• Start
V-Hub by Vodafone BusinessSecurityCybersecurityIdentity and Access Management (IAM): Definition, Funktionen und Einsatz im Unternehmen
Security

Identity and Access Management (IAM)

Definition, Funktionen und Einsatz im Unternehmen

Jetzt Whitepaper zu Cyber Security herunterladen
Portrait von Clemens Förster Clemens Förster
03.06.2026
11 Min.

    Mitarbeitende, Partnerunternehmen und Kund:innen greifen heutzutage von überall aus auf Daten und Anwendungen zu. Die dafür notwendigen Benutzerkonten sind ein häufiges Ziel von Cyberangriffen – genau hier setzt Identity and Access Management (IAM) an.

    In diesem Artikel erfahren Sie, was IAM bedeutet, wie es sich von verwandten Konzepten unterscheidet und wie Sie es Schritt für Schritt in Ihrem Unternehmen einführen.

    Inhaltsverzeichnis

    Identity and Access Management (IAM): Das Wichtigste in Kürze Was ist Identity and Access Management (IAM)? Definition und GrundlagenWie funktioniert IAM? Kernkomponenten und Architektur Kernfunktionen: Authentifizierung, Autorisierung und Provisionierung

    Identity and Access Management (IAM): Das Wichtigste in Kürze

    • Identity and Access Management (IAM) verwaltet digitale Identitäten und Zugriffsrechte zentral.
    • IAM regelt, wer oder was auf welche Daten und Anwendungen zugreifen kann.
    • Zu den Kernfunktionen gehören Authentifizierung, Autorisierung und Provisionierung.
    • IAM bildet die Basis für Zero-Trust-Architekturen und unterstützt die Einhaltung von Vorgaben aus DSGVO, NIS2 und ISO 27001.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Was ist Identity and Access Management (IAM)? Definition und Grundlagen

    Identity and Access Management (auf Deutsch seltener auch: Identitäts- und Zugriffsverwaltung) bezeichnet alle Prozesse und Technologien, mit denen ein Unternehmen digitale Identitäten und deren Zugriffsrechte verwaltet.
    Eine digitale Identität bündelt alle Merkmale, über die ein IT-System eine Person oder ein Gerät eindeutig zuordnet – etwa Benutzername, Kennung, Rolle und zugewiesene Rechte. Technisch liegt eine solche Identität als Datensatz vor.
    Nicht nur Personen haben digitale Identitäten: Auch Geräte, Anwendungen, Skripte oder KI-Agenten besitzen eigene Identitäten und benötigen geregelte Zugriffe.
    Ein IAM-System beantwortet drei Kernfragen:
    1. Wer oder was greift zu?
    2. Was ist erlaubt?
    3. Wie lange und unter welchen Bedingungen?
    Damit geht IAM weit über eine reine Anmeldeverwaltung hinaus. Es vereint Benutzerkonten, Rollen, Rechte, Passwörter und Protokolle in einer zentralen Plattform. Für Unternehmen ist IAM vor allem aus diesen Gründen relevant:
    • Es senkt das Risiko von Datendiebstahl durch unbefugten Zugriff.
    • Es reduziert den Verwaltungsaufwand für IT-Teams.
    • Es schafft eine prüfbare Grundlage für Audits.
    Empfohlener externer Inhalt
    Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
    Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
    Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
    Datenschutzerklärung

