IAM-Begriffe von A bis Z
Access Analytics bezeichnet die Analyse von Zugriffsmustern, Benutzerberechtigungen und Systemaktivitäten, um Sicherheitsrisiken zu erkennen und gezielt zu minimieren. Dabei werden Anomalien aufgedeckt, übermäßige oder veraltete Rechte identifiziert und die Einhaltung von Compliance-Vorgaben unterstützt. Unternehmen nutzen Access Analytics, um mehr Transparenz über Benutzeraktivitäten zu gewinnen und Risiken proaktiv zu steuern.
Eine praxisnahe Lösung mit tiefgreifenden Einblicken bietet der Garancy Access Intelligence Manager.
Dabei handelt es sich um Prozesse, Richtlinien und Technologien, die sicherstellen, dass die Zugriffskontrollen einer Organisation angemessen und und auf die Geschäftsziele abgestimmt sind. Ziel ist es, einerseits zu überwachen, wer auf welche Ressourcen zugreifen darf, und andererseits sicherzustellen, dass Zugriffsrechte kontrolliert, nachvollziehbar und überprüfbar gewährt, überprüft und entzogen werden.
Die Hauptziele von Access Governance sind:
Sicherheit: Schutz sensibler Daten und Systeme vor unautorisiertem Zugriff
Compliance: Einhaltung gesetzlicher, branchenspezifischer und interner Vorschriften
Effizienz: Automatisierung der Benutzerzugriffsverwaltung und -überprüfung, um manuelle Aufwände zu reduzieren
Transparenz: Klare und nachvollziehbare Übersicht über bestehende Berechtigungen sowie deren Änderungen im Zeitverlauf
Access Management ist die operative Umsetzung der durch die Access Governance definierten Richtlinien und Rahmenwerke. Im Mittelpunkt stehen die technischen Prozesse zur Steuerung von Benutzerzugriffen auf Systeme, Anwendungen und Ressourcen, nachdem die Identitäten bereits festgelegt wurden.
Dazu gehören die Authentifizierung von Nutzern, die Autorisierung basierend auf definierten Regeln, das Sitzungsmanagement sowie Echtzeit-Zugriffsentscheidungen auf Grundlage aktueller Richtlinien und Kontextinformationen.
Access Management beantwortet die Frage: „Wer darf wann, worauf und auf welchem Weg zugreifen?“ Es sorgt für sicheren, effizienten und regelkonformen Zugriff gemäß den Governance-Vorgaben.
Adaptive Authentifizierung passt die Authentifizierungsanforderungen dynamisch an Risikofaktoren und das Benutzerverhalten an. Sie erhöht die Sicherheit, indem bei Auffälligkeiten strengere Prüfungen durchgeführt werden. Dies schafft ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit.
Ein Account oder Konto regelt den technischen Zugang zu einer Anwendung, einem System oder einem Netzwerk. Er besteht in der Regel aus einem Benutzernamen und einem Passwort, die vom Anwender zur Anmeldung eingegeben werden müssen.
Ein Account ist nicht mit einem Benutzer (User) gleichzusetzen: Während der Benutzer eine eindeutige Identität im System darstellt, kann ein Benutzer über mehrere Accounts verfügen – etwa um auf verschiedene Systeme zuzugreifen oder unterschiedliche Rollen und Berechtigungen wahrzunehmen. Die Accounts können dabei jeweils unterschiedliche Zugriffsebenen oder Rechte abbilden.
Application Onboarding bezeichnet den Prozess der Integration neuer Anwendungen in die IAM-Umgebung. Dabei werden Zugriffsrichtlinien konfiguriert, Benutzerbereitstellung eingerichtet und Compliance-Vorgaben berücksichtigt. Ein effektives Onboarding gewährleistet eine sichere, einheitliche und effiziente Verwaltung von Zugriffsrechten – und ist somit ein entscheidender Faktor für die Skalierbarkeit und Sicherheit im IAM.
Application Risk Management (Anwendungsrisikomanagement) identifiziert und minimiert Sicherheitsrisiken im Zusammenhang mit Anwendungen. Es umfasst die Bewertung von Schwachstellen, die Prüfung von Compliance-Anforderungen sowie die Kontrolle von Zugriffsrechten. Ein effektives Risikomanagement reduziert die Angriffsfläche und stellt die Einhaltung regulatorischer Vorgaben sicher – und ist damit ein zentraler Bestandteil des IAM.
Abstrakte „Oberfläche“ eines Unternehmens, die von Angreifern attakiert werden kann. Bugs, Schwachstellen und unsichere Richtlinien können die Angriffsfläche vergrößern. Das Ziel einer starken Identitätszugriffsverwaltung ist es, die Angriffsfläche zu begrenzen und das Gesamtrisiko durch Sicherheitsverfahren wie automatische Provisionierung und Deprovisionierung von Benutzern sowie regelmäßige Prüfung von Zugriffrechten zu verringern.
Attestierung ist der formelle Prozess, bei dem eine verantwortliche Person – beispielsweise eine Führungskraft oder ein Datenverantwortlicher – die Zugriffsrechte von Nutzern auf Systeme, Anwendungen oder Daten überprüft und deren Korrektheit bestätigt.
Die Attestierung soll sicherstellen, dass nur autorisierte Personen zu einem bestimmten Zeitpunkt Zugriff auf sensible Ressourcen haben. Dieser Prozess unterstützt Unternehmen dabei, Compliance-Vorgaben einzuhalten und das Risiko unbefugter Zugriffe zu minimieren.
Ein Audit-Log ist ein chronologisches Protokoll von Systemaktivitäten und Zugriffsereignissen. Es ist ein zentrales Instrument für Überwachung, Compliance und forensische Analysen. Audit-Logs helfen dabei, verdächtige Aktivitäten zu erkennen, Vorfälle nachzuvollziehen und Verantwortlichkeiten transparent zu machen.
Die sichere und manipulationssichere Aufbewahrung von Audit-Logs gilt als Best Practice im IAM und ist ein grundlegender Bestandteil von Garancy.
Prozess, bei dem festgestellt wird, ob eine Entität, mit der kommuniziert wird, tatsächlich diejenige ist, die sie vorgibt zu sein. Mit anderen Worten: der Prozess der Feststellung der Identität eines Nutzers.
Prozess, bei dem festgestellt wird, ob ein Benutzer das Recht hat, auf einen Dienst zuzugreifen oder eine Aktion durchzuführen.
Anhäufung von Rechten einzelner Nutzer, z.B. durch Abteilungswechsel oder Änderungen der Position innerhalb des Unternehmens. Manchmal auch „Permission Creep“ oder „Praktikanten-Phänomen“ genannt. Der Mitarbeiter durchläuft verschiedenste Abteilungen innerhalb des Unternehmens und erhält zur Tätigkeitsausübung innerhalb dieser Abteilungen Rechte zugeteilt, die nach Beendigung des Arbeitsauftrages nicht aberkannt und somit angehäuft werden. Dies ist mit erheblichen Risiken im Betriebsalltag verbunden. Da dieses Phänomen besonders häufig bei Auszubildenden auftritt, entstand die Bezeichnung „Azubi-Effekt“.
Eine Abfrage ist eine Anfrage nach Informationen aus einer Datenbank oder einem System. Im IAM werden Abfragen genutzt, um Benutzer-, Zugriffs- oder Auditdaten abzurufen. Effizientes Abfragemanagement unterstützt Reporting und Analysen.
