2026-03-08
By Emre SalmanogluIdentity and Access Management (IAM): Der umfassende Leitfaden für Sicherheits- und Compliance-Teams
Erfahren Sie, wie Sie Identity and Access Management implementieren, das ISO 27001, SOC 2, NIS2 und DORA erfüllt. Behandelt SSO, MFA, RBAC, ABAC, privilegierten Zugriff, Identity Governance und Auditnachweise.
IAM
Identitätsmanagement
Zugriffskontrolle
MFA
Compliance
Was ist Identity and Access Management?
Identity and Access Management (IAM) ist die Disziplin, die sicherstellt, dass die richtigen Personen den richtigen Zugriff auf die richtigen Ressourcen aus den richtigen Gründen haben. Es umfasst die Richtlinien, Prozesse und Technologien, die digitale Identitäten verwalten und den Zugriff auf Systeme und Daten der Organisation über den gesamten Identitätslebenszyklus kontrollieren.
Ein ausgereiftes IAM-Programm geht über einfache Benutzerkonten und Passwörter hinaus und implementiert zentrale Identity Governance, risikobasierte Authentifizierung, feinkörnige Autorisierung und kontinuierliche Zugriffsüberwachung.
IAM-Kernkomponenten
| Komponente | Was es macht | Compliance-Wert |
|---|---|---|
| Identitätslebenszyklus-Management | Bereitstellung, Änderung und Deprovisionierung von Konten | Joiners/Movers/Leavers-Nachweis |
| Authentifizierung | Benutzeridentität verifizieren (Passwörter, MFA, Biometrie, Zertifikate) | Starke Authentifizierungsnachweise |
| Single Sign-on (SSO) | Eine Authentifizierung gewährt Zugriff auf mehrere Anwendungen | Zentrale Zugriffskontrolle |
| Autorisierung | Definieren und durchsetzen, worauf authentifizierte Benutzer zugreifen dürfen | Least-Privilege-Nachweis |
| Zugriffsüberprüfungen | Periodische Verifizierung, dass Zugriff angemessen bleibt | Rezertifizierungsnachweis |
| Privileged Access Management | Kontrolle und Überwachung administrativer und erhöhter Zugriffe | Privilegierter Zugriffsnachweis |
| Verzeichnisdienste | Zentraler Identitätsspeicher (Active Directory, Entra ID, Okta) | Identitäts-Source-of-Truth |
| Audit-Logging | Alle Authentifizierungs- und Zugriffsereignisse aufzeichnen | Audit-Trail-Nachweis |
Authentifizierungsmethoden
| Methode | Sicherheitsstufe | Benutzererfahrung | Am besten für |
|---|---|---|---|
| Nur Passwort | Niedrig | Mittlere Reibung | Legacy-Systeme (nicht empfohlen) |
| Passwort + SMS OTP | Mittel | Mittlere Reibung | Basis-MFA-Compliance |
| Passwort + Authenticator-App | Hoch | Mittlere Reibung | Standard-MFA |
| Passwort + Hardware-Token (FIDO2) | Sehr hoch | Geringe Reibung nach Einrichtung | Hochsicherheitsumgebungen |
| Passwortlos (FIDO2/Passkeys) | Sehr hoch | Geringe Reibung | Moderne Anwendungen |
| Zertifikatsbasiert | Sehr hoch | Transparent nach Einrichtung | Maschinenidentitäten, VPN |
Autorisierungsmodelle
| Modell | Funktionsweise | Vorteile | Nachteile |
|---|---|---|---|
| RBAC | Zugriff basierend auf zugewiesenen Rollen | Einfach, auditierbar, etabliert | Rollenexplosion in komplexen Organisationen |
| ABAC | Zugriff basierend auf Attributen (Benutzer, Ressource, Kontext) | Feinkörnig, kontextbezogen | Komplex zu implementieren und zu auditieren |
| PBAC | Zugriff basierend auf Richtlinien, die Rollen und Attribute kombinieren | Flexibel, zentral verwaltet | Richtlinienverwaltungsaufwand |
| Just-in-Time (JIT) | Temporärer erhöhter Zugriff auf Anfrage | Minimiert stehende Privilegien | Erfordert Genehmigungs-Workflows |
Identitätslebenszyklus-Management
| Phase | Aktivitäten | Zentrale Kontrollen |
|---|---|---|
| Eintritt | Identität erstellen, rollenbasierten Zugriff zuweisen, Konten bereitstellen | Automatisierte Bereitstellung aus HR-System |
| Wechsel | Zugriff bei Rollen- oder Abteilungswechsel aktualisieren | Zugriffsüberprüfung bei Rollenwechsel auslösen |
