Startseite
Zurück zur Übersicht

Identity and Access Management (IAM)

Identity and Access Management (IAM) bezeichnet alle Prozesse und Systeme, mit denen Organisationen die digitalen Identitäten ihrer Nutzer verwalten und steuern, wer auf welche Systeme, Anwendungen und Daten zugreifen darf. IAM umfasst dabei den gesamten Lebenszyklus einer Nutzeridentität: von der Anlage eines neuen Kontos beim Onboarding über die Anpassung von Berechtigungen bei Rollenwechseln bis zur vollständigen Deaktivierung beim Ausscheiden aus der Organisation. Ziel ist es, den Zugang zu IT-Ressourcen zielgerichtet, nachvollziehbar und sicher zu steuern.

IAM stützt sich auf das Prinzip der minimalen Rechtevergabe, also darauf, dass Nutzer nur auf die Ressourcen zugreifen können, die sie für ihre konkrete Aufgabe tatsächlich benötigen. Technisch umgesetzt wird das häufig über rollenbasierte Zugriffssteuerung, bei der Berechtigungen nicht einzelnen Nutzern, sondern definierten Rollen zugewiesen werden. Bekannte Bausteine eines IAM-Systems sind Verzeichnisdienste wie Active Directory (AD) oder LDAP, Single Sign-On (SSO) für die einheitliche Anmeldung sowie Privileged Access Management für besonders sensible Administratorenkonten.

Für Behörden und Unternehmen mit vielen Mitarbeitern und komplexen IT-Strukturen ist IAM ein zentrales Werkzeug zur Erfüllung von Compliance-Anforderungen. Wenn ein Mitarbeiter das Unternehmen verlässt, sein Konto aber nicht zeitnah deaktiviert wird, entsteht ein unmittelbares Sicherheitsrisiko. IAM-Systeme automatisieren solche Prozesse und stellen sicher, dass Zugriffsrechte konsistent vergeben, entzogen und revisionssicher protokolliert werden. Gerade im Kontext von NIS2 und BSI IT-Grundschutz ist diese Dokumentierbarkeit ein entscheidender Faktor.

Der wesentliche Vorteil eines durchdachten IAM liegt in der Kombination aus Sicherheit und Effizienz. IT-Abteilungen werden entlastet, weil Berechtigungen automatisch vergeben und angepasst werden, während gleichzeitig das Risiko verwaister Konten und unbefugter Zugriffe sinkt. Für Organisationen, die unter regulatorische Anforderungen fallen, schafft IAM zudem die nachvollziehbare Dokumentation, die bei Audits und Behördenanfragen benötigt wird.

IAM bildet die organisatorische Grundlage, auf der technische Maßnahmen wie die zentrale Verwaltung und Absicherung von Endgeräten ihre volle Wirkung entfalten.