Im Identity Access Management werden Anwendungen als Ressourcen betrachtet, die einen kontrollierten Zugriff erfordern. Das Onboarding und die Integration von Anwendungen sind zentrale Aufgaben im IAM.
Attributbasierte Zugriffskontrolle (ABAC) ist ein Sicherheitsmodell, bei dem der Zugriff auf Basis von Benutzerattributen wie Rolle, Abteilung, Standort oder Gerätetyp gewährt wird. ABAC ermöglicht eine fein granulare und kontextabhängige Zugriffskontrolle und unterstützt Unternehmen dabei, dynamische und richtlinienbasierte Entscheidungen umzusetzen. Es ist ein zentraler Bestandteil moderner IAM-Systeme.
aConnect ist einer der Garancy Konnektoren, der eine flexible, attributbasierte Zugriffskontrolle über verbundene Systeme hinweg ermöglicht.
Business-Objekte (Business Objects) im Kontext von Identity & Access Management sind zentrale strukturelle oder funktionale Entitäten, die innerhalb eines IAM-Systems verwendet werden. Sie beeinflussen die Vergabe von Berechtigungen und können für Automatisierungszwecke eingesetzt werden. Zu den wichtigsten Business-Objekten zählen User, Identitäten, Organisationseinheiten, Applikationen, Rollen, Gruppen und Accounts.
Business Process Model & Notation ist ein grafischer Standard zur Modellierung und Visualisierung von Geschäftsprozessen. Er bietet eine klare und einheitliche Methode zur Gestaltung von Workflows und ermöglicht die systemübergreifende Automatisierung von Prozessen. Im IAM-Kontext wird BPMN häufig eingesetzt, um Genehmigungsabläufe und Bereitstellungsprozesse zu definieren und so die Transparenz und operative Effizienz zu verbessern.
Weitere Informationen finden Sie auf der Seite zum Garancy Process Center.
Eine Berechtigung (im Sinne von „Entitlement“) ist eine spezifische Kombination aus Zugriffsrechten oder Privilegien, die einem Benutzer, einer Gruppe oder einem System innerhalb einer Anwendung oder IT-Umgebung zugewiesen wird. Sie legt fest, auf welche Ressourcen ein Nutzer zugreifen darf und welche Aktionen er ausführen kann.
Eine effektive Verwaltung von Berechtigungen ist entscheidend, um das Prinzip der minimalen Rechtevergabe umzusetzen und sicherzustellen, dass Nutzer nur Zugriff auf das erhalten, was sie für ihre Aufgaben benötigen. Berechtigungen sind ein zentrales Element von Compliance- und Sicherheitsprüfungen.
Berechtigungsmanagement bezeichnet den Prozess der Definition, Zuweisung und Überwachung von Zugriffsrechten innerhalb eines Unternehmens. Es stellt sicher, dass Nutzer ausschließlich über die Berechtigungen verfügen, die sie für ihre Rolle tatsächlich benötigen. Ein wirksames Berechtigungsmanagement reduziert das Risiko von Insider- Bedrohungen, unterstützt die Einhaltung gesetzlicher Vorgaben und ist eine grundlegende Funktion des Identity & Access Managements.
Ein Benutzer bzw. User ist eine eindeutige Identität, die im System registriert ist, um den Zugriff auf Ressourcen, Dienste und Daten zu ermöglichen. Diese Identität wird zur Authentifizierung und Autorisierung verwendet und mit spezifischen Rollen und Berechtigungen verknüpft.
Der Begriff „Benutzer“ umfasst:
Human Users, also reale Personen wie Mitarbeitende, Partner oder externe Nutzer
Non-Human Users, z. B. technische Identitäten, Dienste oder Applikationen, die automatisierte Zugriffe auf Systeme benötigen.
Jeder Benutzer kann über einen oder mehrere Accounts verfügen, mit denen unterschiedliche Zugriffspunkte oder Rechte in verschiedenen Zielsystemen realisiert werden.
Der User Lifecycle umfasst die Phasen, die eine digitale Identität eines Benutzers innerhalb einer Organisation durchläuft. Diese werden üblicherweise in folgende Kategorien eingeteilt:
Joiner (Onboarding)
Mover (Rollen- oder Positionswechsel)
Leaver (Offboarding)
Die effektive Verwaltung des Benutzerlebenszyklus ist entscheidend für die Aufrechterhaltung der Sicherheit, die Gewährleistung der Compliance und die Optimierung der betrieblichen Effizienz. Jede Phase erfordert spezifische Aktionen innerhalb des IAM-Systems, um Benutzeridentitäten und Zugriffsrechte angemessen zu verwalten.
Benutzerkontenzusammenführung vereint mehrere Benutzerkonten zu einer einzigen Identität. Dies beseitigt Duplikate und vereinfacht die Zugriffsverwaltung. Konsolidierung verbessert die Sicherheit und das Nutzererlebnis.
Eine Berechtigung (im Sinne von „Permission“) ist eine Autorisierung, die es einem Benutzer oder System erlaubt, eine bestimmte Aktion an einer Ressource auszuführen, wie zum Beispiel das Lesen, Schreiben, Ändern oder Löschen von Daten. Berechtigungen sind die Grundlage der Zugriffskontrolle und werden in der Regel auf Basis von Rollen, Gruppen oder Richtlinien vergeben.
Die Verwaltung von Berechtigungen stellt sicher, dass Benutzer nur die für ihre Aufgaben erforderlichen Aktionen durchführen können. Eine korrekte Berechtigungsverwaltung ist entscheidend für die Sicherheit und den Schutz vor unbefugten Aktivitäten.
Compliance bezieht sich auf die Fähigkeit des IAM-Systems, eine Organisation bei der Einhaltung relevanter Vorschriften, Standards sowie interner Richtlinien zu unterstützen, die den Datenschutz, die Sicherheit und die Benutzerzugriffsverwaltung regeln.
Im Zusammenhang mit IAM stellt Compliance sicher, dass die Organisation Identitäten und Zugriff auf eine Art und Weise verwaltet, die den rechtlichen, regulatorischen und sicherheitstechnischen Anforderungen entspricht. Vorschriften, Richtlinien und Standards, bei denen IAM-Systeme hinsichtlich der Compliance unterstützen, sind:
DSVGO (auch GDPR)
HIPAA (Health Insurance Portability and Accountability Act)
SOX (Sarbanes-Oxley Act)
NIS2 (Network and Information Security Directive)
DORA (Digital Operational Resilience Act)
GMP (Good Manufacturing Practice)
TISAX (Trusted Information Security Assessment Exchange)
KRITIS (Kritische Infrastrukturen) und weitere.
Im Gegensatz zum IAM (auch als WIAM – Workforce Identity and Access Management bekannt), das auf die Verwaltung interner Identitäten innerhalb einer Organisation abzielt, liegen die Schwerpunkte von CIAM (Customer Identity and Access Management) auf den folgenden Funktionen:
Kundenregistrierung
Social Login und Single Sign-On (SSO), z. B. Anmeldung mit Google, Facebook oder Apple
Consent-Management und Datenschutz, z. B. DSGVO-konforme Datenfreigabe
Adaptive Authentifizierung
Betrugs- und Anomalieerkennung
verwalten und überwachen Berechtigungen in Cloud-Umgebungen. Sie helfen dabei, übermäßige, nicht genutzte oder risikobehaftete Zugriffsrechte zu erkennen und zu vermeiden – ein wichtiger Beitrag zur Absicherung gegen Schwachstellen. CIEM unterstützt die Einhaltung von Compliance-Vorgaben und reduziert das Risiko cloudbasierter Sicherheitsvorfälle. Es ist ein zentraler Baustein für ein sicheres Cloud-IAM.