    Wie funktioniert IAM? Kernkomponenten und Architektur

    Eine IAM-Lösung besteht aus mehreren Komponenten, die zusammen den gesamten Lebenszyklus einer Identität abdecken. Auf modernen IAM-Plattformen stehen diese Bausteine als Cloud- oder Hybrid-Dienste bereit.
    Identitätsspeicher (Directory)
    Der Identitätsspeicher hält alle Konten zentral vor. Er enthält Stammdaten wie Name, Abteilung, Rolle und Gruppenzugehörigkeit. Klassische Beispiele sind Microsoft Active Directory im eigenen Rechenzentrum und cloudbasierte Verzeichnisse wie Microsoft Entra ID. Sie können solche Verzeichnisse miteinander koppeln und so eine einheitliche Sicht auf alle Identitäten erhalten.
    Authentifizierungs- und Autorisierungs-Engine
    Diese Komponente prüft Anmeldungen und entscheidet bei jedem Zugriff über Erlaubnis oder Verweigerung. Die Engine unterstützt Log-in-Methoden wie Passwort und Einmalcode, aber auch Passkeys (passwortlose Anmeldungen) wie biometrische Verfahren oder Hardware-Sicherheitsschlüssel (etwa FIDO2). Anhand definierter Richtlinien entscheidet die Engine dann, ob sie einen Zugriff zulässt, zusätzlich prüft oder blockiert.
    Lifecycle-Management
    Das Lifecycle-Management begleitet eine Identität von der ersten Erstellung bis zur Löschung. Sobald die Personalabteilung neue Mitarbeitende anlegt, erstellt das System automatisch passende Konten und Rechte. Bei einem Rollenwechsel passt es Zugriffe an. Verlässt jemand das Unternehmen, entzieht es die Rechte der Person sofort.
    Diese Automatisierung verhindert „verwaiste“ Konten – also Zugänge, die niemandem mehr zugeordnet sind und die ein erhebliches Sicherheitsrisiko darstellen.
    Protokolle für Reporting und Audit
    Eine IAM-Plattform protokolliert jeden Anmelde- und Berechtigungsvorgang. Diese Protokolle helfen Ihnen, Anomalien zu erkennen, Sicherheitsvorfälle zu untersuchen und Prüfberichte für interne wie externe Audits bereitzustellen.
    Jetzt Whitepaper zu Cyber Security herunterladen

    Kernfunktionen: Authentifizierung, Autorisierung und Provisionierung

    Drei Kernfunktionen tragen ein IAM-System. Sie greifen ineinander und bilden die Grundlage jedes Zugriffsprozesses.
    Authentifizierung
    Bei der Authentifizierung müssen Personen, Geräte oder Anwendungen nachweisen, dass sie tatsächlich die angegebene Identität besitzen. Klassisch geschieht das per Benutzername und Passwort.
    Sicherer ist die Zwei-Faktor-Authentifizierung (2FA), bei der zum Passwort ein zweiter Nachweis dazukommt, etwa ein Code aus einer App oder eine Bestätigung per Hardware-Token. Immer mehr Unternehmen setzen außerdem auf passwortlose Verfahren mit Standards wie FIDO2 oder WebAuthn, die Phishing-Angriffe deutlich erschweren.
    Autorisierung
    Sobald die Identität bestätigt ist, prüft das System die Rechte. Zwei Modelle dafür sind verbreitet:
    • Role-Based Access Control (RBAC): Die rollenbasierte Zugriffskontrolle vergibt Rechte über vordefinierte Rollen wie „Buchhaltung“ oder „Marketing“.
    • Attribute-Based Access Control (ABAC): Die attributbasierte Zugriffskontrolle berücksichtigt zusätzlich Kontextinformationen wie Standort, Uhrzeit oder Gerätestatus.
    Theoretisch könnte ABAC eine Rolle als weiteres Attribut behandeln und RBAC damit ersetzen. In der Praxis kombinieren viele Unternehmen aber beide Modelle, weil jedes für sich Schwächen hat.
    Reines RBAC führt zur „Rollenexplosion“: Für jeden Sonderfall braucht es eine eigene Rolle – etwa „Buchhaltung im Büro“ und „Buchhaltung im Homeoffice“. Dadurch wird die Verwaltung irgendwann unübersichtlich. Reines ABAC wird dagegen oft so regellastig, dass sich bei einem Audit kaum noch nachvollziehen lässt, wer warum Zugriff hat.
    Die Kombination beider Systeme verbindet ihre jeweiligen Stärken: RBAC liefert das stabile, gut prüfbare Grundgerüst, ABAC ergänzt die kontextabhängigen Bedingungen. So bleiben Zugriffe fein abgestuft, ohne dass die Rechteverwaltung ausufert.
    Provisionierung und Deprovisionierung
    Provisionierung beschreibt das automatisierte Anlegen von Konten und Berechtigungen. Deprovisionierung umfasst den Entzug von Rechten sowie das Sperren und spätere Löschen nicht mehr benötigter Konten.
    Die Kontenlöschung erfolgt meist nicht sofort. Denn aus Compliance-Gründen sind Unternehmen oft verpflichtet, mit den Konten verknüpfte Daten aufzubewahren. Mitunter benötigen sie die Daten selbst noch für den Geschäftsbetrieb.
    Ein gut konfiguriertes IAM verbindet sich für die (De)provisionierung mit Personalsystemen und Fachanwendungen. So sind Zugriffe genau dann möglich, wenn sie gebraucht werden, und enden wieder, wenn sie nicht mehr nötig sind.

