IAM ist der Kern moderner Cloud-Architekturen. Sicherheit entsteht durch Zero Trust, kurzlebige Tokens sowie konsequentes RBAC und Least Privilege, während statische Zugangsdaten und überzogene Rechte zentrale Risiken bleiben. Föderation mit OAuth2/OIDC und aufkommende KI-Agenten erhöhen die Anforderungen, Passkeys und Hardware-Keys sichern die Nutzbarkeit.
Zero Trust und kurzlebige Tokens reduzieren IAM-Risiken in Cloud-Umgebungen. RBAC und Least Privilege begrenzen Berechtigungen, Föderation setzt auf OAuth2 und OIDC.
Identity and Access Management (IAM) hat sich zum strategischen Fundament moderner IT-Architekturen entwickelt. Besonders in Cloud-Umgebungen entscheidet es über Kontrolle und Sicherheit. Experten warnen vor typischen Fehlern im Betrieb und zeigen, wie sich Risiken durch durchdachte Konzepte minimieren lassen.
Längst ist Identity and Access Management kein technisches Randthema mehr. Wer heute an IT-Systeme ohne IAM denkt, blickt Jahrzehnte in die Vergangenheit zurück. Das geht bis in eine Zeit, als sich Abteilungen noch einen gemeinsamen PC teilten und Dokumente ohne Anmeldung erstellt wurden. Doch selbst damals existierte eine gewisse Form der Identitätsverwaltung, etwa durch persönliche Disketten. Heute benötigt praktisch jedes System durchdachtes Identity Access Management, vom privaten Streamingdienst bis zur Business-Applikation.
IAM bildet das Fundament moderner IT-Infrastrukturen. In virtualisierten und vernetzten Cloud-Umgebungen fungiert es als zentrales Steuerungselement. Bei Cloud-Anbietern stellt IAM den einzigen Service dar, mit dem alle Kunden direkt oder indirekt interagieren. Diese universelle Bedeutung macht IAM zum Dreh- und Angelpunkt für Kontrolle, Vertrauen und Sicherheit. Viele Cyberangriffe erfolgen über IAM-Schwachstellen, häufig durch Fehlkonfigurationen von Nutzern verursacht. Daher sollten Unternehmen ihr IAM verstehen und optimal in die Abläufe integrieren.
Identity and Access Management ist kein einheitliches System, sondern besteht aus mehreren Schichten. Jede Ebene folgt bestimmten Regeln mit eigenen Herausforderungen. Ganz unten befinden sich Betriebssysteme und Hardware, darüber kommen Anwendungen, dann die Infrastrukturverwaltung und schließlich föderierte Identitäten, die verschiedene Systeme miteinander verbinden.
Cloud-Services machen diese Struktur noch komplexer. Infrastructure-as-a-Service und Platform-as-a-Service schaffen neue Ebenen, die im Hintergrund bereitgestellt werden. Nutzer sehen diese Cloud-Infrastrukturen oft gar nicht, trotzdem müssen sie über IAM abgesichert werden. Das Ziel bleibt immer, Menschen und Maschinen zu identifizieren. Aber die Art, wie das technisch umgesetzt wird, kann sich von Schicht zu Schicht stark unterscheiden.
Viele Unternehmen machen jedoch grundlegende Fehler, denn sie denken beispielsweise, Username und Passwort reichen zur Absicherung der Systeme aus. Zwar nutzen inzwischen mehr Firmen Zwei-Faktor-Verfahren oder Hardware-Keys, aber problematische Passwörter bleiben ein dauerhaftes Thema. Sind die Sicherheitsregeln zu komplex, werden Nutzer kreativ, um sich den Arbeitsalltag zu vereinfachen, und schreiben etwa Passwörter auf Zettel. Ein weiteres Problem sind zu weitreichende Berechtigungen. Wenn ein Account überall Vollzugriff hat, kann das schnell gefährlich werden.