Dies bezeichnet die Verwaltung kontextbezogener Datenquellen wie Standort, Gerät oder Zeit, die bei Zugriffsentscheidungen berücksichtigt werden. Eine effektive Verwaltung dieser Kontextdaten stärkt adaptive und risikobasierte Authentifizierungsverfahren und unterstützt dynamische Autorisierungsrichtlinien. Eine präzise und sichere Handhabung dieser Daten ist entscheidend für deren Genauigkeit, Integrität und den vertrauenswürdigen Einsatz im Zugriffskontrollsystem.
Credential Stuffing ist eine Form des Cyberangriffs, bei dem gestohlene Kombinationen aus Benutzernamen und Passwörtern verwendet werden, um unbefugten Zugriff auf Benutzerkonten zu erlangen. Angreifer automatisieren Login-Versuche über verschiedene Websites und Dienste hinweg und nutzen dabei wiederverwendete Zugangsdaten aus früheren Datenlecks.
Moderne IAM-Systeme setzen Erkennungs- und Abwehrmechanismen wie Anomalieerkennung, Zugriffsbeschränkungen und Multi-Faktor-Authentifizierung ein, um Credential-Stuffing-Angriffe zu verhindern.
Cybersecurity im Kontext von IAM und IGA konzentriert sich auf den Schutz von Identitäten, Zugangsdaten und Zugriffskontrollen vor Cyberbedrohungen. Dazu gehören zentrale Maßnahmen wie Multi-Faktor-Authentifizierung, Verschlüsselung und kontinuierliche Überwachung. Eine starke sicherheitstechnische Grundlage im IAM reduziert das Risiko von Sicherheitsvorfällen und Datenverlust erheblich – und ist damit ein Schlüsselfaktor für die Resilienz von Unternehmen.
Erfahren Sie mehr in unserem Webinar „Cybersecurity mit IAM als Fundament einer robusten Sicherheitsarchitektur“.
Dezentrale Identität ermöglicht es Nutzern, ihre digitalen Identitäten eigenständig zu verwalten, ohne Abhängigkeit von einer zentralen Instanz. Dabei kommen Blockchain- oder Distributed-Ledger-Technologien zum Einsatz, um Identitäten sicher und manipulationssicher zu verifizieren. Dezentrale Identitätskonzepte stärken Datenschutz, Selbstbestimmung und Datenkontrolle und gelten als zukunftsweisender IAM-Trend.
Der Prozess des Entfernens oder Entziehens von Zugriffsrechten und Berechtigungen auf Systeme, Anwendungen und Daten für einen Benutzer, wenn dieser sie nicht mehr benötigt. Dies geschieht in der Regel, wenn ein Mitarbeiter das Unternehmen verlässt, die Abteilung oder Rolle wechselt oder den Zugriff auf bestimmte Ressourcen nicht mehr benötigt. Dieser Prozess kann manuell adhoc angestoßen werden oder auch geplant und automatisiert stattfinden. Hierbei handelt es sich um eine der Kernfunktionen von Garancy.
Dynamische Autorisierung ermöglicht die Vergabe oder den Entzug von Zugriffsrechten in Echtzeit, basierend auf Kontextfaktoren wie Benutzerverhalten, Gerätetyp, Standort oder Risikobewertung. Sie passt sich flexibel an wechselnde Bedingungen oder Umgebungen an und trifft situationsabhängige Entscheidungen.
Als zentrales Element moderner, adaptiver Sicherheitsmodelle erhöht die dynamische Autorisierung sowohl die Flexibilität als auch die Risikotransparenz im Zugriffsmanagement.
DORA ist eine EU-Verordnung, die darauf abzielt, die operative Widerstandsfähigkeit von Finanzinstituten zu gewährleisten. Im Bereich IAM legt sie den Schwerpunkt auf sichere Zugriffskontrollen, Prozesse zur Reaktion auf Sicherheitsvorfälle und Protokollierung, um kritische Finanzdienstleistungen vor Cyberbedrohungen zu schützen.
IAM-Systeme helfen Unternehmen bei der Einhaltung der DORA-Anforderungen, indem sie Zugriffsbeschränkungen, regelmäßige Überprüfungen der Zugriffsrechte (Rezertifizierungen) und Risikobewertungen durchsetzen.
Data Access Governance (DAG) konzentriert sich auf die Verwaltung und Sicherung von Zugriffsrechten auf unstrukturierte Daten wie Dokumente, Tabellen, Präsentationen und E-Mails, um sensible Informationen zu schützen. DAG ergänzt Dokumentenmanagement-Tools (DMS), Dateiserver und SharePoint-Portale und berücksichtigt dabei die dynamische Natur der gemeinsamen Datennutzung und mindert die Risiken von Datenlecks.
Embedded Identity Management integriert IAM-Funktionen direkt in Anwendungen, Systeme oder Geräte. Dadurch werden Authentifizierungs- und Zugriffskontrollprozesse effizient an der Quelle gesteuert. Dieses Konzept verbessert sowohl die Sicherheit als auch die Benutzererfahrung, da es auf externe Systeme weitgehend verzichten kann.
Eingebettetes IAM gewinnt insbesondere im IoT-Umfeld und in modernen Softwarearchitekturen zunehmend an Bedeutung, wo schlanke und nahtlose Identitätslösungen gefragt sind.
Entra ID, früher bekannt als Active Directory (AD), ist ein von Microsoft entwickelter Verzeichnisdienst, der Organisationen bei der Verwaltung und Administration von Benutzern, Computern und Ressourcen innerhalb eines Netzwerks unterstützt. Er bietet eine zentralisierte Authentifizierung, Autorisierung und Zugriffskontrolle, die es Administratoren ermöglicht, Richtlinien durchzusetzen, Berechtigungen zu vergeben und einen sicheren Zugriff auf Ressourcen in der gesamten IT-Umgebung zu gewährleisten.
Garancy bietet einen Connector für Entra ID an, der kontinuierlich gewartet und aktualisiert wird.
Fraud Reduction & Intelligence (Betrugsprävention und -analyse) zielt darauf ab, betrügerische Aktivitäten innerhalb von IAM-Systemen zu erkennen und zu verhindern. Dabei kommen Methoden wie Verhaltensanalysen und Anomalieerkennung zum Einsatz, um Identitätsdiebstahl und Kontenmissbrauch zu verhindern. Durch die Bereitstellung aussagekräftiger Erkenntnisse in Echtzeit stärkt Fraud Intelligence die gesamte Sicherheitslage des Unternehmens.
Die Funktionstrennung (Segregation of Duties oder auch Separation of Duties, kurz SoD) ist ein Sicherheitsprinzip, das kritische Aufgaben auf mehrere Personen verteilt, um Betrug und Fehler zu verhindern. Im IAM verhindern SoD-Richtlinien, dass Benutzer widersprüchliche Rechte erhalten. SoD unterstützt Compliance und reduziert Insider-Bedrohungen und ist entscheidend für das Risikomanagement.
Fragenbasierte Authentifizierung verwendet vordefinierte Fragen und Antworten zur Überprüfung der Identität eines Nutzers. Sie wird häufig als sekundärer Authentifizierungsfaktor für Passwortwiederherstellung oder zusätzliche Verifikation eingesetzt.
