 30.000 auf ein Vielfaches mehr<\/strong>.<\/p>\n\n\n\n

Wer ist betroffen?<\/strong> Grunds\u00e4tzlich fallen Unternehmen unter NIS-2, die:<\/p>\n\n\n\n

    \n
  • Mehr als 50 Mitarbeiter haben.<\/li>\n\n\n\n
  • Einen Jahresumsatz oder eine Bilanzsumme von \u00fcber 10 Millionen Euro aufweisen.<\/li>\n\n\n\n
  • Zu einem der 18 in der Richtlinie genannten Sektoren geh\u00f6ren, welche als kritisch eingestuft werden (z.B. Energie, Transport, Bankwesen, Gesundheit, digitale Infrastrukturen, \u00f6ffentliche Verwaltung, IT & TK). Es gibt Ausnahmen und Besonderheiten, zum Beispiel fallen Finanzinstitute unter den Digital Operational Resilience Act (DORA) statt NIS-2, um eine Doppelregulierung zu vermeiden.<\/li>\n<\/ul>\n\n\n\n

    Warum IAM der Schl\u00fcssel zur NIS-2-Compliance ist<\/h3>\n\n\n\n

    Der Gesetzentwurf des NIS-2-Umsetzungsgesetzes (\u00a7 30 Abs. 1 und 2) verpflichtet Unternehmen zur Ergreifung „geeigneter, verh\u00e4ltnism\u00e4\u00dfiger und wirksamer technischer und organisatorischer Ma\u00dfnahmen“<\/strong> im Bereich der Informationssicherheit. IAM spielt hierbei eine zentrale Rolle und ist explizit oder implizit in mehreren dieser geforderten Ma\u00dfnahmen verankert:<\/p>\n\n\n\n

      \n
    • Risikoanalyse und IT-Sicherheitskonzepte<\/strong>: Eine entsprechende IAM-Governance ist unerl\u00e4sslich, um ein risikoorientiertes Vorgehen bei der Umsetzung IAM-spezifischer Ma\u00dfnahmen zu gew\u00e4hrleisten [245 (1.), 247].<\/li>\n\n\n\n
    • Sicherheit der Lieferkette<\/strong>: IAM-Vorgaben m\u00fcssen in Dienstleistervertr\u00e4gen verankert und deren Einhaltung auditiert werden. Gegebenenfalls ist die Integration von ausgelagerten Systemen in das eigene IAM notwendig, um Steuerung und \u00dcberwachung sicherzustellen [245 (4.), 247].<\/li>\n\n\n\n
    • Cyberhygiene und Schulungen<\/strong>: Klare Prozesse und Zugriffsmechanismen sind zu etablieren, um die IT-Sicherheit dauerhaft zu st\u00e4rken. Dazu geh\u00f6ren auch Awareness-Schulungen zu IAM-Themen<\/strong> [245 (7.), 248].<\/li>\n\n\n\n
    • Konzepte f\u00fcr die Zugriffskontrolle und das Management von Anlagen<\/strong>: Hierzu z\u00e4hlen geregelte Joiner-, Mover- und Leaver-Prozesse, Rollen- und Berechtigungskonzepte. Grundprinzipien des IAM wie Need-to-know, Least Privilege und Segregation of Duties (SoD)<\/strong> m\u00fcssen eingehalten werden [245 (9.), 248].<\/li>\n\n\n\n
    • Multi-Faktor-Authentifizierung (MFA) oder kontinuierliche Authentifizierung<\/strong>: Der Einsatz solcher L\u00f6sungen ist bei der Festlegung von Authentifizierungsverfahren mitzudenken und umzusetzen, um einen sicheren Zugriff auf Unternehmensanwendungen und Daten zu gew\u00e4hrleisten [245 (10.), 249].<\/li>\n<\/ul>\n\n\n\n

      Es wird deutlich: IAM ist von Beginn an integraler Bestandteil der NIS-2-Umsetzung<\/strong>.<\/p>\n\n\n\n

      Die Kernkomponenten eines robusten IAM<\/h3>\n\n\n\n

      Ein effektives IAM-System tr\u00e4gt wesentlich dazu bei, die Verwaltung von Identit\u00e4ten, Accounts und deren Berechtigungen zu vereinheitlichen und zu automatisieren, wodurch manuelle Prozesse reduziert werden. Die wichtigsten Komponenten sind:<\/p>\n\n\n\n