    IAM vs. PAM vs. SSO: Abgrenzung und Zusammenspiel

    Es gibt verschiedene weitere Konzepte für IT-Sicherheit, die eng mit IAM verwandt sind. Sie verfolgen ähnliche Ziele, setzen aber unterschiedliche Schwerpunkte.
    • IAM (Identity and Access Management) verfolgt einen übergreifenden Ansatz für alle Identitäten und Zugriffe im Unternehmen – von Mitarbeitenden bis hin zu Kund:innen.
    • PAM (Privileged Access Management) ist eine spezialisierte Lösung für privilegierte Konten, also Zugänge mit weitreichenden Rechten. Ein Beispiel sind Administrationszugänge auf Servern oder in Datenbanken. PAM überwacht solche Konten besonders streng, dokumentiert jede Sitzung und vergibt Rechte oft nur zeitlich begrenzt.
    • SSO (Single Sign-On) ist ein Verfahren, mit dem sich Nutzer:innen einmal anmelden und dann auf mehrere Anwendungen zugreifen können, ohne sich erneut einzuloggen. SSO ist eine Funktion innerhalb eines IAM-Systems und kein eigenständiges Konzept.
    In der Praxis greifen die drei ineinander: IAM verwaltet alle Identitäten zentral, SSO sorgt für eine bequeme Anmeldung bei verschiedenen Diensten und PAM schützt die besonders kritischen Konten zusätzlich. Größere Unternehmen kombinieren oft alle drei Bausteine, kleinere starten meist mit IAM inklusive SSO und ergänzen PAM später.
    Empfohlener externer Inhalt
    Hier ist ein Video-Inhalt von YouTube. Er ergänzt die Informationen auf dieser Seite.
    Sie können ihn mit einem Klick anzeigen und wieder ausblenden.
    Ich bin einverstanden, dass externe Inhalte angezeigt werden. So können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr in unserer  Datenschutzerklärung.
    Datenschutzerklärung

    IAM und Zero Trust: Identität als neuer Sicherheitsperimeter

    Das Sicherheitsmodell Zero Trust folgt einem einfachen Grundsatz: Niemals vertrauen, immer prüfen. Es ersetzt den klassischen „Burggraben“-Ansatz, bei dem alles innerhalb des Firmennetzes als sicher gilt. Stattdessen wird jeder Zugriff einzeln geprüft – unabhängig davon, ob er aus dem Büro, aus dem Homeoffice oder aus einem Cloud-Dienst kommt.
    Bei Zero Trust rückt die Identität ins Zentrum. Denn da klassische Netzwerkgrenzen verschwimmen, wird das Konto zur entscheidenden Hürde, die Angriffe nehmen müssen.
    IAM liefert die technische Grundlage, um Zero Trust umzusetzen:
    • Jede Anmeldung wird über mehrere Faktoren geprüft.
    • Zugriffsrichtlinien berücksichtigen Kontext wie Standort, Gerät oder Risikoeinstufung.
    • Die Rechtevergabe erfolgt nach dem Prinzip der geringsten notwendigen Berechtigung.
    • Verdächtige Anmeldeversuche lösen automatisch zusätzliche Prüfschritte oder eine Blockade aus.
    Ohne ein leistungsfähiges IAM lässt sich Zero Trust kaum umsetzen. Erst die zentrale Sicht auf alle Identitäten erlaubt konsistente Richtlinien über alle Anwendungen hinweg.