Sicherheitsfragen bieten eine zusätzliche Schutzebene, müssen aber sicher verwaltet werden. Schwache oder leicht erratbare Antworten können Schwachstellen darstellen.
Im IAM ist eine Gruppe eine Sammlung von Benutzerkonten mit ähnlichen Zugriffsanforderungen oder Rollen. Gruppen vereinfachen das Berechtigungsmanagement, da Zugriffsrechte zentral und einheitlich vergeben werden können. Gruppenbasierte Zugriffskontrolle erhöht die Effizienz und sorgt für konsistente Berechtigungen innerhalb der Organisation.
Hierbei handelt es sich um den Rahmen von Regeln, Richtlinien, Prozessen und Praktiken, die festlegen, wie eine Organisation arbeitet und ihre Ziele auf strukturierte und nachvollziehbare Weise erreicht. Es umfasst Entscheidungsfindung, Ressourcenmanagement, Compliance und Risikomanagement, um Transparenz, Effizienz und Übereinstimmung mit den Unternehmenszielen und externen Vorschriften zu gewährleisten.
Identity Access Management (IAM) ist eine wichtige Komponente der Governance, da es Richtlinien und Kontrollmechanismen durchsetzt, um sicherzustellen, dass Benutzer entsprechend ihrer Rollen und Verantwortlichkeiten angemessenen Zugriff auf Ressourcen haben. IAM sorgt zudem für Transparenz, Nachvollziehbarkeit und Compliance und unterstützt Organisationen somit beim Risikomanagement und bei der Einhaltung gesetzlicher Vorschriften.
Ein Help Desk oder auch IT-Service-Desk unterstützt Benutzer bei IAM-bezogenen Anliegen wie Passwortzurücksetzungen, Zugriffsanfragen oder Kontoproblemen. Er ist die erste Anlaufstelle für Identitäts- und Zugriffsfragen. Effiziente Service-Desk-Prozesse steigern die Benutzerzufriedenheit und erhöhen die Sicherheit. In modernen IAM-Umgebungen sind automatisierte Support-Tools weit verbreitet und verbessern die Reaktionsgeschwindigkeit erheblich.
HIPAA ist eine US-amerikanische Verordnung zum Schutz sensibler Gesundheitsdaten. IAM spielt eine entscheidende Rolle bei der Einhaltung des HIPAA, indem es durch rollenbasierte Zugriffskontrolle (RBAC) ein strenges Need-to-know-Prinzip für Gesundheitsdaten durchsetzt. Dies stellt sicher, dass ausschließlich autorisiertes Personal auf Patientendaten zugreifen kann. Ein IAM-System bietet zudem Prüfmöglichkeiten in Form von Audit Trails (Reports).
Eine Identität ist das zentrale digitale Abbild einer natürlichen oder technischen Entität im IAM-System. Sie stellt die einheitliche Referenz für die Verwaltung, Authentifizierung und Autorisierung dar. Eine Identität besteht typischerweise aus attributbasierten Informationen, wie z. B. Name, Abteilung, Funktion und Status, und bildet die Basis für Rollen- und Rechtezuweisungen im gesamten Lebenszyklus – vom Eintritt über Versetzungen bis zum Austritt.
Wichtig: Eine Identität ist nicht zwingend an eine aktive Systemnutzung gebunden, sondern dient primär als verwaltungstechnisches Konstrukt. Aus einer Identität können mehrere Benutzer (User) hervorgehen, beispielsweise für unterschiedliche Systeme oder Rollen – insbesondere bei Non-Human-Szenarien.
Ein Cloud-basiertes Bereitstellungsmodell für Identitäts- und Zugriffsmanagement. IDaaS (Identity as a Service) bietet IAM-Funktionen als abonnementbasierten On-Demand-Service, der von einem Drittanbieter gehostet und verwaltet wird, anstatt lokal von der Organisation implementiert und gewartet zu werden.
Sowohl IAM als auch IDaaS spielen eine zentrale Rolle bei der Absicherung der Unternehmensressourcen durch die Verwaltung von Identitäten und Zugriffsrechten. Die Entscheidung zwischen beiden Modellen hängt von Faktoren wie den spezifischen Anforderungen des Unternehmens, der Einhaltung von Vorschriften, verfügbaren Ressourcen und der strategischen Ausrichtung auf die Cloud ab.
Identity Data Governance stellt die Qualität, den Datenschutz und die Sicherheit identitätsbezogener Daten sicher. Sie definiert klare Richtlinien für den Umgang mit Daten und sorgt für die Einhaltung gesetzlicher Vorgaben. Eine wirksame Governance minimiert das Risiko von Datenverlust und -missbrauch und ist damit eine zentrale Grundlage für Vertrauen in IAM-Systeme.
Identity Governance & Administration ist eine Schlüsselkomponente innerhalb des umfassenderen Bereichs des Identitäts- und Zugangsmanagements. IGA konzentriert sich auf die Verwaltung sowie Steuerung digitaler Identitäten und Zugriffsrechte innerhalb einer Organisation und gewährleistet gleichzeitig die Einhaltung gesetzlicher Vorschriften und Sicherheitsanforderungen.
Die Schwerpunkte von IGA liegen in den Bereichen Compliance, Audits, Automatisierung und Governance.
Zu den Kernfunktionen von IGA gehören Access Reviews, Rollenmanagement und Segregation of Duties (SoD).
Dieser Prozess stellt die Genauigkeit, Vollständigkeit und Konsistenz von Identitätsdaten sicher. Hochwertige Identitätsinformationen sind entscheidend für eine sichere und effiziente IAM-Umgebung. Ein effektives Qualitätsmanagement minimiert Fehler, senkt Compliance-Risiken und gilt als Best Practice im Identity Management.
Identity Lifecycle Management steuert die Erstellung, Änderung und Löschung digitaler Identitäten. Es automatisiert Benutzer-Onboarding, Rollenänderungen und Offboarding. Ein korrektes und effizientes Lifecycle Management, etwa mit dem Garancy User Center, gewährleistet zeitnahen und sicheren Zugriff.
Identity Management – oft auch als Identitäts- und Zugriffsmanagement oder IAM bezeichnet – steht für die Verwaltung und Kontrolle der digitalen Identitäten von Benutzern und Geräten innerhalb einer Organisation. Damit wird sichergestellt, dass die richtigen Personen zur richtigen Zeit und aus den richtigen Gründen Zugriff auf die richtigen Ressourcen haben.
Identitätsföderation ermöglicht Benutzern den Zugriff auf mehrere Systeme mit einem einzigen Satz von Zugangsdaten. Sie erlaubt sichere und nahtlose Authentifizierung über Organisationsgrenzen hinweg. Föderation unterstützt Single Sign-On (SSO) und verbessert das Nutzererlebnis.
Ein Identitätsanbieter oder Identity Provider (kurz IdP) ist ein System oder Dienst für die Verwaltung von Benutzeridentitäten und Bereitstellung von Authentifizierungsinformationen. Der IdP bestätigt, wer ein Benutzer ist, indem er z. B. Anmeldeinformationen wie Benutzername und Passwort oder Zertifikate überprüft. Nach erfolgreicher Authentifizierung stellt der IdP einen Identitätsnachweis aus, der dann an andere Dienste oder Anwendungen weitergegeben wird.
Die Beziehung zwischen einem Identitätsanbieter (IdP) und einem IAM-System ist komplementär, wobei der IdP als Schlüsselkomponente innerhalb des gesamten IAM-Ökosystems fungiert.
