:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/63/c0/63c0f896ef959b17a4fc7b81709066d8/0129625089v2.jpeg "Ransomware-Gruppen wählen ihre Ziele überwiegend opportunistisch aus, indem sie häufig kleine Unternehmen mit schwachen Sicherheitsressourcen angreifen und vorhandene Zugriffsrechte ausnutzen, anstatt spezifische Branchen oder Regionen gezielt ins Visier zu nehmen. (Bild: mikkelwilliam via Getty Images)")
:quality(80)/p7i.vogel.de/wcms/4e/af/4eaf075b7fac2661a82b6a720a8685a4/0129940952v1.jpeg "Diskussionsrunde zu Digitaler Souveränität: Dr. Alexander Schellong, Dr Constanze Kurz, Dr. Fabian Mehring, Claudia Plattner, Marc-Julain Siewert und Moderatorin Carmen Hentschel (Bild: Marie Pietruschka/Ftapi)")
:quality(80)/p7i.vogel.de/wcms/1b/4e/1b4ef70fd500ffefec12b62af14cd1b0/0129912949v2.jpeg "Bei erfolgreicher Ausnutzung können Angreifer Speicherfehler in Chrome ausnutzen und dadurch potenziell Daten aus dem Speicher auslesen oder im schlimmsten Fall Schadcode auf dem System ausführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dd/bb/ddbb0955ff0ba8cc3fa5d238d8e494ae/0129916222v2.jpeg "„KI-Agenten werden künftig weniger einzelne Sicherheitsprobleme lösen, sondern vielmehr bestimmte Aktivitäten im Security Operations Center unterstützen – und in manchen Bereichen sogar vollständig übernehme.“, sagt Andreas Gaetje, CISO bei Körber. (Bild: Körber AG)")
:quality(80)/p7i.vogel.de/wcms/bf/96/bf9640a9d61d881a728190dca834aa68/0129773904v2.jpeg "Gartner warnt, dass bis 2028 eine fehlkonfigurierte KI in cyber-physischen Systemen wie Stromnetzen, Industrieanlagen/ICS oder IIoT-Sensorik durch falsche Entscheidungen Blackouts, Produktionsstopps und physische Schäden verursachen und damit Sicherheit und Wirtschaft stark gefährden kann. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108543f2d90eb885b978ddfe9a41e01/0129915774v4.jpeg "KI einsetzen und Daten schützen: Welche Optionen gibt es und wie sicher sind sie? Wir zeigen drei KI-Sicherheitsansätze im Vergleich. (Bild: © paripat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b3/f6/b3f6bbdf0f6bffac6f5a51a2579644f4/0128963385v1.jpeg "Wir sprechen im Podcast mit Jannik Christ über pragmatische Ansätze für die NIS2-Umsetzung im Mittelstand. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/27/2f/272f0bcd671f98318ec55afbe21054cf/0129576418v1.jpeg "Die Forschungsgruppe der TH Köln des DREAM-Projekts (v.l.): Prof. Dr. Hoai Viet Nguyen, Vimal Seetohul, Prof. Dr. Matthias Böhmer und Selim Perk. (Bild: TH Köln, Monika Probst)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/b9/91/b991bd81f0235828d2b7b3f2bd25b322/0129914165v2.jpeg "Open Source ermöglicht durch Transparenz kontinuierliche Community-Überprüfung der Software-Lieferkette. Software Bills of Materials machen alle Komponenten nachvollziehbar. Nur wer seine Supply Chain kennt, kann sie auch schützen. (Bild: © KanawatTH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/04/92/049241d64160979bbcff397d28d51bd2/0129753548v2.jpeg "Cyberkriminelle nutzen die Content-Type-Confusion-Schwachstelle aus, indem sie manipulierte Webhook-Requests mit falschem Content-Type senden und darüber ein gefälschtes „files“-Objekt einschleusen. So können sie lokale Dateien und Secrets auslesen und Schadcode schmuggeln. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/8d/728dab2675f137b5fbc4a34a78fc1229/0129736660v2.jpeg "Forschende der ETH Zürich hätten mit eigenen Servern insgesamt 25 Angriffe auf die Passwortmanager von Bitwarden, Lastpass und Dashlane demonstrieren können, bei denen schon normale Browseraktionen ausgereicht hätten, um Tresore zu kompromittieren Passwörter auszulesen. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/6f/796f58c5fdc82409d32656596b85f091/0129978261v2.jpeg "Das Centro in Oberhausen sowie das Westfield in Hamburg sind auf ähnliche Weisen attackiert worden. (Bild: anaumenko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/e0/f7e04a8bb9ca542c7fe162788b8e59a1/0129964725v1.jpeg "Prepare. Protect. Perform. Die ISX 2026 liefert relevante und praxisnahe Inhalte für Informationssicherheitsbeauftragte, CISOs und Security-Experten. (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/b1/ef/b1effa2ad962e22191fc3b7a4c70cff9/0129922413v2.jpeg "Acht Jahre nach Inkrafttreten der DSGVO bleiben deutliche Lücken zwischen regulatorischem Anspruch und Realität – ist das European Trusted Data Framework die Lösung? (Bild: © DOC RABE Media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
Schritt 2: Definition der Ausgangslage
Die Ausgangslage ist ähnlich dem aktuellen Standort bei einer GPS-Anwendung. Um den Weg zum Ziel zu finden, muss man den Startpunkt kennen. Alle weiteren Schritte bauen auf den ersten beiden auf, da sie ein klares Verständnis der aktuellen Situation schaffen – wie etwa bestehende Funktionen, Prozesse, Anwender und Kosten. Nur mit diesem Verständnis ist es möglich, die Ziele für ein IAM-Projekt zu setzen.
