Was ist Identity and Access Management (IAM)?

Identity & Access Management (IAM) ist das Rückgrat sicherer IT-Strukturen: Es steuert, wer worauf zugreifen darf – und in welchem Umfang. Nach ISO/IEC 27001:2022 und dem BSI IT-Grundschutz (ORP.4) zählt es zu den Kernmaßnahmen der Informationssicherheit.

🔹 Definition

IAM sorgt dafür, dass nur berechtigte Personen oder Systeme Zugriff auf Informationen und Ressourcen haben – und zwar nur so weit wie nötig (Least Privilege / Need-to-know).

Es umfasst Identifikation, Authentisierung, Autorisierung und Nachvollziehbarkeit aller Zugriffe – über den gesamten Lebenszyklus einer Identität hinweg (Anlegen → Ändern → Löschen).

🔹 Ziele des IAM

✅ Eindeutige Identifikation jeder Person, jedes Systems oder Geräts.

🔐 Authentisierung – Nachweis der Identität (z. B. Passwort, Token, Mehr-Faktor).

🧾 Autorisierung – Steuerung der Berechtigungen (wer darf was?).

📊 Überwachung & Nachvollziehbarkeit von Zugriffen.

🔁 Verwaltung des Identitäts-Lebenszyklus:

Anlegen (z. B. bei Eintritt)
Ändern (z. B. bei Abteilungswechsel)
Löschen / Deaktivieren (z. B. bei Austritt)

🔹 Zentrale Maßnahmen (ISO 27001 / BSI IT-Grundschutz)

📁 Einrichtung & Löschung von Benutzerkonten geregelt & dokumentiert.

🔒 Zugriff nur nach dem Need-to-know-Prinzip (Least Privilege).

🧩 Passwortrichtlinien & Authentisierungsstandards verbindlich festgelegt.

🔑 Verwendung sicherer Verfahren (z. B. MFA für privilegierte Konten).

🕵️ Regelmäßige Überprüfung & Aktualisierung der Berechtigungen.

📜 Protokollierung sicherheitsrelevanter Anmelde- & Zugriffsereignisse.

🌐 Zentraler Authentisierungsdienst (z. B. AD, LDAP) für konsistente Verwaltung.

🔹 Zuständigkeiten

👤 ISB (Informationssicherheitsbeauftragter): Überwacht IAM-Prozesse & Compliance.

💻 IT-Betrieb: Technische Umsetzung, Benutzerverwaltung, Rechtepflege.

🧑‍💼 Vorgesetzte: Beantragung & Genehmigung erforderlicher Zugriffsrechte.

👥 Mitarbeitende: Sichere Nutzung & Schutz ihrer Zugänge (Passwort, MFA).

🔹 Vorteile eines funktionierenden IAM

🛡️ Erhöhte Informationssicherheit & Einhaltung von Normen (ISO 27001, DSGVO, NIS2).

⚙️ Automatisierte Verwaltung von Konten & Rechten (On-/Offboarding).

🚨 Schnellere Reaktion auf Sicherheitsvorfälle & Zugriffsmissbrauch.

🔍 Transparenz & Nachvollziehbarkeit durch zentrale Protokollierung.

🔹 Best Practices

📅 Regelmäßige Rezertifizierung der Rechte (halbjährlich / jährlich).

🔐 Einführung von MFA zuerst für Admin-Konten, dann flächendeckend.

👥 Umsetzung des Joiner-Mover-Leaver-Prozesses mit klarer Dokumentation.

🗂️ Nutzung eines zentralen Verzeichnisses (CMDB/IDM) als Single Source of Truth.

📊 Auswertung von Logs über SIEM-Systeme zur Früherkennung von Risiken.

📋 Beispiel für ein einfaches IAM-Verfahren

Dieses Beispiel zeigt, wie ein standardisierter Identitäts- und Berechtigungsprozess nach ISO 27001 umgesetzt werden kann – vom Onboarding bis zur regelmäßigen Rechteprüfung.

