Identität bietet die einmalige Chance, ihre Rolle zu stärken und ihre Sicherheitsrelevanz innerhalb des Unternehmens neu zu definieren. Nicht durch ein weiteres Produkt, sondern indem sie sich grundlegend verändert: zu einer Disziplin, die im Zentrum der Unternehmenssicherheit steht. Für IAM-Praktiker ist dies eine Chance, nicht mehr als Backoffice-Funktion wahrgenommen zu werden, sondern die Rolle von Orchestratoren und Frontline-Verteidigern zu übernehmen.
„Für IAM-Praktiker ist dies eine Chance, nicht mehr als Backoffice-Funktion wahrgenommen zu werden, sondern stattdessen in die Rolle von Orchestratoren und Frontverteidigern zu schlüpfen.“
Warum gerade jetzt? Denn die explosionsartige Verbreitung von SaaS, Cloud- und Agentensoftware, KI-Agenten, automatisierten Diensten und digitalen Hochgeschwindigkeitstransaktionen hat den Status Quo völlig in Frage gestellt. Identitäten sind nicht mehr auf Mitarbeiter und wenige beschränkt. Service Accounts, umfassen sie mittlerweile flüchtige Agenten, Skripte, Workloads und Bots, die mit Maschinengeschwindigkeit erscheinen und verschwinden. Diese Verbreitung menschlicher und nicht-menschlicher Identitäten stellt ein neues Ausmaß und eine neue Komplexität dar, die traditionelles IAM nicht kontrollieren kann. Gleichzeitig eröffnet sie die Möglichkeit für einen notwendigen Wandel in der Gestaltung, Handhabung und Sicherung von Identitäten.
Und im Hintergrund hat sich eine Tatsache nicht geändert: Über 80 % der heutigen Angriffe basieren nach wie vor auf Identitätsdiebstahl. Selbst kleinste Organisationen jonglieren mittlerweile mit Dutzenden oder Hunderten von Identitäten, während große Unternehmen mit Zehn- oder Hunderttausenden kämpfen. Die schiere Explosion der Identitäten bedeutet, dass kein Unternehmen sie manuell zurückverfolgen oder kontrollieren kann. Das ist nicht nur ein Risiko, sondern auch die Chance, ein neues Paradigma für die Zugriffssicherung zu entwickeln.
Identität ist nicht mehr nur IT-Infrastruktur oder Compliance-Automatisierung. Sie ist zum wichtigsten Baustein für die Sicherung der Cloud-Infrastruktur, KI-gesteuerter Prozesse und die Zukunft des Unternehmensvertrauens geworden. Die Mitte des Jahrzehnts ist nicht nur ein weiterer Meilenstein in der technologischen Entwicklung. Sie ist der Wendepunkt, an dem Identität zur Grundlage moderner Sicherheit wird.
In diesem Blogbeitrag beschreibe ich kurz die Geschichte von IAM und wie es sich vom IT-Housekeeping über Compliance bis hin zur Sicherheit entwickelt hat. Aus dieser Perspektive schlage ich einen schrittweisen, praktischen Übergang zu Ihrer zukünftigen Rolle vor. Ziel ist es, sowohl eine Perspektive als auch eine klare Meinung zu vermitteln: Es ist an der Zeit, dass Unternehmen IAM nicht als Audit-Tool, sondern als erste Verteidigungslinie für die nächsten fünf Jahre betrachten.
Eine kurze Geschichte des IAM: Vom IT-Betrieb zum Kern der Sicherheit
1960er-1970er Jahre: Die Geburt der Identität in der Computertechnik
Die Wurzeln der digitalen Identität gehen auf das Compatible Time-Sharing System (CTSS) des MIT unter der Leitung von Fernando Corbató zurück. Corbató führte das Konzept der benutzerspezifischen Passwörter ein, die wohl erste gängige Identitätskontrolle, mit der mehrere Personen Computerressourcen sicher gemeinsam nutzen konnten. Es handelte sich um eine mehrstufige Innovation: AD-Authentifizierung, Autorisierung und Verantwortlichkeit, die alle an einzelne Benutzer-IDs gebunden sind. Dies war der Funke, der später die IAM-Disziplin entzündete.
