<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=2171572209666742&amp;ev=PageView&amp;noscript=1">
Blog

Verwalten von digitalen Identitäten und Zugriffsrechten – komplex, aber lösbar

9 Min. Lesezeit

Schützt ein Unternehmen seine digitalen Identitäten bestmöglich, erhöht es seine Cybersicherheit markant. Das Verwalten dieser Identitäten und deren Zugriffsrechte ist und bleibt angesichts der technologischen Entwicklung indes hochkomplex. Was macht die Komplexität aus, wie tritt man ihr konkret entgegen und welche kaum bekannten Vorteile bietet eine gute IAM-Lösung? Wir verraten es hier.

Das Verwalten von digitalen Identitäten und Zugriffsrechten ist eine Kernaufgabe jedes Unternehmens – ungeachtet seiner Grösse oder Branche. Das sogenannte Identity and Access Management erweist sich aber als zunehmend komplex, denn neue Technologien kommen in immer kürzeren Abständen auf den Markt und die Systeme sind immer stärker vernetzt.

In diesem Blog zeigen wir, worin die Komplexität besteht, welche Herausforderungen sie mit sich bringt, wie Unternehmen diese meistern und welche zusätzlichen Vorteile eine umfassende IAM-Lösung bietet.

Verwalten von digitalen Identitäten und Zugriffsrechten – komplex, aber lösbar
18:54

Wichtige Konzepte 

Bevor wir uns den Herausforderungen widmen, beschäftigen wir uns kurz mit den drei wichtigen Konzepten, von denen im Folgenden die Rede ist. Dies sind:

  • Identity Management (IDM), das sich auf den Lebenszyklus digitaler Identitäten konzentriert,
  • Identity and Access Management (IAM), das IDM abdeckt, dessen Schwerpunkt aber allgemeiner auf der Zugriffskontrolle und der Authentifizierung von Identitäten liegt, und
  • Identity Governance and Administration (IGA), in dessen Mittelpunkt die Governance steht, das sich aber in grossen Teilen mit IAM überschneidet.

 Die folgende Abbildung illustriert, wie die drei Konzepte zusammenspielen: 

concepts_de-1

Den Unterschied zwischen IDM, IAM und IGA zu kennen, lohnt sich, da Tools üblicherweise auf eines dieser drei Konzepte spezialisiert sind. Herausforderungen entstehen für Unternehmen jedoch in allen Bereichen, sodass ein Tool in der Regel nicht genügt. Der Schlüssel liegt daher in einer Kombination von Tools – einem sogenannten «Identity Fabric» (siehe IAM-Strategie: Wie Sie sie mit Identity Fabrics optimieren und wann Sie das tun sollten und 8 Fragen zu Identity Fabrics an Olivier Pallière), das sämtliche firmenspezifischen Anforderungen abdeckt.

Wenn wir hier von der Verwaltung von digitalen Identitäten und deren Zugriffsrechten sprechen, beziehen wir uns auf sämtliche damit verbundenen Aspekte. Dies schliesst neben der Technologie auch organisatorische Massnahmen und Prozesse mit ein. Denn selbst das beste Tool ist nutzlos, wenn es nicht richtig angewandt wird. 

7 Bereiche, in denen die Komplexität besonders hoch ist 

Besonders komplexe Bereiche

1. Verschiedene Systeme und Applikationen

2. Authentifizierungsmethoden

3. Autorisierung und Zugriffskontrolle

4. Verwaltung des Nutzer-Lebenszyklus

5. Sicherheit und Umgang mit Bedrohungen

6. Skalierbarkeit

7. Interoperabilität

Es sind mehrere Faktoren, deren Zusammenspiel das Verwalten von Identitäten und deren Zugriffsrechten komplex macht. Dabei handelt es sich insbesondere um die folgenden sieben:

  1. Verschiedene Systeme und Applikationen
    Für die Identitäts- und Zugriffsverwaltung braucht es diverse Systeme, Applikationen und Plattformen, für die alle eigene Anforderungen und Protokolle bestehen. Unternehmen auf der Höhe der Zeit setzen auf eine Kombination von Cloud- und lokalen Applikationen mit jeweils separaten Zugriffsmethoden. Legacy-Systeme unterstützen aktuelle Identity-Protokolle oft nicht. Authentisierungsstandards, APIs und Sicherheitsrichtlinien, die sich je nach Plattform unterscheiden, machen das Aufrechterhalten eines einheitlichen Identitätsrahmens schwierig.

    blog_complexity_de_1

    Wie man damit umgeht:

    • Führen Sie eine zentrale IGA-Lösung ein, die Identitäten und Zugriffsrechte sowohl in der lokalen als auch in der Cloud-Umgebung provisioniert und verwaltet. Dies gewährleistet die Sichtbarkeit und Sicherheit aller Datenzugriffe.
    • Ziehen Sie ein Setup mit einem internen oder externen Identity Provider (IdP) in Betracht, um einen einfachen und einheitlichen Zugriff auf Applikationen zu ermöglichen. Dabei übernimmt der IdP das Verwalten der Identitäten und die Authentisierung der Nutzenden, während die Applikationen nur den Authentisierungsstatus und die Nutzerattribute erhalten. Dieses Vorgehen ist auch als Identity Federation bekannt.
    • Kontrollieren Sie den Zugriff auf Legacy-Systeme mittels API Gateways oder ebenfalls mittels Identity Federation zusammen mit einem IdP.
    • Sorgen Sie für regelmässige Audits und einen hohen Automatisierungsgrad, um die technische Komplexität der unterschiedlichen Systeme und Applikationen zu bewältigen.
  2. Authentifizierungsmethoden
    Um unterschiedliche Authentifizierungsmethoden wie Passwörter, biometrische Merkmale und Multifaktor-Authentifizierung (MFA) einzuführen und zu verwalten, braucht es moderne Technologie und eine passende Integration. Ausserdem mögen es Nutzende nicht, wenn sie sich ständig einloggen müssen. Sie wollen applikationsübergreifend einfache und sichere Anmeldeverfahren sowie eine nahtloses Nutzererlebnis. Dies gilt für Kunden und Mitarbeitende gleichermassen.

    blog_complexity_de_2

    Wie man damit umgeht:
    • Führen Sie applikationsübergreifend Single Sign-On (SSO) ein. Dies geschieht mit einem IAM-Tool für das Session Handling, das sämtliche Verbindungen verwaltet.
    • Orientieren Sie sich bei der Wahl der Authentifizierungsmethoden an der Sensitivität der Applikationen und Daten sowie am Nutzererlebnis. Passwortfreie Verfahren wie FIDO2 sind oft bequemer und sicherer als das herkömmliche Login mittels Nutzername und Passwort. Setzen Sie auf ein gut integriertes IAM-Tool, das moderne Authentifizierungsmethoden unterstützt.
  3. Autorisierung und Zugriffskontrolle
    Das Definieren und Durchsetzen von Richtlinien über die granulare Zugriffskontrolle, z.B. Role-Based Access Control (RBAC) und Attribute-Based Access Control (AABC), erfordert eine detaillierte Planung und laufende Updates. Dass die richtigen Personen jederzeit über die richtigen Zugriffsrechte verfügen, ist entscheidend. Besitzt eine Person zu viele Rechte, kann sie möglicherweise sensitive Daten einsehen. Besitzt sie zu wenig Rechte, beeinträchtigt dies eventuell ihre Produktivität, da sie Applikationen und Daten, die sie für ihre Arbeit benötigen würde, nicht nutzen oder gar nicht sehen kann. Sind die Rollen zu detailliert definiert, steigt deren Anzahl exponentiell, was eine regelmässige Prüfung aller Zugriffsrechte nahezu verunmöglicht.

    blog_complexity_de_3

    Wie man damit umgeht:

    • Führen Sie zur Verwaltung der Rollen in allen Applikationen ein voll integriertes IGA-System ein. Dieses spielt eine Schlüsselrolle, um diese Herausforderung zu meistern. Denn nur ein IGA-System ermöglicht eine standardisierte und sichere Zugriffskontrolle bei relativ geringem Aufwand.
    • Erarbeiten Sie ein passendes Rollenmodell, um den exponentiellen Anstieg von Rollen zu vermeiden. Es soll Zugriffsrechte dynamisch gewähren auf der Basis von Richtlinien und Attributen wie Nutzerverhalten, Gerät oder geographischem Ursprung der Zugriffsanfrage.
    • Ziehen Sie eine Zero-Trust-Architektur in Betracht. Diese verlangt eine kontinuierliche Authentisierung und die geringstmögliche Berechtigung für den Zugriff, um per Default eine sichere Zugriffskontrolle zu gewährleisten.
    • Verwenden Sie Tools für Privileged Access Management (PAM), um risikobehaftete Konten durch strengere Kontrollen und die Überwachung privilegierter Sitzungen zu schützen. Die Tools schützen auch wirksam technische Konten, über die Prozesse automatisiert werden.