Anlegen – Mitarbeitereintritt

Maßnahmen:
Benutzerkonto anlegen, Standardrechte zuweisen

Zuständigkeit:
IT-Betrieb / Vorgesetzte

Nachweise:
Benutzerliste

Änderung – Abteilungswechsel

Maßnahmen:
Rechte anpassen, alte Berechtigungen entfernen

Zuständigkeit:
IT-Betrieb

Nachweise:
Änderungsprotokoll

Deaktivierung – Austritt

Maßnahmen:
Konto deaktivieren, Zutritt entziehen

Zuständigkeit:
IT-Betrieb

Nachweise:
Lösch- / Deaktivierungsprotokoll

Kontrolle – Halbjährliche Rechteprüfung

Maßnahmen:
Rechteprüfung, Audit durch ISB

Zuständigkeit:
ISB / Führungskraft

Nachweise:
Prüfbericht

🧭 How To: Identity & Access Management (IAM) erfolgreich einführen

Ein funktionierendes Identity & Access Management (IAM) ist eine zentrale Säule der ISO 27001. Die nachfolgenden Schritte helfen dir, den Prozess strukturiert, auditfest und praxisorientiert umzusetzen.

Scope & Ziele definieren

Lege fest, für welche Systeme, Anwendungen und Organisationseinheiten das IAM gilt. Bestimme, welche Ziele du erreichen willst – z. B. Nachvollziehbarkeit, Zugriffstransparenz oder Automatisierung.

Welche Systeme sind relevant (Cloud, AD, ERP, HR)?
Welche Identitäten (Mitarbeiter, Lieferanten, Maschinenkonten) sollen verwaltet werden?

Prozesse & Richtlinien definieren

Beschreibe, wie Identitäten erstellt, geändert und gelöscht werden. Diese Abläufe sind Kernbestandteile deiner IAM-Richtlinie.

Joiner-Mover-Leaver-Prozess festlegen (Eintritt – Wechsel – Austritt)
Verantwortlichkeiten zwischen HR, IT und ISB klar definieren
Dokumentation & Nachvollziehbarkeit sicherstellen

Technische Umsetzung

Implementiere geeignete Tools oder Verzeichnisdienste zur Verwaltung von Benutzern, Gruppen und Berechtigungen.

Active Directory / LDAP / Azure AD als zentrale Instanz
Einführung von Mehr-Faktor-Authentifizierung (MFA)
Integration mit HR-System für automatisiertes Onboarding

Rollen & Rechtekonzept entwickeln

Ein gutes Rollenmodell ist das Herzstück eines wirksamen IAM. Es ermöglicht eine einfache Verwaltung und Auditierbarkeit von Berechtigungen.

Rollenbasiertes Berechtigungskonzept (RBAC) einführen
Trennung kritischer Funktionen (Segregation of Duties)
Regelmäßige Rezertifizierung aller Berechtigungen

Überwachung & Audits etablieren

Überwache sicherheitsrelevante Anmelde- und Zugriffsereignisse kontinuierlich. Führe regelmäßige Audits und Rechteprüfungen durch.

Protokollierung von Login-/Zugriffsversuchen
Halbjährliche Rechteprüfung durch ISB und Vorgesetzte
Berichtswesen an Geschäftsführung

Awareness & Schulungen

Sensibilisiere alle Mitarbeitenden regelmäßig für Passwortsicherheit, Phishing und den Umgang mit Berechtigungen.

Einführung eines Security-Awareness-Programms
Regelmäßige Schulungen & Micro-Learnings
Phishing-Simulationen und Feedbackgespräche

Kontinuierliche Verbesserung

Ein IAM ist kein einmaliges Projekt – es lebt vom ständigen Review und der Anpassung an neue Risiken und Technologien.

Jährliche IAM-Reviews im Rahmen des ISMS
Integration neuer Authentifizierungstechnologien
Erweiterung um Cloud-Identitäten (z. B. Azure AD)

💡 Tipp aus der Praxis

Beginne mit einem kleinen, klar abgegrenzten System (z. B. Active Directory) und erweitere das IAM schrittweise. Ein MVP-Ansatz (Minimum Viable Process) hilft, schnelle Erfolge zu erzielen und Akzeptanz aufzubauen.

1️⃣ Warum IAM für KMU unverzichtbar ist

Identity & Access Management (IAM) ist längst kein Thema mehr nur für Großkonzerne. Gerade kleine und mittlere Unternehmen (KMU) profitieren enorm von einem strukturierten Berechtigungs- und Zugriffskonzept – denn der Schutz sensibler Daten, Systeme und Kundeninformationen ist heute ein entscheidender Wettbewerbsfaktor.