2000er: Anmeldeinformationen, Verschlüsselung und Compliance-Übernahme
Anfang der 2000er Jahre wurden Unternehmen mit Anmeldeinformationen überschwemmt: Benutzernamen, Passwörter, PINs, Smartcards, physische Token und biometrische Experimente. Verschlüsselung verbreitete sich ebenso wie die sichere Speicherung und der Austausch von Anmeldeinformationen. Dies war auch das Jahrzehnt des „Bring Your Own Credentials“ (BYOC), der Zusammenarbeit mit Auftragnehmern, Partnern und föderiertem Zugriff. Gleichzeitig rückten Compliance-Vorgaben wie SOX, HIPAA und PCI IAM in den Fokus. Identität diente weniger der Ermöglichung von Arbeit als vielmehr der Zufriedenheit von Prüfern. IAM wurde zunehmend an seiner Fähigkeit gemessen, Beweise zu erbringen: Zugriffsüberprüfungen, Funktionstrennungsprüfungen und Governance-Workflows. In vielen Organisationen wurde Governance wichtiger als Sicherheit.
2010er Jahre: Schlüssel, Token, Zertifikate und der Aufstieg nicht-menschlicher Identitäten (NHIs)
Das Cloud-Zeitalter brachte eine explosionsartige Verbreitung neuer Anmeldeinformationen mit sich: API-Schlüssel, OAuth-Token, Zertifikate und Service-Konten – Anmeldeinformationen, die für die meisten Sicherheitsteams unsichtbar waren, aber ganze Infrastrukturen steuerten. Dies war die Geburtsstunde des Nichtmenschliche Identität (NHI) als dominante Identitätsklasse, die den Menschen oft um mehr als 40:1 überlegen ist. Gleichzeitig zwang der Zusammenbruch des Netzwerkperimeters die Sicherheitsteams zu der Erklärung: Identität ist der neue Perimeter. MFA, SSO und föderierte Identitäten wurden zu grundlegenden Erwartungen. Dennoch war IAM immer noch reaktiv und verfolgte Bereitstellungszyklen und statische Rollenmodelle, während Angreifer zunehmend diese neuen Maschinenanmeldeinformationen ins Visier nahmen.
„Identität ist der neue Perimeter. MFA, SSO und föderierte Identität wurden zu grundlegenden Erwartungen. Dennoch war IAM immer noch reaktiv.“
2020er Jahre: Menschliche IAM-Prozesse reichen nicht aus
In den 2020er Jahren ist das Pendel wieder zurück in Richtung sicherheitsorientierte Identität ausgeschlagen. Von Menschen gesteuerte IAM-Prozesse – manuelle Genehmigungen, statische Rollen, regelmäßige Überprüfungen – können mit dem Umfang, der Geschwindigkeit und der Komplexität von Cloud- und KI-Ökosystemen nicht Schritt halten. Identitäten umfassen heute KI-Agenten, flüchtige Workloads, Pipelines und automatisierte Entscheidungssysteme. Sicherheit darf Identität nicht als nachträgliche Compliance-Frage behandeln, und Teams können sich nicht auf schwache Identitätsfunktionen verlassen, die an grundlegende Endpunkt- oder Cloud-Lösungen angehängt sind. IAM muss zur zentralen Anlaufstelle werden. Identitätsexperten nutzen heute eine einzige Kontrollebene für ihre gesamte IAM-Infrastruktur, um Entscheidungen, Kontext und Durchsetzung in Echtzeit zu ermöglichen.
Diese Dringlichkeit wird durch tektonische Marktverschiebungen unterstrichen: Palo Alto Networks hat CyberArk übernommen, Microsoft überschüttet Entra mit Sicherheitsfunktionen, die Identity Threat Detection & Response (ITDR) ist explodiert, und das Asset-Management selbst wird zunehmend anhand der Identität und nicht mehr anhand der Hardware oder Netzwerktopologie definiert. Diese Veränderungen bestätigen eine Realität: Identität ist nicht länger eine Kabelverbindung, sie ist das neue Sicherheitsgefüge.