Allzu oft unterschätzen Unternehmen den Umfang eines IAM-Prozesses – entweder im Hinblick auf die Anzahl der betroffenen Mitarbeiter und Systeme oder die Komplexität der versteckten Details in den Sicherheitsanforderungen der Applikationen. Dabei kommt es häufig zu einer Fehleinschätzung, inwiefern ein Projekt die Geschäftsabläufe insgesamt beeinflusst – was unweigerlich bei der Implementierung zu einer Katastrophe führt und zudem die wirtschaftliche Rechtfertigung des Projekts untergräbt.
Um ein vernünftiges Grundverständnis für das Projekt sicherzustellen, ist es wichtig, alle Schlüsselstellen zu identifizieren – vom IT-Team zu den Helpdesk-Mitarbeitern und dem Security-Team bis hin zu den Anwendern in den Fachabteilungen – und zu klären, in welcher Weise sie von den aktuellen Prozessen betroffen sind. Beispielsweise muss berücksichtigt werden:
- Wie viele Anwender müssen unterstützt werden, einschließlich Mitarbeiter, Auftragnehmer, Partner, Berater etc.? Wie hoch ist die Abwanderungsquote?
- Wie lange dauert es im Schnitt, bis ein neuer Anwender angelegt ist?
- Wie lange dauert es für gewöhnlich, bis eine Änderung der Zugriffsrechte genehmigt ist?
- Wie oft müssen im Monat Passwörter zurückgesetzt werden?
- Wie viele Zugriffsberechtigungen werden durchgeführt und wie häufig? Wie effektiv ist das?
- Wie viel Aufwand ist damit verbunden, Richtlinien (etwa die Trennung von Rechten) durchzusetzen?
Sobald die aktuellen Prozesse und beteiligten Rollen im Detail verstanden wurden, können anhand dieser Informationen die grundlegenden Kosten des aktuellen Ansatzes erfasst werden.
Schritt 3: Definition erreichbarer Ziele für das Projekt
Überzeugende Business Cases basieren auf unternehmerischen Zielen und Vorteilen. Während die Auswahl einer spezifischen Technologielösung auch Detailfragen bis hin zur Softwarearchitektur oder andere technische Aspekte berühren kann, werden Entscheidungen mit Blick auf Geschäftsanwendungen zumeist generell anhand eines Lösungstyps, der Kosten oder des unternehmerischen Nutzens getroffen.
Dies sollte vergleichsweise einfach zu lösen sein, da die Dokumentation und Quantifizierung der spezifischen Anforderungen, Prozesse und betroffenen Parteien bereits zum Großteil während der ersten beiden Schritte erledigt wurde. Wesentlich ist, dass die Geschäftsziele messbar sind. Wenn sich beispielsweise ergeben hat, dass ein neues IAM-Projekt in den kommenden fünf Jahren dem Unternehmen z.B. 10 Millionen Euro an Kosten einspart, sollte präzisiert werden, wie sich dies zusammensetzt und wie das Erreichen dieses Ziels über den Zeitraum festgestellt werden kann.
Sollte das nicht messbar sein – da eventuell die dafür nötigen Zahlen fehlen – ist es besser, dieses Ziel nicht aufzuführen. Aus diesen Gründen sollten die Zielsetzungen realistisch sein, was in der Regel bedeutet, klein anzufangen und die Vorteile aufzuzeigen, die sich im Laufe der Zeit ergeben – ein phasenweiser Ansatz, anstatt alles auf einmal umsetzen zu wollen.
Erfolge in der ersten Phase können zur Dokumentation und zum Nachweis der Einschätzungen herangezogen werden, die dem Projekt zu Beginn zugrunde lagen. Damit kann zudem dargelegt werden, dass die geplanten Vorteile tatsächlich realistisch und erreichbar sind. Dies kann helfen, Unterstützung für künftige Phasen zu erhalten – möglicherweise in einem größeren Umfang als anfangs denkbar gewesen wäre.
(ID:42762522)
:quality(80)/p7i.vogel.de/wcms/38/a0/38a01c759669716fb7ac24904230ce1c/0126163357v1.jpeg "Wer das IAM – im Idealfall eine offene Lösung – kontrolliert, behält die Kontrolle über die gesamte IT. Insofern beginnt digitale Souveränität bei der Zugriffs- und Identitätsverwaltung und nicht im Rechenzentrum. (Bild: © spyarm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3b/34/3b3423f1615651dd7d41d728a08b597b/0128025345v1.jpeg "Zero Trust und kurzlebige Tokens reduzieren IAM-Risiken in Cloud-Umgebungen. RBAC und Least Privilege begrenzen Berechtigungen, Föderation setzt auf OAuth2 und OIDC. (Bild: © RAVI - stock.adobe.com)")