  4. Verwalten des Nutzer-Lebenszyklus 
    Die Identität von Mitarbeitenden, Zulieferern und Partnern verändert sich im Laufe der Zeit. Das Verwalten einer Nutzeridentität ist anspruchsvoll, spannt sich ihr Lebenszyklus doch von der Ersterfassung und Provisionierung über die Veränderung der Rollen und Verantwortlichkeiten bis zur Deprovisionierung und zum Offboarding. Bestehen Lücken in der Verwaltung dieses Lebenszyklus, drohen Sicherheitsrisiken wie unnötige Berechtigungen («privilege creep») oder verwaiste Identitäten, die für Cyberangriffe genutzt werden können.

    blog_complexity_de_4

    Wie man damit umgeht:
    • Integrieren Sie ein IGA-System mit den HR-Systemen, um die automatische Vergabe und Entziehung von Identitäten und Zugriffsrechten zu ermöglichen, wenn Mitarbeitende eintreten, intern die Stelle wechseln oder das Unternehmen verlassen.
    • Automatisieren Sie die Verwaltung des Nutzer-Lebenszyklus mit IGA-Tools, um Effizienz, Konsistenz und Sicherheit zu gewährleisten.
    • Prüfen Sie die Zugriffe regelmässig mittels Tools, die Aufschluss über die Zugriffsrechte von Identitäten geben. So vermeiden Sie unnötige Berechtigungen
  5. Sicherheit und Umgang mit Bedrohungen
    Um sich vor vielfältigen Bedrohungen wie Phishing, Brute-Force-Angriffen und Insider-Risiken zu schützen, sind aktuelle Technologien und stete Wachsamkeit elementar. Als Massnahmen eignen sich phishing-resistente MFA, KI-basierte Anomalieerkennung und kontinuierliche Authentisierung. Diese Sicherheitselemente erhöhen den Schutz, jedoch ebenso die Komplexität bei der Systempflege. Regelmässige Updates, die Analyse der Bedrohungsdaten und der Einbezug neuer Angriffsvektoren erfordern Ressourcen und Fachkenntnis.

    blog_complexity_de_5

    Wie man damit umgeht:

    • Verwenden Sie umfassend eingebundene IAM-Tools für die Einführung von phishing-resistenter MFA, Passkeys oder Hardware Security Keys sowie kontinuierlicher Authentisierung, die sich am Nutzerverhalten orientiert. Die Tools lassen sich auch für die KI-getriebene Erkennung von Bedrohungen einsetzen.
    • Ziehen Sie eine zusätzliche Verteidigungsschicht in Betracht: automatisierte Bedrohungserkennung und -reaktion darauf mittels SIEM- und SOAR-Lösungen. Diese Tools aggregieren und analysieren sämtliche verfügbaren Informationen, womit sie der Komplexität entgegentreten. Denn sie können Bedrohungen analysieren, Reaktionen automatisieren und auf veränderte Angriffsmuster reagieren. Zudem sind sie in der Lage, Angriffe auch dann zu erkennen, wenn der Hacker bereits Zugriff auf ein Netzwerk oder ein Gerät hat.
  6. Skalierbarkeit

    Sicherzustellen, dass IAM-Systeme im Fall von zusätzlichen Nutzenden und Systemen oder höheren Datenvolumen skalierbar sind, sorgt für weitere Komplexität. Deshalb müssen solche Systeme effizient skalieren, d.h. ohne die Performance zu beeinträchtigen. Engpässe bei Authentisierungsanfragen, langsame Synchronisierung zwischen Systemen oder Fehler bei der Echtzeit-Zugriffskontrolle können die Geschäftsaktivitäten behindern und zu Schwachstellen im System führen.

    blog_complexity_de_6

    Wie man damit umgeht:

    • Erwägen Sie die Nutzung Cloud-basierter Identitätsdienste, die automatisch skalieren, um die steigenden Authentisierungs- und Autorisierungsanforderungen zu erfüllen.
    • Führen Sie Komponenten für Load Balancing und Redundancy ein, um die eingehenden Authentisierungsanfragen auf verschiedene Server zu verteilen. Ebenso Massnahmen zur Ausfallsicherung, um Engpässe zu vermeiden.
    • Setzen Sie auf asynchrone Verarbeitung, um die Last zu reduzieren. Trennen Sie dazu den Authentisierungs- vom Provisionierungsprozess, da sich deren Dringlichkeit unterscheidet: Die Authentisierung muss sofort erfolgen, während einige Minuten Wartezeit, bis ein Nutzender erstmals auf eine Applikation zugreifen kann, meist tolerabel sind.