    IAM und Compliance: DSGVO, NIS2, ISO 27001 und weitere Anforderungen

    Viele regulatorische Vorgaben verlangen, dass Unternehmen den Zugriff auf personenbezogene oder geschäftskritische Daten nachvollziehbar steuern. IAM hilft, diese Vorgaben umzusetzen:
    • DSGVO: Die Datenschutz-Grundverordnung verpflichtet Sie, personenbezogene Daten zu schützen und Zugriffe darauf einzuschränken. Mit Rollenmodellen, Protokollen und automatischer Rechteentziehung weisen Sie mithilfe von IAM nach, dass nur befugte Personen Zugriff haben.
    • NIS2: Zugriffskontrolle, Multi-Faktor-Authentifizierung und Identitätsmanagement gehören zu den geforderten technischen und organisatorischen Maßnahmen des NIS2-Umsetzungsgesetzes. IAM deckt diese Punkte ab.
    • ISO 27001: Die internationale Norm für Informationssicherheits-Managementsysteme verlangt eine geregelte Zugriffssteuerung, regelmäßige Überprüfung der Rechte und eine klare Dokumentation. IAM-Plattformen liefern Berichte, die genau diese Anforderungen erfüllen.
    • Branchenspezifische Vorgaben: Viele Branchen haben darüber hinaus eigene Anforderungen an die Zugriffssteuerung. Im Finanzsektor etwa verpflichtet die EU-Verordnung DORA (Digital Operational Resilience Act) Banken und Versicherer zu einer widerstandsfähigen IT – inklusive klar geregelter Zugriffe, die IAM abdeckt. Im Gesundheitswesen schreibt der Patientendatenschutz vor, dass nur befugtes Personal auf sensible Daten zugreifen darf. Auch das steuert ein IAM über Zugriffsrechte und Protokolle.
    Stadtansicht mit Symbolen für Verkehrsmittel

    Cyber Security für Ihr Business

    Mit unseren Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

    • Sichere Kommunikation
    • Für Homeoffice und Büro
    • Globales, sicheres Log-in-Verfahren
    Jetzt informieren

    Cloud-IAM: Identitätsmanagement in hybriden Umgebungen

    Viele Unternehmen betreiben heute hybride Systeme mit eigenem Rechenzentrum, einer oder mehreren Public Clouds und SaaS-Anwendungen. Identitäten müssen über all diese Umgebungen hinweg konsistent gepflegt werden.
    Cloud-IAM-Plattformen wie Microsoft Entra ID, Okta oder Google Cloud Identity bieten dafür zentrale Verzeichnisse, die sich mit lokalen Systemen wie Active Directory koppeln lassen. Anmeldungen, Richtlinien und Berichte laufen dann an einer Stelle zusammen.
    Drei typische Szenarien bestimmen den Unternehmensalltag:
    • Reine Cloud-Umgebungen: Start-ups und digitale Geschäftsmodelle setzen häufig ausschließlich auf SaaS-Dienste. Hier reicht cloudbasiertes IAM oft aus.
    • Hybride Umgebungen: Viele mittelständische Unternehmen und Behörden behalten Teile der IT lokal und ergänzen sie um Cloud-Dienste. IAM muss beide Welten verbinden, damit Mitarbeitende mit einer einzigen Identität überall arbeiten können.
    • Multi-Cloud: Großunternehmen verteilen Workloads bewusst auf mehrere Cloud-Anbieter. Eine einheitliche IAM-Plattform vermeidet Insellösungen und erleichtert das zentrale Auditieren.
    Wichtig ist, neben Konten von Mitarbeitenden, Kund:innen und Geschäftspartner:innen auch sogenannte Maschinenidentitäten einzubeziehen. Das umfasst etwa Service-Accounts, API-Schlüssel und Zertifikate für Anwendungen. Ihre Anzahl übersteigt in vielen Unternehmen inzwischen die von echten Benutzerkonten. Das macht es zur Herausforderung, den Überblick zu behalten.