IdP innerhalb von IAM: Der IdP ist meist die Kernkomponente eines IAM-Systems und für die Authentifizierung zuständig, während die IAM-Plattform die Zugriffskontrolle, Identitätsverwaltung und Provisionierung verwaltet.
Nahtlose Benutzererfahrung: Der IdP ermöglicht Funktionen wie Single Sign-On (SSO) und föderiertes Identitätsmanagement, sodass IAM-Systeme einen effizienten und sicheren Zugriff über mehrere Anwendungen hinweg bieten können.
Sicherheit und Compliance: Dank robuster Authentifizierungsmechanismen, die vom IdP bereitgestellt werden, sorgen IAM-Systeme für einen sicheren Zugriff und die Einhaltung gesetzlicher Vorschriften.
Kurz gesagt: Der IdP überprüft, wer Sie sind, und das IAM-System bestimmt, was Sie tun können.
IT-Service-Management (ITSM) umfasst die Gestaltung, Bereitstellung und Verwaltung von IT-Diensten und ist damit für einen zuverlässigen IT-Betrieb unverzichtbar. Im IAM unterstützt ITSM Benutzersupport, Incident Management und Serviceanfragen. Die Integration mit IAM erhöht Effizienz und Nutzerzufriedenheit.
Garancy ISEC bietet interne Sicherheitskontrollen und Überwachung für IAM-Umgebungen. Es erkennt und verhindert interne Bedrohungen und Richtlinienverstöße und unterstützt somit Compliance und Risikomanagement.
ITDR erkennt und reagiert auf identitätsbasierte Bedrohungen wie kompromittierte Konten oder Rechteausnutzung. Es nutzt Analysen und Automatisierung zur Erkennung verdächtiger Aktivitäten. ITDR stärkt die Reaktionsfähigkeit auf Sicherheitsvorfälle und ist ein wichtiger Pfeiler moderner IAM-Sicherheitsstrategien.
ISPM bewertet und verbessert den Sicherheitsstatus von Identitätssystemen. Es identifiziert Schwachstellen, Fehlkonfigurationen und Compliance-Lücken. ISPM-Tools geben Empfehlungen zur Behebung, sodass Unternehmen Risiken proaktiv reduzieren können.
Ein Identity Repository ist eine zentrale Datenbank zur Speicherung von Benutzeridentitäten und Attributen. Es unterstützt Authentifizierung, Autorisierung und Auditing. Die sichere Verwaltung des Repositories ist entscheidend für das IAM.
Die Identitätsprüfung bestätigt, dass die von einem Benutzer angegebene Identität echt ist, häufig mithilfe von Dokumenten oder biometrischen Daten. Dies ist ein wichtiger Schritt beim Onboarding und bei Transaktionen mit hohen Sicherheitsanforderungen, um sicherzustellen, dass nur berechtigte Personen Zugriff erhalten. Eine robuste Identitätsprüfung reduziert das Betrugsrisiko erheblich und ist die Grundlage für sichere und vertrauenswürdige digitale Dienste.
Identitätsorchestrierung koordiniert identitätsbezogene Prozesse über Systeme und Anwendungen hinweg. Sie automatisiert Workflows für Bereitstellung, Authentifizierung und Compliance. Orchestrierung steigert Effizienz und verringert manuelle Fehler.
Joiner, Mover, Leaver (JML) sind Bezeichnungen für die gängigen Mitarbeiterprozesse, die üblicherweise von HR-Systemen ausgehen. Für ein IAM-System ergeben sich aus diesen Standard-Geschäftsprozessen Anpassungen an den Berechtigungen von Mitarbeitenden.
IAM-Systeme ermöglichen hier entweder vollautomatisierte oder teilautomatisierte Prozesse mit zusätzlichen Genehmigungsworkflows. Diese Workflows können einfach zur Information über die Änderungen genutzt werden oder auch als Ergänzung dienen, um zusätzliche Berechtigungen zu erteilen oder zu entziehen.
Auch Garancy unterstütz voll- und teilautomatiserte Joiner-, Mover- und Leaver-Prozesse.
Joiner (Neuanstellung): Wenn ein neuer interner oder externer Mitarbeiter ins Unternehmen eintritt, stellt Garancy sicher, dass ihm die entsprechenden Zugriffsrechte entsprechend seiner Rolle gewährt werden.
Mover (Versetzung): Wenn ein Benutzer seine Rolle oder den Verantwortungsbereich wechselt (z. B. infolge eines Abteilungswechsels oder für die Durchführung eines spezifischen Projekts), passt das IAM-System seinen Zugang an die neuen Aufgaben an und stellt sicher, dass er weder zu viel noch zu wenig Zugriffsrechte hat.
Leaver (Austritt): Wenn eine Person das Unternehmen verlässt, stellt das System sicher, dass deren Zugriffsrechte umgehend entzogen werden, um einen unbefugten Zugriff nach dem Ausscheiden zu verhindern.
Ein Video, wie Sie den Mitarbeiterlebenszyklus mit Garancy ganz einfach administrieren können, finden Sie hier.
Just-in-Time-Zugriff gewährt Benutzern temporäre, zeitlich begrenzte Berechtigungen nur bei Bedarf. Dies reduziert dauerhafte Privilegien und verringert Angriffsflächen. JIT-Zugriff wird verwaltet und auditiert, um die Sicherheit zu gewährleisten.
Kontinuierliche Autorisierung bezeichnet die fortlaufende Überprüfung von Zugriffsberechtigungen während einer aktiven Sitzung. Sie stellt sicher, dass der Zugriff auch bei veränderten Kontexten – etwa Standort, Nutzerverhalten oder Risikobewertung – angemessen bleibt.
Dieser dynamische Ansatz schützt vor Rechteausweitung, Session-Hijacking und unbefugten Aktionen. Kontinuierliche Autorisierung ist ein zentrales Element moderner, echtzeitfähiger Sicherheitsarchitekturen.
Komponente innerhalb einer IAM-Software, um mit den Zielsystemen zu interagieren. Konnektoren sind essenziell für die Provisionierung, Deprovisionierung und das Management der verschiedenen Ressourcen.
Funktionalitäten eines Konnektors:
Integration externer Systeme: Ein Konnektor fungiert als Brücke zwischen dem IAM-System und externen Anwendungen wie z. B. SaaS-Anwendungen, Datenbanken und On-Premise-Systemen. Er ermöglicht es dem IAM-System, mit diesen Systemen zu kommunizieren und Identitäten darin zu verwalten.
Benutzerbereitstellung und Deprovisionierung: Wird ein User über das IAM-System hinzugefügt, geändert oder entfernt, übernimmt der Konnektor die automatische Erstellung, Aktualisierung oder Löschung des Benutzerkontos im angeschlossenen System. Dies können u. a. E-Mail-Systeme, Datenverwaltungstools, Prozesssoftware oder Cloud-Dienste sein.
Synchronisierung der Identitätsdaten: Ein Konnektor ermöglicht die Synchronisierung von Benutzerattributen (z.B. Benutzernamen, Rollen und Berechtigungen) zwischen dem IAM-System und anderen Identitäts-Repositories wie Active Directory (AD) oder LDAP. Dies gewährleistet die Datenkonsistenz.
Authentifizierung und Autorisierung: In einigen Fällen werden Konnektoren verwendet, um die Authentifizierung und Autorisierung an externe Identity Provider zu delegieren, um z. B. Single Sign-On (SSO) zu erleichtern oder einen Verbund zwischen verschiedenen Systemen zu ermöglichen.