Steigende Cyberangriffe:Laut Bitkom sind über 80 % der deutschen Unternehmen bereits Ziel von Cyberattacken gewesen. KMU gelten dabei als „leichte Beute“, weil Zugriffsrechte oft unstrukturiert vergeben werden.

Cloud & Remote Work:Mitarbeitende greifen heute von verschiedenen Standorten, Geräten und Systemen auf Unternehmensressourcen zu. Ohne zentral gesteuertes IAM fehlen Kontrolle und Nachvollziehbarkeit.

Compliance & Normanforderungen:ISO 27001, DSGVO und NIS2 verlangen nachvollziehbare Zugriffskontrollen, Berechtigungskonzepte und Nachweise über die Verwaltung von Identitäten.

Wirtschaftlichkeit:Ein automatisiertes IAM spart Zeit und Kosten im Vergleich zu manueller Benutzerverwaltung. Besonders bei Ein- und Austritten („Joiner–Mover–Leaver“) reduziert es den Aufwand erheblich.

Vertrauen & Wettbewerbsvorteil:Unternehmen mit klar dokumentierten Sicherheitsprozessen gewinnen leichter Kunden – besonders bei Audits oder Lieferantenzulassungen in Branchen wie Automotive, IT oder Health Tech.

IAM stärkt nicht nur die Sicherheit, sondern auch die Effizienz und Compliance eines Unternehmens. Für KMU ist es der entscheidende Schritt, um Informationssicherheit messbar, nachvollziehbar und auditfest zu gestalten.

2️⃣ Herausforderungen beim Identity & Access Management in KMU

Kleine und mittlere Unternehmen stehen beim Aufbau eines effektiven IAM-Systems häufig vor besonderen organisatorischen und technischen Hürden. In der Praxis zeigen sich vor allem diese typischen Schwachstellen:

Fehlende Prozesse: Zugänge werden häufig manuell vergeben – ohne standardisierte Workflows oder klare Genehmigungsverfahren.

Keine Rollenstruktur: Mitarbeitende erhalten zu weitreichende Berechtigungen („Adminrechte für alle“), was das Risiko von Missbrauch und Fehlkonfigurationen erhöht.

Schatten-IT: Externe Tools, Cloud-Dienste oder private Geräte werden ohne Kontrolle genutzt – Zugriffsketten bleiben unklar.

Fehlende Rezertifizierung: Zugriffsrechte werden selten überprüft. Ehemalige Mitarbeitende behalten oft Zugang zu Systemen oder Daten.

Unklare Zuständigkeiten: Weder IT noch Management fühlen sich für IAM verantwortlich – Richtlinien fehlen oder sind veraltet.

Ohne klare Prozesse für Identitäten, Berechtigungen und Zugriffskontrollen entstehen Sicherheitslücken, die sich in Audits oder bei Cyberangriffen schnell bemerkbar machen. Ein strukturiertes IAM ist daher kein Luxus, sondern ein wesentlicher Bestandteil der Cyber-Resilienz.

3️⃣ Minimalanforderungen für ein funktionierendes IAM im KMU

Der Einstieg in ein Identity & Access Management muss nicht kompliziert sein. Schon mit wenigen organisatorischen und technischen Maßnahmen können KMU ein hohes Sicherheitsniveau erreichen.

🔐 Zentraler Account-Prozess:
Einheitliche Abläufe für die Anlage, Änderung und Deaktivierung von Benutzerkonten – inklusive Genehmigung durch Vorgesetzte.

👤 Rollenbasierte Zugriffssteuerung (RBAC):
Rechte werden nicht individuell, sondern nach Funktion oder Abteilung vergeben (z. B. Vertrieb, Buchhaltung, IT).

🔑 Mehr-Faktor-Authentifizierung (MFA):
Pflicht für privilegierte Konten und Remote-Zugänge – schützt vor Phishing und kompromittierten Passwörtern.

📋 Halbjährlicher Rechte-Review:
Führungskräfte prüfen regelmäßig, ob die vergebenen Berechtigungen noch aktuell und angemessen sind.