    IAM-Lösungen im Vergleich: Microsoft Entra ID, Okta, SailPoint und mehr

    Der IAM-Markt ist ausgereift und vielfältig. Welche Lösung zu Ihrem Unternehmen passt, hängt vor allem von der bestehenden IT, der Unternehmensgröße und den Compliance-Anforderungen ab. Drei IAM-Lösungen sind besonders verbreitet:
    • Microsoft Entra ID (früher Azure Active Directory) ist eng mit Microsoft 365 und Azure verzahnt. Unternehmen, die ohnehin auf diese Microsoft-Lösungen setzen, erhalten mit Entra ID ein leistungsfähiges Cloud-IAM mit SSO, MFA und Conditional Access. Die Lizenz ist Teil vieler Microsoft-365-Pakete oder separat in den Stufen P1 und P2 erhältlich.
    • Okta verfolgt einen herstellerneutralen Ansatz und lässt sich in Tausende von SaaS-Anwendungen integrieren. Bei der sicheren Anmeldung, etwa per SSO und MFA, gilt Okta als einer der führenden Anbieter.
    • SailPoint ist auf Identity Governance and Administration (IGA) spezialisiert. Die Plattform automatisiert Rechtevergaben, prüft Berechtigungen regelmäßig und liefert detaillierte Auditdaten. SailPoint eignet sich besonders für große, regulierte Unternehmen mit komplexen Rechtemodellen.
    Eine Frau in roter Bluse sitzt an einem Mac und telefoniert via Headset

    Fertig für Sie eingerichtet und startklar: Microsoft 365 Business mit Vodafone Services

    Produktivität steigern. Sicherheit stärken. Und sich dabei komplett auf Ihr Business konzentrieren? Das geht. Unsere Expert:innen helfen mit Ihren Microsoft 365 Business-Lizenzen. So haben Sie Zeit für Ihr Kerngeschäft.

    Jetzt mehr erfahren
    Daneben spielen weitere Anbieter eine wichtige Rolle. Ping Identity ist stark darin, Anmeldungen über Organisationsgrenzen hinweg zu verbinden. Beispielsweise, wenn sich Mitarbeitende mit ihrem Firmenkonto bei einem Partner-Dienst anmelden sollen. CyberArk ist führend bei privilegierten Zugängen, und Keycloak bietet sich als Open-Source-Alternative an, die Sie selbst betreiben können. Für mittelständische Unternehmen sind Lösungen wie JumpCloud interessant, während entwicklungsnahe Teams häufig auf die Flexibilität von Auth0 (Okta) setzen.
    Welche Plattform die richtige für Ihr Unternehmen ist, lässt sich nur mit einer ehrlichen Bestandsaufnahme klären. Anzahl der Konten, vorhandene Anwendungen, regulatorische Vorgaben und das Budget bestimmen die Auswahl.

