Ich wurde neulich gefragt, ob Identity Security langweilig ist. In meinem Kopf ratterte es. Ein klares Nein kam mir als erstes in den Sinn: Das Thema hat so viele Facetten, wandelt sich stetig. Wenn es Schwachstellen gibt, wird es sogar richtig aufregend. Doch dann fiel es mir wie Schuppen von den Augen: Identity Security sollte das langweiligste Thema auf der Welt sein. In der Realität ist es davon weit entfernt. Das liegt vor allem am falschen oder fehlenden unternehmerischen Mindset.

Das Wörtchen „langweilig“ hat oftmals einen negativen Beigeschmack. Tatsächlich ist es hier aber durchweg positiv aufzufassen. Denn Identity Security, die langweilig anmutet, funktioniert zuverlässig, unbemerkt und leise. Einerseits sind Identitäten im Hintergrund sauber angelegt und verteilt. Die Identitätsverwaltung gleicht Anmeldeversuche mit der zugrundeliegenden Datenbasis ab und weist entsprechende Rechte zu. Alles ohne Aufreger.

Andererseits glänzt die Zugriffsverwaltung mit sorgenfreien Prozessen. Sie überprüft die Zugriffsberechtigungen je nach Position, Sicherheitsstufe, Projektverantwortung und sonstigen vorher definierten Faktoren. Stimmt die Anfrage mit dem gewährten Ressourcen- und Datenzugriff überein, folgt nach der Authentifizierung der Benutzeridentität die Autorisierung. Ein korrekter und sicherer Ablauf führt Nutzer somit zum Ziel. Klingt langweilig. Und ist es optimalerweise auch in dem Sinne, dass das dahinterliegende Identity and Access Management stabil, beherrschbar und standardisiert abläuft.

Wer für seine Organisation bestätigen kann, dass im Rahmen des Identity Management Credentials ausgestellt, Sessions validiert, Policies durchgesetzt und ansonsten nicht permanent nach Aufmerksamkeit verlangt wird, ist schon auf einem guten Weg hin zum unaufgeregten Identity-Security-Ansatz.

Die Realität zeichnet ein anderes Bild. Wer sich heute mit Identity Security beschäftigt, fängt meist nicht von vorne an. Das heißt: Verantwortliche blicken bereits auf Identity and Access Management (IAM), Customer Identity and Access Management (CIAM) und Privileged Access Management (PAM). Das Problem: Diese klassischen Ansätze haben sich über die Jahre nicht genügend weiterentwickelt.

Das ist nicht nur technisch gesehen bedenklich, da die IT-Infrastruktur ebenfalls nicht stillgestanden ist. Auch die Unternehmensstruktur ist gewachsen. Neben der Digitalisierung im #Neuland sind neue Standorte, Internationalisierung, neue Geschäftsbereiche und hinzugekommene Partner sowie Dienstleister auf die Bildfläche getreten, wurden aber nie auf das Identity-Modell übertragen.

Die Konsequenz: Aktuelle Identitätslandschaften gleichen einer Dauerbaustelle, statt einer verlässlichen Infrastruktur. Langeweile tritt hier nicht auf. Mit dem Unternehmenswachstum steigt nicht nur die Zahl der Nutzer, sondern auch die Zahl an Sonderfällen. Arbeitet eine Organisation in mehreren Ländern, bringt das häufig andere Namenskonventionen, andere Zeichensätze, mehr Dubletten oder Verwechslungsgefahr mit sich. Identitätsmodelle, die also lokal aufgebaut wurden, sind mit neuen Ansätzen nicht kompatibel. Essenziell ist zu begreifen, dass Identity somit nicht linear skaliert. Jeder Wachstumsschritt bringt neue Herausforderungen mit sich.

Die eigentliche Hürde stellt aber meist nicht die Technik dar. Unternehmen haben es viel eher mit einem Ordnungs-, Verwaltungs- und Governance-Problem zu tun. Ungeklärte Zuständigkeiten, fehlende Ownerships, inkonsistente Prozesse oder gewachsene Ausnahmen gilt es, zu bewältigen. 