Zugriffskontrolle und Durchsetzung von Richtlinien: Konnektoren ermöglichen dem IAM-System die Durchsetzung von Zugriffskontrollrichtlinien durch die Verwaltung der Berechtigungen in angebundenen Systemen. Dadurch wird sichergestellt, dass User auf der Grundlage der in Garancy definierten Rollen und Richtlinien die richtige Zugriffsebene haben.
Hier finden Sie eine Übersicht der in Garancy verfügbaren Konnektoren.
KRITIS steht für Kritische Infrastrukturen in Deutschland. Darunter fallen essenzielle Bereiche wie Energieversorgung, Wasserwirtschaft und das Gesundheitswesen. Sie sind gesetzlich besonders geschützt und unterliegen strengen Sicherheits- und Compliance-Anforderungen.
IAM-Lösungen für KRITIS tragen entscheidend zur Abwehr von Cyberbedrohungen bei und gewährleisten die Einhaltung regulatorischer Vorgaben sowie die Widerstandsfähigkeit dieser Systeme.
Das Prinzip der geringsten Privilegien (Principle of Least Privilege oder kurz PoLP) ist für IAM unverzichtbar, da es den Benutzer- und Systemzugriff auf das beschränkt, was für die Arbeitsaufgaben unbedingt erforderlich ist. Dies erhöht die Sicherheit durch Minimierung der Angriffsfläche, verhindert den Missbrauch von Privilegien und stellt sicher, dass Unternehmen die Vorschriften zur Zugriffskontrolle und zum Datenschutz einhalten. Das Prinzip der geringsten Berechtigungen ist eine zentrale Komponente von Garancy, die strikte Zugriffskontrollen ermöglicht und kritische Systeme sowie sensible Daten schützt.
Minimierung des Zugriffs: PoLP stellt sicher, dass Benutzer oder Systeme mit der niedrigstmöglichen Zugriffsstufe oder Berechtigung ausgestattet sind, um ihre Aufgaben zu erfüllen. Wenn ein Benutzer zum Beispiel nur Lesezugriff auf eine Datenbank benötigt, sollte er keine Schreib- oder Verwaltungsrechte erhalten.
Erhöhte Sicherheit: Durch die Einschränkung der Zugriffsrechte verringert PoLP das Risiko unbefugter Aktivitäten, versehentlicher Fehler oder böswilliger Aktionen. Wenn das Konto eines Benutzers kompromittiert wird, hat der Angreifer nur begrenzten Zugriff, was den potenziellen Schaden mindert.
Benutzerrollen und Berechtigungen: In IAM wird PoLP durch Mechanismen wie die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) durchgesetzt. Jedem Benutzer wird eine oder mehrere Rollen mit Berechtigungen zugewiesen, die seinen Aufgaben entsprechen. Diese Rollen sind so konzipiert, dass sie nur die geringsten erforderlichen Berechtigungen gewähren.
Verhinderung der Rechteanhäufung: PoLP verhindert eine unnötige Anhäufung von Rechten. Benutzer oder Anwendungen erhalten keine weitreichenden Zugriffsrechte, die zu einem Missbrauch von Privilegien oder einer Ausnutzung von Privilegien führen könnten, wie z. B. unbefugter Zugriff auf sensible Daten oder kritische Systeme.
Regelmäßige Überprüfung: Garancy erzwingt und überwacht PoLP, indem es die Berechtigungen der Benutzer permanent überprüfen und vorallem regelmäßige Zugriffsüberprüfungen einfordert um zu verhindern, dass Benutzer im Laufe der Zeit unnötige Berechtigungen anhäufen.
Governance: PoLP ist von entscheidender Bedeutung für die Einhaltung gesetzlicher Vorschriften (GDPR, HIPAA und viele Weitere), da es sicherstellt, dass sensible Daten ausschließlich für autorisierte Benutzer zugänglich sind, was die Wahrscheinlichkeit von Datenschutzverletzungen verringert und zur Einhaltung von Governance-Anforderungen beiträgt.
Lift & Shift ist eine Cloud-Migrationsstrategie, bei der bestehende Anwendungen oder Workloads ohne größere Änderungen direkt in eine Cloud-Umgebung verschoben werden. Dieser Prozess wird oft auch als „Rehosting“ bezeichnet.
Dabei bleibt die Architektur der Anwendung weitgehend unverändert – sie wird lediglich von einer On-Premise-Umgebung (lokales Rechenzentrum) in die Cloud transferiert.
Der Soll-Ist-Abgleich im IAM bzw. „Live Balancing“ in Garancy bezeichnet den Prozess des Vergleichs und der Angleichung von Identitäts- und Zugriffsdaten zwischen verschiedenen Systemen, wie IAM-Plattformen und Zielanwendungen. Er stellt sicher, dass die tatsächlichen Berechtigungen in den Zielsystemen mit den im IAM-System definierten Zugriffsrechten übereinstimmen.
Der Abgleich hilft, unautorisierte Änderungen zu erkennen, Abweichungen zu beheben und die Compliance zu wahren. Der regelmäßige Abgleich ist für eine genaue und sichere Zugriffsverwaltung unerlässlich.
Die Mitarbeiterrezertifizierung ist der regelmäßige Prozess zur Überprüfung und Bestätigung der einem Mitarbeiter zugewiesenen Zugriffsrechte und Rollen. Ziel ist es, sicherzustellen, dass nur jene Berechtigungen erhalten bleiben, die für die aktuelle Tätigkeit wirklich erforderlich sind und so das Risiko unbefugter Zugriffe zu minimieren.
In der Praxis übernehmen Führungskräfte oder Systemverantwortliche die Aufgabe, Berechtigungen entsprechend von Rollenwechseln oder Statusänderungen zu bestätigen oder zu entziehen. Eine regelmäßige Rezertifizierung ist entscheidend für die Einhaltung von Compliance-Vorgaben, die IT-Sicherheit und ein effektives Zugriffsmanagement.
Lösungen wie das Garancy Recertification Center unterstützen Unternehmen dabei, diesen Prozess effizient zu automatisieren und revisionssicher zu gestalten.
Die Multi-Faktor-Authentifizierung (MFA) ist eine Sicherheitsmethode, die von Benutzern verlangt, zwei oder mehr Nachweise zur Identitätsbestätigung zu erbringen, bevor sie Zugriff auf Ressourcen (z.B. Anwendungen, Online-Konten oder VPNs) erhalten. Im Gegensatz zu herkömmlichen Verfahren, die lediglich Benutzernamen und Passwort abfragen, fordert die MFA zusätzliche Verifizierungsfaktoren an, was die Sicherheit erhöht und das Risiko von Cyberangriffen verringert.
Manuelle Provisionierung ist der Prozess, bei dem Benutzerkonten, Berechtigungen oder IT-Ressourcen ohne Automatisierung erstellt, konfiguriert und verwaltet werden. Dabei führt ein IT-Administrator oder eine andere verantwortliche Person alle notwendigen Schritte manuell aus.
Dieser Prozess wird häufig verwendet für Systeme, die keine Möglichkeit zur Anbindung bieten, oder für Legacy-Applikationen, auf die nur noch wenige Benutzer Zugriff haben. Da die Umsetzung manuell erfolgt, ist sie fehleranfällig und birgt Sicherheitsrisiken.
Garancy optimiert die manuelle Provisionierung, indem es Aufträge für die Verantwortlichen erzeugt. Diese können über unterschiedliche Wege, z. B. per Mail oder Workflow, abgearbeitet werden.