    IAM im Unternehmen einführen: Schritt-für-Schritt-Leitfaden

    Eine IAM-Einführung ist mehr als ein technisches Projekt. Sie betrifft Prozesse in HR, IT und Fachabteilungen. Mit einem strukturierten Vorgehen reduzieren Sie Risiken und Aufwand:
    1. Bestandsaufnahme: Erfassen Sie alle Anwendungen, Identitäten und bestehenden Rechte in Ihrer Firma. Wer hat worauf Zugriff und warum? Häufig zeigen sich dabei bereits verwaiste Konten und überzogene Berechtigungen.
    2. Strategie und Rollenmodell: Definieren Sie Rollen, Verantwortlichkeiten und Prinzipien wie „minimale Rechte“ oder „Vieraugenprinzip“ für sensible Aktionen. Klären Sie, welche Rollen Personalabteilung, IT und Fachbereiche bei der Rechtevergabe übernehmen.
    3. Auswahl der Lösung: Vergleichen Sie passende IAM-Plattformen anhand klarer Kriterien wie Cloud-Fähigkeit, Integrationsmöglichkeiten, Compliance-Berichte und Kosten. Beziehen Sie auch Ihre langfristige Strategie ein – etwa eine geplante Cloud-Migration.
    4. Pilotphase: Starten Sie mit einer überschaubaren Gruppe von Konten und wenigen Anwendungen. So sammeln Sie Erfahrungen, ohne den gesamten Betrieb zu beeinträchtigen.
    5. Schrittweiser Roll-out: Erweitern Sie das System bereichsweise. Schalten Sie MFA, SSO und automatisierte Provisionierung nacheinander frei und schulen Sie Ihre Mitarbeitenden.
    6. Betrieb und Optimierung: Überprüfen Sie Berechtigungen regelmäßig, werten Sie Protokolle aus und passen Sie Richtlinien an neue Anforderungen an. IAM bleibt eine Daueraufgabe.

    Unser Fazit: Warum IAM zur Grundlage moderner Cybersicherheit gehört

    Identity and Access Management ist längst kein reines IT-Thema mehr. IAM steuert, wer in Ihrem Unternehmen auf welche Daten und Anwendungen zugreifen kann. Damit ist es eine der wichtigsten Stellschrauben für Datenschutz, Datensicherheit und Compliance.
    Mit klar definierten Identitäten, automatisierten Rechtevergaben und einer zentralen Sicht auf alle Zugriffe schaffen Sie eine wichtige Grundlage. Damit können Sie moderne Sicherheitsmodelle wie Zero Trust nutzen und Anforderungen aus DSGVO, NIS2 oder ISO 27001 nachvollziehbar erfüllen.
    Wer IAM strategisch angeht, profitiert doppelt: Die Angriffsfläche schrumpft, und der Verwaltungsaufwand für IT-Teams wird kleiner. Gleichzeitig gilt: IAM ist ein zentraler, aber nicht der einzige Baustein einer umfassenden Cyber-Sicherheitsstrategie. Welche weiteren Maßnahmen dazugehören, zeigt unser Whitepaper zu Cyber Security – mit konkreten Empfehlungen für Ihr Unternehmen.
    Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

    Whitepaper: Cyber Security

    Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

    • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
    • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
    • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen
    Jetzt kostenlos downloaden

    Identity and Access Management (IAM): Häufig gestellte Fragen (FAQ)

    Portrait von Clemens Förster Clemens Förster
    03.06.2026
      # Tags:CybersecuritySicherheitServiceTipps
      Das könnte Sie auch interessieren:
      Security

      Proxy Firewall für Unternehmen

      Die Proxy Firewall analysiert den Datenverkehr umfassend, identifiziert schädliche Inhalte frühzeitig und stoppt Bedrohungen, noch bevor sie das interne Netzwerk erreichen. Hier erfahren Sie, wie die Technologie arbeitet, weshalb sie herkömmlichen Firewalls überlegen ist.

      Weiterlesen

      Digitalisierungsberatung

      Die Beraterinnen und Berater helfen Ihnen kostenlos und unabhängig bei praktischen Fragen und geben konkrete Tipps. Vereinbaren Sie einen unverbindlichen Termin um Ihr Anliegen zu besprechen.

      Termin vereinbaren