Best Practices für die Umsetzung
Sichere IAM-Systeme verzichten auf feste Zugangsdaten. Stattdessen arbeiten sie mit temporären Zugriffstokens, die nur wenige Stunden gültig sind. Das reduziert das Sicherheitsrisiko erheblich. Am besten werden diese Tokens automatisch auf Basis von Rollen erstellt, die für bestimmte Aufgaben gedacht sind. Die Logik dahinter ist einfach: Was es nicht gibt, kann auch nicht gestohlen werden. Ein weiterer wichtiger Baustein ist die rollenbasierte Zugriffskontrolle (RBAC). Nutzer bekommen nach der Anmeldung erst einmal gar keine Rechte. Jeglicher Zugriff wird erst gewährt, wenn sie in eine Rolle wechseln oder temporäre Berechtigungen erhalten. Als drittes Element kommen verschiedene Authentifizierungsfaktoren hinzu, wie beispielsweise ein Hardware-Key plus PIN.
Zu beachten: Bei IAM-Systemen darf die Benutzerfreundlichkeit nicht zu kurz kommen. Entwickler brauchen zum Beispiel Testumgebungen, die sicher, aber trotzdem flexibel genug sind. Solche Umgebungen sollten keine echten Kundendaten enthalten und den wertvollen Quellcode schützen. Auch die Anmeldung sollte bei IAM-Systemen im Alltag reibungslos klappen. Yubikeys oder Passkeys mit kurzen PINs schaffen hohe Sicherheit, ohne zu stören. Wichtig ist, dass die Lösung zur Unternehmenskultur passt. Eine Lösung für alle gibt es nicht, aber bewährte Ansätze lassen sich anpassen.
Das immer beliebtere Zero-Trust-Modell geht sogar noch einen Schritt weiter. Hier wird niemandem vertraut, auch nicht innerhalb des eigenen Systems. Nur weil jemand im selben Netzwerk ist, darf er noch lange nicht auf alle Anwendungen zugreifen. Jede Aktion wird einzeln anhand von Zertifikaten, Gerätedaten, Zugriffsstandort oder Uhrzeit geprüft und bei positiver Bewertung genehmigt. Zero Trust funktioniert auf allen Ebenen, vom Netzwerk bis zu einzelnen API-Aufrufen. In Cloud-Umgebungen wird jeder Aufruf einzeln signiert und überprüft. Das Ziel ist präzise Kontrolle statt pauschales Vertrauen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Immer häufiger werden in hybriden und Multi-Cloud-Umgebungen sogenannte Föderationsmodelle genutzt. Das bedeutet, dass verschiedene Identitätssysteme einander vertrauen. Heutzutage nutzt fast jede mobile App dieses Vorgehen. Ein Nutzer kann sich mit seinem Google- oder Apple-Konto zum Beispiel bei verschiedenen Apps anmelden. Der Vorteil ist klar: einmal anmelden, überall Zugang. Diese Bequemlichkeit hat allerdings ihren Preis, denn Sicherheit und Schlüsselmanagement werden komplexer. Gerade Tokens, die zu lange gültig sind, lassen sich schwer zurückziehen. Deshalb brauchen föderierte Systeme gut geschützte Signaturschlüssel mit kurzen Laufzeiten.
Auf der technischen Seite haben sich bestimmte Standards durchgesetzt. Für die Absicherung der IT-Infrastruktur nutzen viele Systeme signaturbasierte Verfahren wie SIGv4. Dieses Verfahren sichert jeden einzelnen API-Call ab. Bei Anwendungen sind die Standards OAuth2 und OpenID Connect mit JSON Web Tokens (JWTs) die Regel. Diese Best Practices ermöglichen Föderation, rollenbasierte Kontrolle und zeitlich begrenzte Berechtigungen. Allerdings kann ihre Umsetzung komplex sein und bei schlechter Umsetzung entstehen schnell Sicherheitslücken. Deshalb ist es meist besser, diese Aufgabe erfahrenen Anbietern zu überlassen, statt selbst zu basteln. Das nötige Fachwissen ist so speziell, dass nicht jedes Unternehmen intern eine Lösung liefern kann.