Garancy bietet Übersichten zu allen manuellen Aufträgen und reduziert damit die Fehleranfälligkeit. Gleichzeitig dokumentiert das IAM-Tool den gesamten Prozess und sorgt dafür, dass das IAM-System als zentrale Informationsquelle („Single Point of Truth“) stets auf dem neuesten Stand ist.
MaRisk ist ein deutsches Regelwerk, das von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) herausgegeben wird. Es beinhaltet Mindestanforderungen für Risikomanagementpraktiken, die Finanzinstitute und Banken in Deutschland befolgen müssen, um eine solide und wirksame interne Governance zu gewährleisten.
Die meisten Schlüsselaspekte der MaRisk werden durch ein IAM-System wie Garancy abgedeckt.
Risikomanagement-Rahmenwerk: MaRisk verlangt von den Instituten die Einrichtung eines umfassenden Risikomanagementsystems zur Identifizierung, Bewertung, Überwachung und Minderung von Risiken. Es deckt verschiedene Risikoarten ab, darunter Kredit-, Markt-, Betriebs- und Liquiditätsrisiken. Ein IAM-System mit Stärken im SoD-Bereich unterstützt in diesem Fall die Durchsetzung des Rahmenwerks.
Interne Steuerung: MaRisk sorgt für eine angemessene Organisationsstruktur, klare Verantwortlichkeiten und effektive Kommunikationskanäle. Dies unterstreicht die Bedeutung einer risikobewussten Unternehmenskultur und starker interner Kontrollsysteme.
Dokumentation und Berichterstattung: Es werden zudem Anforderungen an eine transparente Dokumentation der Risikomanagementprozesse gestellt. Die Institute müssen der Geschäftsleitung und den Aufsichtsbehörden regelmäßig über Risiken und Kontrollen berichten. Detailliert steuerbare Reporting-Funktionen innerhalb des IAM-Systems machen das Unternehmen auskunftsfähig.
IT-Risiko und Sicherheit: MaRisk enthält Leitlinien für das Management von IT-bezogenen Risiken, die Gewährleistung der Cybersicherheit und die Anpassung an die aufsichtsrechtlichen Anforderungen für Technologie und Betrieb. Ein durch das IAM-System vorgegebenes Need-to-Know-Prinzip steigert die IT-Sicherheit erheblich.
Einhaltung der Vorschriften und Audits: MaRisk verlangt regelmäßige interne und externe Audits, um die Einhaltung der vorgegebenen Standards zu überprüfen. Damit wird sichergestellt, dass Unternehmen ihre rechtlichen und regulatorischen Verpflichtungen erfüllen. Mit einer IAM-Lösung wie Garancy sind Organisationen zu jedem Zeitpunkt auskunftsfähig über den aktuellen Stand der Berechtigungen innerhalb des Unternehmens.
Monitoring im IAM umfasst die kontinuierliche Beobachtung von Systemen und Benutzeraktivitäten, um Anomalien, Richtlinienverstöße und Sicherheitsbedrohungen zu erkennen. Eine effektive Überwachung unterstützt Incident Response und Compliance.
Das Need-to-Know-Prinzip und IAM sind eng miteinander verbundene Konzepte, die sicherstellen, dass sensible Informationen und Ressourcen nur denjenigen zugänglich sind, die sie wirklich benötigen, um ihre Tätigkeiten auszuführen.
Grundlegend handelt es sich um ein Sicherheitskonzept, das vorschreibt, dass Personen nur Zugang zu den Daten, Systemen, Ressourcen oder Informationen haben sollen, die sie zur Erfüllung ihrer Aufgaben benötigen. Dies minimiert das Risiko unbefugter Zugriffe, der Bedrohung durch Insider und der versehentlichen Offenlegung vertraulicher Informationen.
Die 2016 verabschiedete und seit Mai 2018 in Kraft getretene EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS) schafft einen einheitlichen Rechtsrahmen für die Stärkung der Cybersicherheit Kritischer Infrastrukturen (KRITIS), z. B. Energie-, Verkehrs- und Gesundheitswesen, sowie bestimmter Anbieter digitaler Dienste. Für IAM bedeutet die Einhaltung der NIS1-Richtlinie die Sicherung von Benutzeridentitäten, die Verhinderung des unbefugten Zugriffs auf kritische Systeme und die Gewährleistung der Rückverfolgbarkeit durch Prüfpfade.
Die im November 2022 verabschiedete NIS2-Richtlinie ist eine Erweiterung der ersten NIS-Richtlinie, die von den Mitgliedstaaten bis Oktober 2024 in nationales Recht umgesetzt werden muss. Sie deckt mehr Sektoren ab und führt strengere Anforderungen für das Management von Cybersicherheitsrisiken ein. Im Bereich IAM konzentriert sie sich auf fortschrittliche Identitätsmanagementpraktiken wie Zero Trust, Privileged Access Management (PAM) und Kontrollmechanismen, um sich gegen hochentwickelte Cyberbedrohungen zu schützen.
Die Nutzerverhaltensanalyse (User Behavior Analytics, kurz UBA) analysiert Benutzeraktivitäten, um Anomalien und potenzielle Bedrohungen zu erkennen. Sie nutzt maschinelles Lernen zur Identifikation ungewöhnlicher Muster und riskanter Verhaltensweisen. UBA verbessert die Bedrohungserkennung und das Risikomanagement und wird zunehmend im IAM eingesetzt.
Bezieht sich auf Software, Hardware oder IT-Infrastruktur, die nicht in einer Cloud-Umgebung, sondern lokal in den eigenen Einrichtungen einer Organisation gehostet und verwaltet wird. Diese Konfiguration gibt dem Unternehmen die vollständige Kontrolle über seine Systeme, Daten und Sicherheit, erfordert aber Ressourcen für Wartung und Support.
Die Verwaltung privilegierter Konten (Privileged Account Management oder auch PAM) ist ein Teilbereich von IAM, der sich speziell auf die Sicherheit und Verwaltung privilegierter Konten konzentriert. Dabei handelt es sich um Konten mit erhöhten Berechtigungen, die auf kritische Systeme, sensible Daten oder Verwaltungsfunktionen zugreifen können. Dazu zählen Systemadministratoren, Netzwerktechniker oder Datenbankadministratoren.
Während Identitäts- und Zugriffsmanagement (IAM) die allgemeine Verwaltung von Benutzeridentitäten und Zugriffsrechten für ein ganzes Unternehmen regelt, konzentriert sich PAM speziell auf einen Teilbereich: die Sicherung privilegierter Konten, die über höhere Berechtigungen verfügen und eine strengere Kontrolle erfordern.
Zusammen bilden IAM und PAM einen umfassenden Rahmen für die Sicherung von Identitäten, die Zugriffsverwaltung und den Schutz wichtiger Ressourcen. Durch die Integration von IAM und PAM können Unternehmen sicherstellen, dass alle Benutzer über die richtigen Zugriffsrechte verfügen, während privilegierte Konten zusätzlich geschützt werden, um mögliche Verstöße oder Missbrauch zu verhindern.
Passwortlose Authentifizierung ermöglicht den Zugriff auf Systeme ohne herkömmliche Passwörter, z. B. durch Biometrie oder Tokens. Sie verbessert die Sicherheit und Benutzerfreundlichkeit, indem Passwortrisiken eliminiert werden. Passwortlose Lösungen werden im IAM immer beliebter.