    • Eine IAM-Architektur auf der Basis von Microservices mit modularen Diensten gewährleistet eine nahtlose Skalierbarkeit und Integration mit modernen Applikationen.

  7. Interoperabilität
    Interoperabilität zwischen verschiedenen Identity-Management-Lösungen und -Standards (z.B. SAML, OAuth und OpenID Connect) lässt sich nur mit sorgfältiger Planung und Einführung erreichen. Sind Lösungen und Standards zu wenig aufeinander abgestimmt, führt dies zu Inkonsistenzen bei der Identitätsprüfung und der Zugriffskontrolle. Damit Identitätsdaten über alle integrierten Systeme hinweg ohne Konflikte und Verzögerungen synchronisiert werden, sind überdies solide Identity-Federation- und Synchronisationsprozesse notwendig. Ein Mangel an Interoperabilität führt zu einer Fragmentierung der Identitäten – was sowohl die Sicherheitsrisiken als auch den administrativen Aufwand erhöht.

    blog_complexity_de_7

    Wie man damit umgeht:
    • Nutzen Sie offene Standards. Stellen Sie dazu sicher, dass alle Systeme allgemein anerkannte Protokolle wie SAML, OAuth und OpenID Connect für eine nahtlose Authentifizierung und Autorisierung unterstützen.
    • Führen Sie Identity Federation ein, indem Sie auf einen zentralen IdP zurückgreifen, um die Authentisierung über Plattformen und Applikationen hinweg zu vereinheitlichen.
    • Ermöglichen Sie die Synchronisation von Identitäten in Echtzeit. Installieren Sie dazu Tools für die Synchronisation von Directories, sodass Ihre Nutzeridentitäten in allen angebundenen Systemen stets aktuell sind.

Neben diesen sieben Bereichen gibt es einige weitere Faktoren, die das Verwalten von Identitäten und Zugriffsrechten komplex machen:

blog_complexity_de_8

  • Mangelndes Verständnis der Anforderungen
    Unternehmen sind sich oft nicht im Klaren über ihre Bedürfnisse in puncto Zugriffskontrolle, ihre Ressourcen und wichtigsten Ziele. Dies kann zu einer fehlerhaften Umsetzung führen, bei der die vorhandenen Systeme und Prozesse an den geschäftlichen Anforderungen vorbeizielen oder unnötig komplex und umständlich sind.
  • Regulatorische Vorgaben und deren Einhaltung
    Unternehmen unterstehen immer mehr Gesetzen und Bestimmungen, die digitale Identitäten betreffen, zum Beispiel Datenschutzgesetzen oder Resilienz-Anforderungen. Diese gesetzlichen Vorgaben verändern sich mit der Zeit, weshalb auch Systeme und Prozesse angepasst werden müssen.
  • Trends und neue Technologien

    Trends und neue Technologien wie die staatliche E-ID, Self-Sovereign Identity (SSI) und künstliche Intelligenz haben das Potenzial, die Identitäts- und Zugriffsverwaltung eines Unternehmens zu optimieren oder zu beeinträchtigen. Der stete Wandel erschwert die Implementierung und die Integration der richtigen Tools.

  • Neue Arbeitsrealitäten

    Jedes Gerät, jeder Datentransfer oder Zugriffspunkt in einem Netzwerk kann Ziel eines Angriffs sein. Die Arbeit ausserhalb des Büros und der hybride Zugriff auf Applikationen machen die Kontrolle und den Schutz all dieser Möglichkeiten, auf Daten zuzugreifen, zunehmend komplex.

Um allen diesen zusätzlichen Herausforderungen entgegenzutreten, ist eine klare Strategie für die Identitäts- und Zugriffsverwaltung erforderlich. Sie muss auf die übergeordnete Geschäftsstrategie abgestimmt sein, um aktuelle und künftige Bedürfnisse abzudecken, und laufend auf veränderte Anforderungen und Ziele hin überprüft werden.

Die verborgenen Vorteile einer soliden Lösung für die Identitäts- und Zugriffsverwaltung

blog_complexity_image

Wir haben nun ausführlich beschrieben, wie komplex und herausfordernd das Verwalten von digitalen Identitäten und deren Zugriffsrechten ist. Sind Technologie, organisatorische Massnahmen und Prozesse fein aufeinander abgestimmt, kann eine solide Lösung jedoch Vorteile entfalten, die weit über das reine Funktionieren hinausgehen.