| Austritt | Konten deaktivieren, allen Zugriff widerrufen, Assets einziehen | Automatische Deprovisionierung innerhalb von 24 Stunden |
| Auftragnehmer | Zeitgebundener Zugriff mit Ablaufdaten | Zugriff automatisch ablaufen lassen |
| Dienstkonto | Nicht-menschliche Identitäten für System-zu-System-Kommunikation | Eigentümerzuweisung, Rotation, Überwachung |
Compliance-Anforderungen
Framework-Zuordnung
| Anforderung | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Zugriffskontrollrichtlinie | A.5.15 | CC6.1 | Art. 21(2)(d) | Art. 9(4)(a) |
| Benutzerregistrierung/-deregistrierung | A.5.16 | CC6.2 | Art. 21(2)(d) | Art. 9(4)(a) |
| Bereitstellung von Zugriffsrechten | A.5.18 | CC6.2 | Art. 21(2)(d) | Art. 9(4)(a) |
| Überprüfung von Zugriffsrechten | A.5.18 | CC6.2 | Art. 21(2)(d) | Art. 9(4)(b) |
| Multi-Faktor-Authentifizierung | A.8.5 | CC6.1 | Art. 21(2)(d) | Art. 9(4)(d) |
| Privileged Access Management | A.8.2 | CC6.1 | Art. 21(2)(d) | Art. 9(4)(c) |
| Geringste Rechte | A.8.2 | CC6.1 | Art. 21(2)(d) | Art. 9(4)(a) |
Auditnachweise
| Nachweistyp | Beschreibung | Framework |
|---|---|---|
| Zugriffskontrollrichtlinie | Dokumentierte Richtlinie mit Rollen, Verantwortlichkeiten und Verfahren | Alle Frameworks |
| Benutzerbereitstellungs-Aufzeichnungen | Tickets/Workflows mit Genehmigung und Bereitstellung | ISO 27001, SOC 2 |
| Zugriffsüberprüfungsberichte | Abgeschlossene vierteljährliche Überprüfung mit Entscheidungen und Maßnahmen | Alle Frameworks |
| MFA-Bereitstellungsbericht | Abdeckung über alle Benutzer und Systeme | Alle Frameworks |
| Deprovisionierungsnachweise | Zeitnaher Zugriffsentzug für ausgeschiedene Mitarbeiter | Alle Frameworks |
| Privilegiertes-Konto-Inventar | Liste aller Admin-Konten mit Begründung | ISO 27001, SOC 2, DORA |
Häufige Fehler
| Fehler | Risiko | Lösung |
|---|---|---|
| Keine automatisierte Deprovisionierung | Ehemalige Mitarbeiter behalten Zugriff | IAM mit HR-System für automatisiertes Offboarding integrieren |
| Geteilte Konten | Keine individuelle Nachverfolgbarkeit | Geteilte Konten eliminieren, individuelle Identitäten verwenden |
| Kein MFA auf kritischen Systemen | Kontoübernahme durch Credential-Diebstahl | MFA überall durchsetzen, privilegierten Zugriff priorisieren |
| Zugriff sammelt sich an | Benutzer sammeln unnötige Berechtigungen im Laufe der Zeit | Vierteljährliche Zugriffsüberprüfungen mit Bereinigung implementieren |
| Keine Dienstkonto-Governance | Verwaiste Dienstkonten mit breitem Zugriff | Eigentümer zuweisen, Rotation implementieren, Nutzung überwachen |
| Manuelle Bereitstellung | Langsam, fehleranfällig, kein Audit-Trail | Bereitstellung über IAM-Plattform automatisieren |
Wie Orbiq IAM-Compliance unterstützt
Orbiq hilft Ihnen, Identity and Access Management-Kontrollen nachzuweisen:
- Evidenzsammlung — Zugriffsüberprüfungsberichte, MFA-Bereitstellungsnachweise und Deprovisionierungsaufzeichnungen zentralisieren
- Kontinuierliche Überwachung — IAM-Kontrolleffektivität und Compliance-Raten verfolgen
- Trust Center — Ihre IAM-Lage über Ihr Trust Center teilen
- Compliance-Mapping — IAM-Kontrollen auf ISO 27001, SOC 2, NIS2 und DORA abbilden
- Audit-Bereitschaft — Vorgefertigte Evidenzpakete für die Auditorenprüfung
Weiterführende Artikel
- Zugriffskontrolle — Detaillierte Zugriffskontrollmodelle und Implementierung
- Zero-Trust-Architektur — Identitätszentriertes Sicherheitsmodell
- SIEM — Überwachung von Authentifizierungs- und Zugriffsereignissen
- Security Awareness Training — Benutzerverhalten und Credential-Hygiene
- Verschlüsselung — Schutz von Credentials und Token
- ISMS — IAM innerhalb des Informationssicherheits-Managementsystems