IAM — IT-Definition
Identity and Access Management: Prozesse, Richtlinien und Technologien, die kontrollieren, wer auf was im IT-Bestand zugreift.
IAM (Identity and Access Management, Identitäts- und Zugriffsverwaltung) ist die Disziplin, die eine scheinbar einfache, in der Praxis aber äußerst schwierige Frage beantwortet: «Wer hat Zugriff auf was im SI, wann, und ist es gerechtfertigt?». Eine der Säulen moderner Cybersicherheit und direkt mit der IT-Governance verknüpft.
Mit der Verbreitung von SaaS, Homeoffice und Multi-Cloud ist der IAM-Perimeter explodiert: ein durchschnittlicher Mitarbeiter nutzt heute mehr als 35 Anwendungen pro Tag. Laut Verizon DBIR 2024 betreffen 74 % der Datenpannen einen Menschen-Faktor und 49 % eine Kompromittierung von Anmeldedaten — IAM ist daher die erste Verteidigungslinie.
IAM-Bausteine
- •Identity Provider (IdP): Vertrauensquelle der Identitäten (Microsoft Entra ID, Okta, Google Workspace, Ping).
- •[SSO](/de/glossary/sso): einmaliger Login für mehrere Anwendungen.
- •MFA / 2FA: zweiter Faktor (TOTP, FIDO2, Push) reduziert Passwort-Kompromittierungen um 99 %.
- •Automatisches Provisioning (SCIM): Konten erstellen/löschen bei Ankunft oder Austritt.
- •PAM: (Privileged Access Management): privilegierte Konten.
- •CIAM: IAM für externe Kunden.
IAM, IdM, IGA: Akronyme entwirren
- •IdM: technische Verwaltung der Identitäten.
- •AM: Zugriffskontrolle bei Nutzung.
- •IAM: umfasst IdM + AM.
- •IGA: (Identity Governance and Administration): Governance-Dimension — Zugriffsreviews, Zertifizierung, Rollen.
Standard-Protokolle
- •SAML 2.0: historischer SSO-Standard.
- •OpenID Connect (OIDC): moderne Version auf OAuth-2.0-Basis.
- •OAuth 2.0: zur Berechtigungsdelegation.
- •SCIM 2.0: automatisches Konto-Provisioning.
- •FIDO2 / WebAuthn: passwortlose Authentifizierung.
Warum IAM strategisch ist
- •Sicherheit: Kompromittierung von Anmeldedaten bleibt Hauptursache von Vorfällen.
- •Compliance: DSGVO, NIS2, DORA, SOX, ISO 27001 verlangen Zugriffsverfolgung, periodische Reviews, Prinzip der minimalen Rechte.
- •Produktivität: neuer Mitarbeiter ab Tag 1 produktiv.
- •Kosten: bis zu 30 % der SaaS-Konten bleiben nach Austritt aktiv.
- •[Schatten-IT](/de/glossary/shadow-it): nicht regulierte Apps entgehen dem IAM.
Best Practices
- •Prinzip der minimalen Rechte: jeder Nutzer genau die nötigen Zugriffe.
- •Zero Trust: nie vertrauen, immer verifizieren.
- •Periodische Reviews: quartalsweise für sensible Rollen.
- •Joiner-Mover-Leaver automatisiert: Workflows für Ankunft, Wechsel, Austritt.
- •Zentralisierung: ein einziger IdP.
Kabeen erkennt automatisch alle vom Mitarbeiter genutzten Anwendungen — auch außerhalb des SSO — und ermöglicht die Anbindung an den zentralen IdP.
Häufig gestellte Fragen
Was ist IAM?
+
IAM (Identity and Access Management) ist die Disziplin, die regelt, wer auf was im SI zugreift: wie Identitäten erstellt, authentifiziert, autorisiert und widerrufen werden. Sie kombiniert Identity Management (Konten-Lebenszyklus), Access Management (Zugriffskontrolle bei Nutzung) und die Governance der Zugriffe (Reviews, Zertifizierung, Compliance).
Unterschied zwischen IAM, SSO und MFA?
+
IAM ist die umfassendere Gesamtheit: Lebenszyklus der Identitäten, Authentifizierung, Autorisierung, Governance. SSO (Single Sign-On) ist eine IAM-Komponente, die einen einzelnen Login für mehrere Apps ermöglicht. MFA (Multi-Faktor-Authentifizierung) ist ein verstärkter Authentifizierungsmechanismus mit zusätzlichem Faktor. Die drei sind komplementär.
Welche IAM-Protokolle muss man kennen?
+
Referenzstandards sind SAML 2.0 (historisches Enterprise-SSO), OpenID Connect / OAuth 2.0 (moderne Versionen für Web- und Mobile-Apps), SCIM 2.0 (automatisches Konto-Provisioning) und FIDO2 / WebAuthn (passwortlose Authentifizierung über Passkeys). Die meisten SaaS-Anbieter unterstützen mindestens SAML und SCIM; OIDC setzt sich zunehmend durch.
Warum ist IAM kritisch für Compliance?
+
Weil die wichtigsten Regulierungen (DSGVO, NIS2, DORA, SOX, ISO 27001) alle eine Zugriffsverfolgung, periodische Zugriffsreviews und die Anwendung des Prinzips der minimalen Rechte vorschreiben. Ohne zentralisierte und automatisierte IAM ist die Erbringung dieser Nachweise im großen Maßstab unmöglich. Eine durch ein nicht widerrufenes Ex-Mitarbeiter-Konto verursachte Panne kann zu erheblichen Sanktionen und Kosten führen.
Alle Begriffe
5R-Methode
Eine Strategie bei der Anwendungsrationalisierung zur Bestimmung des besten Ansatzes für das Anwendungsmanagement.
8R-Methode
Eine erweiterte Version der 5R-Methode für Application Portfolio Management und Migrationsstrategien.
Anwendung
Ein Computerprogramm oder eine Reihe von Programmen zur Rationalisierung von Geschäftsabläufen.
Architektur
Bezieht sich auf die Struktur und das Verhalten von IT-Systemen, Prozessen und Infrastruktur innerhalb einer Organisation.
Brauchen Sie Hilfe bei der Kartierung Ihrer IT-Landschaft?
Kabeen hilft Ihnen, Ihr Anwendungsportfolio zu inventarisieren, zu analysieren und zu optimieren.