Kontrollierter Zugriff
Die Zukunft von IAM wird durch KI-Agenten geprägt. Digitale Helfer handeln für Menschen und erledigen komplexe Aufgaben selbstständig. Allerdings bringt das auch neue Herausforderungen mit sich. Welche Berechtigungen sind für einen solchen Agenten korrekt? Welchen Zugang sollte er erhalten und wie lange? Und wie lässt sich dafür sorgen, dass er nur das macht, was erlaubt ist? KI-Agenten benötigen ähnliche Rechte wie Mitarbeiter, je nach Aufgabe und nur für begrenzte Zeit. Zudem muss jeder Zugriff nachverfolgbar und widerrufbar sein.
Cloud-Anbieter arbeiten bereits an Lösungen für diese neuen Herausforderungen. Sie bauen Identity and Access Management von Anfang an in ihre Systeme ein, statt es später nachzurüsten. Signaturbasierte Verfahren prüfen jeden einzelnen API-Call. Bewusst gibt es keine zentralen Hauptschlüssel. Bei Anwendungen setzen moderne Systeme auf bewährte Standards wie OAuth2 und OpenID Connect. Jeder Kundenbereich bekommt eigene, geschützte Signaturschlüssel. Diese Trennung macht das System sicherer und verhindert, dass ein Problem an einer Stelle das ganze System eines Cloud-Anbieters lahmlegt. Zusätzliche Tools überwachen Zugriffe, protokollieren alles mit und erkennen Auffälligkeiten.
Identity and Access Management ist ein strategischer Erfolgsfaktor. Unternehmen, die auf bewährte Sicherheitsprinzipien setzen – temporäre Tokens, rollenbasierte Kontrolle und Zero Trust –, reduzieren ihre Angriffsfläche erheblich. Mit der weiteren Entwicklung von KI-Agenten wird IAM zur entscheidenden Disziplin für die digitale Zukunft. Wer sich jetzt vorbereitet und auf eine intelligente IAM-Struktur setzt, sichert sich langfristig Wettbewerbsvorteile.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/b3/f7/b3f75dd711f2385a1e7d528acc79b1c7/0128774540v1.jpeg "Mit der Übernahme von Armis will ServiceNow eine einheitliche Sicherheitsplattform für die gesamte Angriffsfläche schaffen, die die Lücke zwischen dem Erkennen von Schwachstellen und deren Behebung schließt und so Milliarden von vernetzten Geräten autonom schützt. (Bild: © twindesigner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/09/a809c2b47ea5879bc108f0e713988bb5/0129070533v2.jpeg "Das Ziel der EU-Kommission hinter der Änderung des Cybersecurity Acts besteht darin, die Cybersicherheitsresilienz und -kapazitäten zu stärken, um Unternehmen und Institutionen besser gegen wachsende Cyberbedrohungen zu schützen und gleichzeitig die Compliance-Anforderungen zu vereinfachen. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/7f/da/7fda7be1eba4b7af25abe3ac176b62e4/0127615649v2.jpeg "Identity & Access Management bildet das Rückgrat digitaler Souveränität – es schafft Transparenz, Kontrolle und Vertrauen in einer vernetzten IT-Welt. (Bild: © Daniel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/7a/ac7acaaca1932a490c8a3042df77765c/0121170506v2.jpeg "Keycloak ist eine Open-Source-Lösung für Identitäts- und Zugriffsmanagement. Keycloak bietet Funktionen wie Single-Sign-On (SSO), Identity Brokering und Social Login, User Federation und vieles mehr. (Bild: Gefo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/59/b5/59b588114a2e0986f3aebb77d5505821/0125660820v1.jpeg "Erfahren Sie, wie AWS IAM zur Cloud-Sicherheit beiträgt – mit Best Practices für Zugriffskontrolle, RBAC und Schutz vor Fehlkonfigurationen. (Bild: © geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8f/ba/8fba0f61e5f44c2f6c2912d64031c0cc/0127091191v1.jpeg "Identitäten – ob menschlich oder maschinell – stehen im Zentrum moderner Sicherheitsarchitekturen. (Bild: © Harsha – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/05/290568950dc0b51e1f407615d9ea19bd/0126745194v1.jpeg "Sicherheitsteams müssen unzählige Identitäten und Berechtigungen im Auge behalten, die über eine Vielzahl von Cloud-Services verstreut sind – ohne eine durchdachte Strategie für Identity Security ist das nicht mehr zu schaffen. (Bild: © Thares2020 - stock.adobe.com)")