Dieser scheinbare Schönheitsfehler kann außerdem schnell in einem gefährlichen Angriff münden. Unordnung ist nämlich genau das, was die Angriffsfläche vergrößert. Deshalb sollten Unternehmen auf diese Schwachstellen achten:

• verwaiste Benutzerkonten (orphaned accounts)
• nicht sauber entzogene Rechte beim Offboarding
• kontinuierlich bestehende Partner- und Contractor-Konten
• überpriorisierte Rechte – intern wie extern
• fehlende Ownership
• inkonsistente Rollen

Wo es an Nachvollziehbarkeit mangelt, wird es am deutlichsten: Die Technologie kann nicht für alles den Kopf hinhalten. Am Ende des Tages braucht es ein organisatorisches Umdenken, um Identity Security an gewachsene Strukturen anzupassen – und Sicherheit ganzheitlich zu gewährleisten.

Doch aktuell lässt positive Veränderung noch auf sich warten. Das Gegenteil ist der Fall, da sich die Situation momentan verschlimmert. Noch bevor Unternehmen ihre menschlichen Identitäten von Mitarbeitern, externen Partnern und Dienstleistern in den Griff bekommen konnten, stehen sie vor einer weiteren Herausforderung. Immer mehr autonome Prozesse und deren Services, Microservices, APIs und vor allem neue KI-Agenten fordern ein sauberes und scharf abgrenzendes IAM insbesondere für nicht-menschliche Identitäten, sogenannte NHI – non-human identities. 

Schwierigkeiten bringt dabei nicht allein die Menge an Identitäten mit sich (manche Firmen weisen bereits eine 10:1 Häufigkeit von NHI gegenüber menschlichen IDs auf). Der echte Knackpunkt ist die Heterogenität. Menschliche Identitäten funktionieren anders als technische. Technischen Identitäten wiederum liegen andere Eigenschaften zugrunde wie agentischen Akteuren. Daher wird es immer prekärer, Lifecycle Management, Rechtevergabe, Delegation, Nachvollziehbarkeit und Verantwortungszuordnung gemeinsam zu steuern. Aussicht auf Langeweile haben die meisten IAM- Teams in den Unternehmen daher noch nicht.

Maschinen-Identitäten sind Ihr Thema? Im Blogbeitrag „Maschinen-Identitäten: Die neue Challenge!“ von umbrella.associates finden Sie hierzu mehr Informationen.

Sie kämpfen viel eher mit alten, überholten Strukturen und müssen sich schneller an neue Gegebenheiten anpassen. IAM-Tools auszurollen, führt dabei nur teilweise ans Ziel. Das zeigt die Praxis: Viele Unternehmen missverstehen Identity and Access Management als einfaches Tool-Deployment. Wer näher hinsieht, erkennt aber, dass es um Prozesse, Rollen, Verantwortung, Kommunikation und letztlich auch Veränderungsbereitschaft geht.

Daher sollten Teams jedes IAM-Projekt nicht als reines Technikvorhaben, sondern als Transformationsprojekt begreifen. Es ist eine Chance, Bestehendes zu überwinden und Neues auf eine sichere Basis zu stellen. Besser läuft Identity and Access Management also unter dem Dach des „organisatorischen Change Managements“. Was dafür nötig ist, sind intensive Kommunikation, Offenheit und Teilhabe. Gerade Mitarbeiter müssen rechtzeitig eingebunden werden, um Verständnis zu schaffen, Änderungen bei Gewohnheiten zu erklären und begreifbar zu machen.

Modernes Enterprise Identity Management geht im Kern auf sich verändernde Unternehmensstrukturen ein, schafft Flexibilität über lose Kopplung und sorgt dennoch für lückenlose Sicherheit. Gute Technik ist dafür wichtig, aber nicht allein ausschlaggebend. Governance, Ownership und Prozesse müssen für ein erfolgreiches Projekt stärker in den Fokus rücken. Sind Populationen sauber gepflegt und voneinander getrennt, Verantwortlichkeiten geklärt, Rechte nachvollziehbar vergeben, Prozesse auf dem aktuellen Stand und gleichzeitig jederzeit anpassbar, kann Identity Security schnell langweilig werden – also stabil, verlässlich, kontrolliert, unauffällig. Genau das sollte das Ziel in Unternehmen sein.