Warum sich Sicherheit zu identitätszentrierter Sicherheit entwickeln muss und warum jetzt die Zeit für IAM-Mitarbeiter gekommen ist, sich weiterzuentwickeln
Die alte IAM-Toolbox mit manuellen Zugriffsgenehmigungen, regelmäßigen Überprüfungen, statischen Rollen und proxybasierter Durchsetzung kann mit der Cloud- und KI-Ära nicht mehr Schritt halten. IAM ist heute das Bindeglied zwischen Systemen, Plattformen und Daten über Grenzen und Organisationen hinweg. Es ist schneller, dynamischer und in manchen Fällen sogar selbsttätig. Identität dient heute sowohl den Guten als auch den Bösen: Dieselben KI-Agenten, die Software entwickeln, können auch als Malware oder bösartige Bots eingesetzt werden.
Damit sind IAM-Experten die letzten Ansprechpartner für die neue Herausforderung digitaler Identitäten. Wir sind in der Lage, Angriffe zu blockieren, auszuschöpfen und abzuwehren, bevor sie Erfolg haben, und gleichzeitig die Governance und die Abläufe zu automatisieren. Wenn sich IAM richtig weiterentwickelt, wird es nicht nur eine zweite Verteidigungslinie sein, sondern die erste Sicherheitslinie selbst.
„Identität dient heute sowohl den Guten als auch den Bösen: Dieselben KI-Agenten, die Software erstellen, können auch als Malware oder bösartige Bots als Waffe eingesetzt werden.“
Neudefinition der Rolle des Identitätsteams
Diese Transformation erfordert eine Neugestaltung der Arbeitsweise von IAM-Teams. IAM-Funktionen beschränken sich nicht mehr nur auf die Bereitstellung von Benutzern oder die Aktivierung von SSO, sondern werden zu menschlichen Koordinatoren und Sicherheitsverantwortlichen. IAM-Teams vernetzen das Unternehmen, ermöglichen Geschäftsprozesse durch Berechtigungen und Anmeldeinformationen und – was noch wichtiger ist – orchestrieren kontextbasierte Zugriffsentscheidungen in großem Maßstab. Sie sind der Partner der Sicherheit, da Identitäten zur zentralen Aufgabe werden.
Stellen Sie sich Ihre IAM-Kontrollen als „kleine Agenten“ vor, die in jedes von Ihnen erteilte Privileg eingebettet sind. Diese Agenten müssen jede Zugriffsentscheidung dynamisch und kontextabhängig just-in-time anpassen. Hier kommt dem IAM-Team eine strategische Rolle zu: Sie müssen diese Agenten als Teil einer Sicherheitsstruktur entwickeln, betreiben und optimieren, die mit dem Unternehmen skaliert.
Wie ich in seinen kommenden Artikeln näher erläutern werde, muss sich IAM zu einer Disziplin der Orchestrierung entwickeln, bei der der IAM-Experte nicht nur den Zugriff ermöglicht, sondern auch ein Verteidiger ist, der sicherstellt, dass jede Verwendung des Zugriffs kontinuierlich ausgewertet, kontextbezogen durchgesetzt und in Echtzeit gesichert wird.
Eine 6-Schritte-Anleitung, um die Identität in den Vordergrund der Sicherheit zu rücken
(0) Machen Sie Ihren Kopf frei und erledigen Sie Ihre Aufgaben: Automatisieren Sie jetzt alles, was Sie können. Automatisieren Sie Zugriffsüberprüfungen, Compliance-Arbeiten, die Anpassung von Berechtigungen und die anfängliche Zugriffsgewährung. Diese Arbeit ist bereits eine Massenaufgabe, Ihr Fokus sollte auf anderen Dingen liegen. Suchen Sie nach Plattformen, die die Automatisierung der Governance integrieren und Ihnen die lästige manuelle Prüfung aus Ihrer täglichen Arbeit nehmen.
(1) Erstellen Sie Ihre Steuerebene: Sorgen Sie dafür, dass alle Ihre Kontrollen zusammenarbeiten. Schluss mit Silos. Fügen Sie eine Ebene der Korrelation und Orchestrierung über alle Benutzer- und Maschinenkonten hinweg hinzu. Jede Stammentität, jeder Benutzer, jede Maschine, jede Software oder jeder Agent sollte über eine klare Zugriffsgeschichte und ein Verhaltensprofil verfügen, das automatisch von der Erstellung an erstellt wird. Ein Echtzeit-Zugriffsdiagramm pro Identität ist nicht länger optional. Suchen Sie nach Technologien, die Identitäten über Hybrid Cloud, DevOps und SaaS hinweg vereinheitlichen und so eine kontinuierliche Zugriffszuordnung und -kontrolle ermöglichen..