🧾 Dokumentation im ISMS:
Zugriffsdaten, Rollenbeschreibungen und Änderungen werden nachvollziehbar im Informationssicherheits-Managementsystem dokumentiert.

💡 Schulungen & Awareness:
Regelmäßige Sensibilisierung der Mitarbeitenden für Passwortsicherheit, Phishing und den verantwortungsvollen Umgang mit Zugängen.

Schon diese Basismaßnahmen genügen, um den meisten Audits standzuhalten – und schaffen gleichzeitig eine nachvollziehbare Sicherheitskultur im Unternehmen. Wichtig ist, dass Prozesse dokumentiert, Verantwortlichkeiten klar benannt und Maßnahmen regelmäßig überprüft werden.

🔍 FAQ – Häufige Fragen zum Identity & Access Management (IAM)

Antworten auf die wichtigsten Fragen rund um Aufbau, Umsetzung und Vorteile eines IAM-Systems nach ISO 27001.

1Was versteht man unter Identity & Access Management?

Identity & Access Management (IAM) bezeichnet alle Prozesse und Technologien, die sicherstellen, dass nur berechtigte Personen oder Systeme Zugriff auf bestimmte Informationen und Ressourcen erhalten – und zwar genau im benötigten Umfang.

2Warum ist IAM für ISO 27001 so wichtig?

IAM ist ein zentrales Element der ISO 27001, da es die Grundprinzipien Vertraulichkeit, Integrität und Verfügbarkeit direkt unterstützt. Ohne ein funktionierendes IAM-System können Berechtigungen nicht nachvollziehbar gesteuert oder kontrolliert werden – ein häufiges Audit-Defizit.

3Welche Kernaufgaben gehören zu einem IAM-System?

Die Hauptaufgaben sind Identifikation, Authentisierung, Autorisierung, Überwachung und die Verwaltung des gesamten Lebenszyklus einer Identität (Anlegen, Ändern, Löschen).

4Wie wird IAM in einem Unternehmen eingeführt?

Typischerweise startet man mit einer Ist-Analyse und der Definition des Scopes. Danach folgen Richtlinien, Rollen- und Berechtigungskonzepte, technische Implementierung (z. B. AD, Azure AD), Schulungen und Audits.

5Welche Vorteile bringt ein IAM-System?

IAM sorgt für Sicherheit, Transparenz und Effizienz: automatische Kontoerstellung, weniger Fehlberechtigungen, schnellere Audits und bessere Nachvollziehbarkeit bei Sicherheitsvorfällen.

6Wie oft sollten Berechtigungen überprüft werden?

Mindestens halbjährlich. Besonders bei sensiblen Daten oder privilegierten Konten sollte die Prüfung häufiger erfolgen. ISO 27001 und der BSI IT-Grundschutz empfehlen regelmäßige Rezertifizierungen durch ISB und Vorgesetzte.

7Welche Tools unterstützen IAM?

Häufige Tools sind Microsoft Active Directory, Azure AD, Okta, Ping Identity oder OpenLDAP. Sie ermöglichen zentrale Verwaltung, MFA-Integration, Protokollierung und automatisiertes On-/Offboarding.

8Wie überprüft ein Auditor das IAM im Rahmen eines ISO 27001-Audits?

Auditoren prüfen die IAM-Prozesse anhand von Richtlinien, Protokollen, Kontenlisten und Nachweisen der Rechteprüfung. Besonders kritisch ist die Dokumentation des Lebenszyklus von Benutzerkonten sowie die Umsetzung der Trennung von Rollen und Rechten.

Weiterführende Themen zur Informationssicherheit

Vertiefen Sie Ihr Wissen rund um ISO 27001, Informationssicherheit und Managementsysteme. Diese Artikel ergänzen das Thema Identity & Access Management perfekt:

🔒 ISO 27001 Beratung – Einführung & Zertifizierung 📘 Leitfaden ISO 27001 – Vom Aufbau bis zum Audit 🧩 ISO 27002 – Leitfaden für Informationssicherheitsmaßnahmen 💼 ISO 27001 Asset Management – Werte schützen & verwalten 🧠 Warum ISO 27001 kein IT-Projekt ist 🏛️ BSI-Grundschutz-Kompendium – Praxisleitfaden für Unternehmen

Identity and Access Management