Erhöhte Nutzerproduktivität

Einer der überzeugendsten Vorteile sorgfältig integrierter IAM-Tools und -Prozesse ist die erhöhte Nutzerproduktivität.

IAM- und IGA-Systeme verringern den Zeitaufwand für das Zurücksetzen von Passwörtern, die Genehmigung von Zugriffen und die Einrichtung von Konten. Denn sie optimieren und standardisieren viele dieser Routineaufgaben, sodass sich die Mitarbeitenden auf ihre Kernaufgaben konzentrieren können. Features wie SSO und automatische Provisionierung verbessern die Effizienz ebenfalls firmenweit, indem sie die Anzahl Logins senken, jedoch nach wie vor alle erforderlichen Sicherheitsfunktionen bieten.

Insbesondere MFA und SSO ermöglichen es Personen, die von zuhause aus arbeiten, sich einfacher anzumelden und auf ihre verschiedenen Tools zuzugreifen – d.h. sie müssen sich nicht mehrere Passwörter merken.

Doch nicht nur das Anmelden geht schneller. Sämtliche Aufgaben im Zusammenhang mit digitalen Identitäten – vom Anpassen der Zugriffsrechte bis hin zum On- und Offboarding – lassen sich effizienter ausführen mit eigens dafür entwickelten Tools.

Vom Hindernis zum Wegebereiter

Insbesondere Aspekte von IAM, die Kunden betreffen, werden oft als Hindernis wahrgenommen. Soll ein neuer digitaler Service lanciert werden, wirkt die Integration in das Kunden-IAM-System wie eine Last, mit der man sich abmühen muss und die Zeit kostet, ohne dass ein Nutzen daraus resultiert.

Ist jedoch die Zugriffsverwaltung bereits Teil der Design-Phase des neuen Service und ein gut integriertes Kunden-IAM-System mit vielen Features vorhanden, wandelt sich das Hindernis in einen Wegbereiter: Das Kundenerlebnis lässt sich durch schnelle Registrierung, bequeme Authentisierung sowie die optimale Umsetzung von Sicherheits- und Datenschutzanforderungen massiv verbessern. Auf diese Weise entwickelt sich die passende Kunden-IAM-Lösung zu einem Wettbewerbsvorteil: Sie ermöglicht eine schnellere Markteinführung neuer Dienste, höhere Konversionsraten und – das Wichtigste – glücklichere Kunden.

Kosteneinsparungen dank zentraler Verwaltung

Bei IAM- und IGA-Tools denken Unternehmen sofort an Anfangsinvestitionen und hohe Kosten. Dabei bringen solche Systeme täglich Kostenvorteile. Ein IAM-System kann zum Beispiel zu niedrigeren Kosten für das Verwalten von Netzwerkzugriffen führen, indem es verschiedene Assets bündelt und einen zentralen Zugangspunkt bereitstellt. Es hilft, gewisse Aufgaben wie das Zurücksetzen von Passwörtern effizienter zu gestalten, und ermöglicht eine sichere Automatisierung von Prozessen, die sich sonst schwierig gestalten würde.

Eine zentrale Identitätsverwaltung senkt überdies die IT-Kosten, eliminiert unnötige Konten und hilft, Sicherheitsverletzungen zu verhindern, die katastrophale finanzielle Folgen haben können. Hinzu kommen Zeitersparnis und geringere Revisions- und Compliance-Kosten dank automatisierten Berichten.

Kurz: Ein sorgfältig eingeführtes System zur Verwaltung von Identitäten und Zugriffen hält die Gesamtbetriebskosten (total cost of ownership, TCO) niedrig, was mittelfristig zu Zeit- und Kosteneinsparungen führt.

Wohin geht der Trend?

Digitale Identitäten und deren Zugriffsrechte sind ein zentrales Element bei der Digitalisierung interner und kundenseitiger Prozesse. Das Verwalten dieser Identitäten gestaltet sich je länger, je komplexer. Zugleich werden auch die verfügbaren Tools und Technologien immer besser. Ausgewählte Technologien kombiniert mit gezielten organisatorischen Massnahmen und geeigneten Prozessen ermöglichen es nicht nur, die zunehmende Komplexität zu meistern, sondern auch die Vorteile dieser Entwicklung bestmöglich zu nutzen.

Ich möchte mehr darüber erfahren, wie ich die digitalen Identitäten meines Unternehmens schützen kann

Spezialisten kontaktieren

Publiziert am 30 Apr 2025

Autor

Picture of Axel Schild
Axel Schild

Digital Identity Consultant und Senior IAM Engineer

Placeholder