User- und Role-Management (Identity Access Management / IAM)

User- und Role-Management (Identity Access Management / IAM)

Cyber Security
Lesezeit: …

Inhalt

Identity and Access Management (IAM) bezeichnet die Gesamtheit aller Prozesse, Richtlinien und Technologien, die sicherstellen, dass die richtigen Personen (oder Maschinen) zum richtigen Zeitpunkt auf die richtigen Ressourcen zugreifen können – und zwar aus den richtigen Gründen.

Für die Geschäftsführung ist IAM nicht nur eine IT-Verwaltungsaufgabe, sondern die erste Verteidigungslinie der Unternehmenssicherheit. In einer Zeit, in der der klassische Netzwerk-Perimeter durch Cloud und Home-Office erodiert, wird die Identität zur neuen Sicherheitsgrenze. Ein kompromittiertes Benutzerkonto ist heute der häufigste Einfallstor für Cyberangriffe (z. B. Ransomware).

Die Kernfunktionen: AAA-Prinzip

  1. Authentication (Authentifizierung): Die Verifizierung der Identität.
    • Frage: "Bist du wirklich der, der du vorgibst zu sein?" Methode: Passwörter, Biometrie, Token (MFA).
  2. Authorization (Autorisierung): Die Zuweisung von Zugriffsrechten.
    • Frage: "Was darfst du tun?" Methode: Zugriff auf Dateien, Anwendungen oder Räume basierend auf der Rolle.
  3. Accounting / Administration (Protokollierung): Die Nachvollziehbarkeit.
    • Frage: "Was hast du wann getan?" Methode: Logs und Audit-Trails für Compliance-Zwecke.

Role-Based Access Control (RBAC): Das Standardmodell

Das Standardmodell für mittelständische und große Unternehmen ist das Role-Based Access Control (RBAC). Hierbei werden Berechtigungen nicht an Personen geknüpft, sondern an Rollen (z. B. "Vertriebsmitarbeiter DACH", "Finanzbuchhalter", "IT-Administrator").

Wechselt Mitarbeiter A die Abteilung, wird ihm lediglich die Rolle entzogen und eine neue zugewiesen. Strategischer Vorteil: RBAC reduziert den administrativen Aufwand drastisch und erzwingt das "Need-to-Know"-Prinzip (Least Privilege). Jeder Mitarbeiter erhält nur die Rechte, die er für seine Aufgabe zwingend benötigt.

Der JML-Prozess (Joiner, Mover, Leaver)

  1. Joiner (Eintritt): Automatisierte Bereitstellung (Provisioning) aller notwendigen Accounts am ersten Arbeitstag. Dies erhöht die Produktivität (Day-One-Readiness).
  2. Mover (Abteilungswechsel): Der kritischste Moment. Mitarbeiter sammeln oft neue Rechte an, behalten aber die alten ("Privilege Creep"). Ein IAM-System muss sicherstellen, dass alte Rechte entzogen werden.
  3. Leaver (Austritt): Sofortiger, automatisierter Entzug (Deprovisioning) aller Zugriffe bei Vertragsende. "Verwaiste Accounts" von Ex-Mitarbeitern sind ein massives Sicherheitsrisiko, da sie oft nicht mehr überwacht werden.

Privileged Access Management (PAM)

Eine Sonderrolle nimmt das Management privilegierter Konten (Administratoren, C-Level) ein. Da diese Accounts weitreichende Systemzugriffe haben ("God Mode"), sind sie das Primärziel von Angreifern. PAM-Lösungen schützen diese Konten durch:

  • Session Recording: Bildschirmaufnahme aller Administrator-Tätigkeiten.
  • Just-in-Time Access: Rechte werden nur temporär für eine spezifische Aufgabe gewährt und danach sofort wieder entzogen.
  • Tresor-Prinzip: Passwörter für Server liegen in einem digitalen Tresor und werden dem Admin nicht dauerhaft angezeigt.

Strategische Risiken und Compliance

  • Insider Threats: Unzufriedene Mitarbeiter, die Daten stehlen oder löschen, weil sie noch Zugriff auf Systeme haben, die sie nicht mehr benötigen.
  • Compliance-Verstöße: DSGVO, ISO 27001 oder SOX fordern den Nachweis, wer Zugriff auf sensible Daten hat. Ohne zentrales IAM ist dieser Nachweis ("Recertification") kaum erbringbar.
  • Schatten-IT: Wenn der Zugriff auf offizielle Tools zu kompliziert ist, nutzen Mitarbeiter private, unsichere Alternativen (z. B. Dropbox statt Firmen-Server).

Modernes IAM: Single Sign-On (SSO) und MFA

  1. Single Sign-On (SSO): Der Nutzer meldet sich nur einmal zentral an und erhält Zugriff auf alle angebundenen Anwendungen (Office 365, Salesforce, SAP). Er muss sich nur ein starkes Passwort merken, statt 20 schwache.
  2. Multi-Faktor-Authentifizierung (MFA): Die Verpflichtung eines zweiten Faktors (z. B. Handy-App oder Hardware-Key) beim Login. Dies macht gestohlene Passwörter für Angreifer wertlos.

Fazit

User- und Role-Management ist die Basis für digitale Souveränität. Es beantwortet die Frage "Wer hat Zugriff auf was?" zu jeder Zeit. Für die Geschäftsführung ist die Investition in IAM eine Investition in Skalierbarkeit (schnelles Onboarding) und Risikominimierung (Verhinderung von Datenabfluss). Ein Zero-Trust-Sicherheitskonzept ist ohne professionelles IAM nicht umsetzbar.

Verwandte Themen

Cyber Security

Brute Force Attacke

Wie Angreifer systematisch Passwörter knacken – und wie Sie sich effektiv schützen.

Mehr erfahren
Cyber Security

Distributed Denial-of-Service Attacke (DDoS Attacke)

Wie DDoS-Angriffe funktionieren und welche Schutzmaßnahmen wirklich helfen.

Mehr erfahren
Cyber Security

Firewall

Die erste Verteidigungslinie im Netzwerk – Typen, Funktionsweise und Best Practices.

Mehr erfahren

← Zurück zur Übersicht