        \n
      1. Authentifizierung<\/strong>: Dieser Prozess \u00fcberpr\u00fcft die Identit\u00e4t einer Person, die sich als bestimmter Benutzer ausgibt. Die Wahl der Authentifizierungsmethode ist entscheidend, insbesondere bei der Implementierung von MFA. Man unterscheidet dabei drei Kategorien von Authentifizierungsfaktoren:\n
          \n
        • Wissen<\/strong> (z.B. PIN, Passwort)<\/li>\n\n\n\n
        • Besitz<\/strong> (z.B. Zertifikate, Smartcard)<\/li>\n\n\n\n
        • Eigenes Subjekt<\/strong> (biometrische Nachweise) Die Sicherheit eines Faktors h\u00e4ngt stark von der Implementierung ab, z.B. bei der Passwortkomplexit\u00e4t. Eine Risikobewertung im Vorfeld ist notwendig, um die eingesetzten Methoden an den Schutzbedarf der Informationswerte anzupassen.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
        • Autorisierung<\/strong>: Sie legt fest, auf welche Objekte oder Ressourcen eine Identit\u00e4t zugreifen darf, und verhindert unbefugten Zugriff. Ein h\u00e4ufiges Problem ist, dass Mitarbeiter mehr Berechtigungen haben, als sie tats\u00e4chlich ben\u00f6tigen. Dies kann durch die Nutzung von Referenz-Usern bei Joiner-Prozessen oder das Beibehalten alter Rechte nach Abteilungswechseln entstehen. Um dies zu vermeiden, sind geeignete Berechtigungskonzepte wie die rollenbasierte (RBAC)<\/strong> oder die attributbasierte (ABAC) Berechtigungsvergabe<\/strong> essenziell.<\/li>\n\n\n\n
        • Funktionstrennung (Segregation of Duties – SoD)<\/strong>: Dieses Prinzip besagt, dass eine Identit\u00e4t nicht gleichzeitig zwei inkompatible Rollen in einem Prozess aus\u00fcben darf (z.B. Entwickler ohne Rechte f\u00fcr die produktive Umgebung). SoD-Konzepte bilden die Basis f\u00fcr RBAC- und ABAC-Implementierungen, da sie toxische Rechtekombinationen verhindern. Die Analyse von Unternehmensprozessen, IT-Systemen und Compliance-Vorgaben ist hierf\u00fcr notwendig. SoD-Konflikte sollten in Matrizen dargestellt und durch IAM-Tools \u00fcberwacht werden.<\/li>\n\n\n\n
        • Privileged Access Management (PAM)<\/strong>: Privilegierte Berechtigungen sind ein bevorzugtes Ziel von Cyberangriffen. PAM sch\u00fctzt diese weitreichenden Rechte durch Ma\u00dfnahmen wie:\n
            \n
          • Just-in-time-Zugriff<\/strong>: Tempor\u00e4re Zuweisung von Rechten.<\/li>\n\n\n\n
          • Passwortmanagement<\/strong>: Sichere Speicherung und Rotation von Passw\u00f6rtern.<\/li>\n\n\n\n
          • Session Monitoring<\/strong>: Aufzeichnung und \u00dcberwachung aller Aktivit\u00e4ten privilegierter Accounts.<\/li>\n\n\n\n
          • Multi-Faktor-Authentifizierung (MFA)<\/strong>: Erh\u00f6hung der Zugriffssicherheit. Eine klare, unternehmensweite Definition privilegierter Accounts und Rechte ist hierf\u00fcr entscheidend.<\/li>\n<\/ul>\n<\/li>\n\n\n\n
          • Rezertifizierung<\/strong>: Dieser Prozess stellt sicher, dass die Prinzipien von Need-to-know, Least Privilege und SoD kontinuierlich eingehalten werden. Es gibt verschiedene Arten der Rezertifizierung:\n
              \n
            • Benutzer-Rezertifizierung<\/strong>: \u00dcberpr\u00fcfung der Zugeh\u00f6rigkeit des Mitarbeiters zum Unternehmen\/zur Abteilung.<\/li>\n\n\n\n
            • Rechte-Rezertifizierung<\/strong>: \u00dcberpr\u00fcfung, ob nur ben\u00f6tigte Rechte vorhanden sind, und Entzug \u00fcberfl\u00fcssiger Rechte.<\/li>\n\n\n\n
            • Rollen-Rezertifizierung<\/strong>: \u00dcberpr\u00fcfung der Angemessenheit von Rollen und Rechten. Typischerweise erfolgt die Rezertifizierung j\u00e4hrlich f\u00fcr Standard-Accounts und mindestens halbj\u00e4hrlich f\u00fcr privilegierte Rechte, wie es beispielsweise f\u00fcr Finanzinstitute durch die BAIT vorgegeben ist. Ab einer bestimmten Unternehmensgr\u00f6\u00dfe ist Tool-Unterst\u00fctzung f\u00fcr Konsistenz und Nachweisbarkeit unabdingbar.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n

              Ausblick: IAM als Fundament der zuk\u00fcnftigen Cybersicherheit<\/h3>\n\n\n\n

              Die NIS-2-Richtlinie wird Unternehmen nicht nur dazu verpflichten, IAM systematisch und toolgest\u00fctzt zu etablieren, sondern es auch zukunftssicher zu gestalten<\/strong>. Dies beinhaltet die Erm\u00f6glichung neuer Zugriffsans\u00e4tze wie Zero-Trust<\/strong>, die Vorantreibung der Automatisierung von IAM-Prozessen<\/strong> und die Entwicklung adaptiver IAM-Systeme<\/strong>, die Verhaltensanalysen und K\u00fcnstliche Intelligenz nutzen, um verd\u00e4chtiges Verhalten in Echtzeit zu erkennen. Die Interoperabilit\u00e4t von IAM-Systemen<\/strong> wird im Outsourcing und bei Partnerkooperationen immer wichtiger, ebenso wie das Management von Cloud- und Hybrid-Umgebungen.<\/p>\n\n\n\n

              Insgesamt wird IAM durch NIS-2 nicht nur in der Breite der Unternehmen an Bedeutung gewinnen, sondern auch hinsichtlich aktueller und zuk\u00fcnftiger Entwicklungen entscheidend sein, um Organisationen effektiv vor Cyberbedrohungen zu sch\u00fctzen.<\/p>\n\n\n\n

              \n","protected":false},"excerpt":{"rendered":"

              Die digitale Landschaft ist einem konstanten Wandel unterworfen, und mit ihr wachsen auch die Bedrohungen…<\/p>\n","protected":false},"author":1,"featured_media":860,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,4],"tags":[],"class_list":["post-858","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/858","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=858"}],"version-history":[{"count":1,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/858\/revisions"}],"predecessor-version":[{"id":861,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/858\/revisions\/861"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/860"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=858"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=858"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=858"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}