(2) Vervollständigen Sie die Kontrollen: Berühren Sie das Unantastbare. Stellen Sie sicher, dass Sie die richtigen Kontrollen für KI, DevOps-Pipelines, IoT, ICS, Cloud-Workloads und neue Agentensysteme haben. Nicht-menschliche Identitäten machen bereits die Mehrheit aus. Schützen Sie sie als Bürger erster Klasse. Setzen Sie Tools ein, die die IAM-Sichtbarkeit über Benutzer hinaus auf Endpunkte, Workloads, APIs und Infrastruktur erweitern.
(3) Machen Sie den Kontext für jede einzelne Transaktionsentscheidung wichtig: Kombinieren Sie (1) und (2), um Kontext, Verhalten, Berechtigungen, Haltung und Risiko zu schaffen, die Ihre Kontrollsysteme unterstützen. Jede Zugriffsanforderung sollte kontextbezogen und nicht nur auf Anmeldeinformationen basieren. Beginnen Sie mit erweiterten statischen Regeln und gehen Sie dann zu risikobasierten oder KI-gestützten Entscheidungen über. Suchen Identity-Security-Lücken das Kontext nativ in seine Entscheidungsmaschinen integriert.
(4) Werden Sie zum Human-in-the-Loop des automatisierten dynamischen Zugriffs: Sobald die Plattform zur Automatisierung alltäglicher Aufgaben eingerichtet ist, verlagert sich Ihre Rolle auf das Treffen schwieriger Entscheidungen, Grenzfälle, Anomalien und echter Entscheidungen zur Zugriffssicherheit, bei denen menschliches Urteilsvermögen unersetzlich ist. Wählen Sie Technologien, die nur bei Ausreißern menschliche Eingriffe auslösen, und schaffen Sie sich so mehr Zeit für strategische Entscheidungen.
(5) Bauen Sie sich Ihren Platz am Tisch der Sicherheitskrise auf: IAM muss bei Sicherheitsverletzungen im Krisengremium sitzen, nicht im Backoffice. Sie sind Entscheidungsträger, können die Realität erkennen und führen, wenn es zu Sicherheitsverletzungen kommt. So wird IAM zu einem echten Sicherheitszentrum. Investieren Sie in Plattformen, die IAM-Signale direkt in die Incident-Response- und SOC-Workflows einspeisen.
Die (nahe) Zukunft steht im Zeichen der Identität: Machen Sie sich jetzt bereit
Wir erleben für IAM-Experten eine äußerst spannende und folgenreiche Zeit. 80 % der Angriffe basieren auf Identitätsproblemen und Cloud und KI verändern die digitale Landschaft. IAM ist daher heute die erste Verteidigungslinie für Unternehmen.
Jetzt müssen Sie sich entscheiden: Werden Sie zu den Erstanwendern gehören, die die Initiative ergreifen und die Art und Weise neu gestalten, wie IAM Ihr Unternehmen sichert, oder werden Sie warten, bis die Veränderung vollständig umgesetzt ist, und sich dann beeilen, sich anzupassen?
Die Zeit von Mitte der 2020er bis 2030 wird als das Jahrzehnt in Erinnerung bleiben, in dem Identitätsexperten endlich ihren rechtmäßigen Platz an vorderster Front einnahmen. Und wenn wir das richtig machen, wird IAM nicht nur unsere Unternehmen schützen, sondern auch die Zukunft des sicheren digitalen Vertrauens prägen.
Wir werden in zukünftigen Blogs und Podcasts verschiedene Artikel und Rezensionen zu jedem dieser sechs Schritte veröffentlichen. Bleiben Sie dran und machen Sie sich bereit, diese neue Ära anzuführen.
Referenzen
– MIT und Fernando Corbató, Ursprung der Passwörter: [MIT News]
– Sonrai Security – Geschichte der Identität
– Übernahme von Palo Alto Networks CyberArk (2024): [SecurityWeek-Berichte]
– Microsoft Entra-Roadmap: Microsoft Security Blog
– Wachstum bei Identity Threat Detection & Response (ITDR): [Gartner – 2023-identity-threat-detection-and-response-gartner]