Zugriffssteuerung (IAM): Definition & Erklärung — Glossar

Was ist Zugriffssteuerung (IAM)?

Zugriffssteuerung (Identity and Access Management, IAM) bezeichnet die Verwaltung von Benutzeridentitäten und deren Zugriffsrechten auf IT-Ressourcen. IAM definiert, wer (Identität) auf was (Ressource) mit welchen Berechtigungen (Zugriffsrechte) zugreifen darf und protokolliert alle Zugriffe für Audits und Sicherheitsanalysen.

Kernkomponenten von IAM

Identity Management: Lebenszyklus von Benutzerkonten (Erstellung bei Einstellung, Anpassung bei Rollenwechsel, Deaktivierung bei Austritt). Authentication: Überprüfung der Identität (Passwort, MFA, SSO). Authorization: Entscheidung über erlaubte Aktionen basierend auf Rollen oder Attributen. Privileged Access Management (PAM): Besondere Kontrolle über Administrator- und Service-Konten. Audit Logging: Vollständige Protokollierung aller Zugriffe für Compliance-Nachweise.

Zugriffsmodelle

Role-Based Access Control (RBAC): Zugriffsrechte werden Rollen zugewiesen, Nutzer erhalten Rollen (z. B. “Buchhalter” hat Zugriff auf Finanzsysteme). Einfach zu verwalten, gut skalierbar. Attribute-Based Access Control (ABAC): Zugriffsrechte basieren auf Attributen von Nutzer, Ressource und Kontext (z. B. Zugriff auf Vertragsdaten nur während Bürozeiten vom Firmennetzwerk). Sehr flexibel, aber komplex. Principle of Least Privilege: Jeder Nutzer und Service erhält nur die minimal notwendigen Rechte.

IAM in der Cloud und im Mittelstand

Active Directory / Entra ID (Microsoft) ist der Standard für Identity Management in Windows-Umgebungen. AWS IAM, Azure RBAC und Google Cloud IAM steuern Zugriffsrechte in Cloud-Umgebungen. SCIM (System for Cross-domain Identity Management) automatisiert Benutzerprovisioning in SaaS-Anwendungen. Für den Mittelstand ist ein zentrales IAM-System mit Single Sign-On nicht nur ein Komfortfeature, sondern grundlegende Sicherheitsinfrastruktur.