Provisionierung bezeichnet die Erstellung und Zuweisung von Benutzerkonten und Zugriffsrechten in IT-Systemen. Sie vereinfacht das Onboarding, Rollenwechsel und Aktualisierungen von Berechtigungen, sodass Nutzer zum richtigen Zeitpunkt die passenden Zugriffe erhalten. Eine effiziente Provisionierung steigert sowohl die Sicherheit als auch die Produktivität und ist ein zentraler Bestandteil jeder IAM-Strategie.
Das Gefühl von Frustration, Stress oder geistiger Erschöpfung, das durch die überwältigende Anzahl von Passwörtern verursacht wird, die sich Benutzer für verschiedene Dienste merken und verwalten müssen. Passwortmüdigkeit kann dazu führen, dass Benutzer auf unsichere Praktiken zurückgreifen, wie z. B. die Wiederverwendung von Passwörtern oder die Verwendung leicht zu erratender Passwörter, was wiederum ein Sicherheitsrisiko darstellen kann.
Password Reset ist eine klassische Funktion von IAM-Systemen, die es einem User ermöglicht, alle Passwörter seiner Accounts über das IAM-System zu verwalten. Mit Hilfe von Self-Service-Funktionen lassen sich zum Beispiel Passwörter ohne das Hinzuziehen des Helpdesks zurücksetzen.
Zu den Standardfunktionen gehört auch das sogenannte Offline Password Reset. Hat der Benutzer sein Windows-Passwort vergessen und kann sich nicht anmelden, bietet Garancy die Möglichkeit, das Windows-Passwort via Sicherheitsfragen zurückzusetzen.
Projektberechtigungen sind Zugriffsrechte, die speziell für ein bestimmtes Projekt oder Vorhaben vergeben werden. Sie ermöglichen Projektmitgliedern die Durchführung notwendiger Aufgaben und beschränken den Zugriff für andere. Die Verwaltung von Projektberechtigungen sichert Projekte ab.
Privilegierte Berechtigungsverwaltung umfasst die Sicherung, Speicherung und Überwachung von Zugangsdaten für Konten mit erhöhten Rechten, wie Administratoren. Dazu gehören Passwort-Tresore, regelmäßige Rotation und Zugriffsaudits. Eine korrekte Verwaltung reduziert das Risiko von Diebstahl und Insider-Bedrohungen und ist ein zentraler Aspekt der IAM-Sicherheit.
Public Key Infrastructure (PKI) ist ein Rahmenwerk zur Verwaltung digitaler Zertifikate und öffentlicher Schlüssel. Es ermöglicht sichere Authentifizierung, Datenintegrität und Vertraulichkeit. PKI wird im IAM zur Absicherung von Kommunikation und Identitäten eingesetzt.
Bei der Rezertifizierung, auch als Zugriffsüberprüfung oder Zugriffsrezertifizierung bezeichnet, handelt es sich um die regelmäßige Überprüfung, ob die bestehenden Zugriffsrechte der Benutzer für ihre aktuellen Rollen und Aufgaben noch geeignet sind. Dies schreiben in der Regel interne Richtlinien, Industriestandards oder gesetzliche Vorschriften vor, um sicherzustellen, dass alle Benutzer über die richtige Zugriffsstufe verfügen und nicht autorisierte oder unnötige Zugriffsrechte entzogen werden.
Die Häufigkeit dieser Rezertifizierungen kann in Garancy bei der Ersellung der Rezertifizierungskampagne festgelegt werden. Grundlage hierfür sind unter anderem regulatorische Anforderungen, die sich an der Kritikalität der jeweiligen Berechtigungen orientieren. Je sensibler oder sicherheitsrelevanter ein Zugriff bewertet wird, desto häufiger sollte auch eine Überprüfung erfolgen.
In Garancy wird die Rezertifzierung in zwei Bereiche unterteilt:
Mitarbeiter-Rezertifizierung, um die Berechtigungen der Mitarbeitenden zu prüfen
Rollen-Rezertifizierung, die die Rollenstammdaten und die Rolleninhalte, also die enthaltenen Berechtigungen, überprüft
Durch diese Aufteilung wird die Rezertifizierung an die jeweiligen Rezertifizierer angepasst und die Abarbeitung der Rezertifizierung erleichert.
Im IAM-Kontext sind Ressourcen die digitalen Assets, Systeme, Anwendungen, Daten, Dienste oder andere Komponenten innerhalb der IT-Umgebung eines Unternehmens, auf die Benutzer zugreifen müssen, um ihre Aufgaben zu erfüllen.
In Garancy sind Ressourcen eine Berechtigung (Entitlement) der granularsten Ebene. Die Entitlement-Hierrachie baut sich folgendermaßen auf: Rolle – Gruppe – Ressource.
Eine Rolle ist eines der grundlegenden Konzepte, das eine oder mehrere Berechtigungen und Zugriffsrechte darstellt, die Benutzern oder Einheiten innerhalb eines Systems zugewiesen werden können. Rollen werden verwendet, um die Verwaltung der Zugriffskontrolle zu vereinfachen und zu zentralisieren, indem eine Sammlung von Berechtigungen gruppiert wird, die in der Regel für die Ausführung einer bestimmten Arbeitsfunktion oder Aktivität erforderlich sind.
Die Verwendung von Rollen ist ein Kernprinzip der rollenbasierten Zugriffskontrolle (RBAC), einem weit verbreiteten Ansatz in IAM-Systemen. RBAC stellt sicher, dass der Zugriff auf der Grundlage von Rollen gewährt wird, die entsprechend den Arbeitsfunktionen definiert sind. Auf diese Weise wird das Prinzip der geringsten Privilegien durchgesetzt: Die Benutzer erhalten ausschließlich die Zugriffsrechte, die sie für die Ausführung ihrer Aufgaben tatsächlich benötigen.
Die rollenbasierte Zugriffskontrolle bzw. Role-Based Access Control (RBAC) ist eine Methode zur Regelung des Zugangs zu Computer- oder Netzressourcen auf der Grundlage der Rollen einzelner Benutzer innerhalb einer Organisation. Bei Garancy spielt RBAC eine entscheidende Rolle, da es eine systematische Möglichkeit zur Verwaltung und Zuweisung von Berechtigungen an Benutzer bietet und so die Sicherheit und betriebliche Effizienz erhöht.
Im Gegensatz zum User Lifecycle, der sich mit dem Benutzer und seinen Rechten befasst, bezieht sich der Role Lifecycle auf die Verwaltung von Rollen und die zugewiesenen Rechte, die diese enthalten.
Ein zentrales Element ist das Rollenmodell, das die logische Grundlage für eine strukturierte Rechtevergabe bildet. Hierbei unterscheidet man typischerweise zwischen Applikationsrollen, die sich auf technische Berechtigungen in einzelnen Systemen beziehen, und Businessrollen, die als übergeordnete Bündelung mehrerer Applikationsrollen fungieren und meist auf Basis organisatorischer Funktionen definiert werden. Die daraus entstehende Rollenhierarchie ermöglicht eine transparente, wiederverwendbare und auditierbare Struktur von Zugriffsrechten.
Die Stadien des Rollenlebenszyklus:
Erstellung: Garancy unterstützt bei der Definition und Erstellung von Rollen auf der Grundlage von Organisationsstrukturen, Stellenfunktionen und Zugriffsanforderungen.
Modifikation: Wenn sich die geschäftlichen Anforderungen ändern, unterstützt Garancy Rollenaktualisierungen, Anpassungen oder das Hinzufügen neuer Berechtigungen.
Überprüfung und Zertifizierung: Regelmäßige Rollenaudits stellen sicher, dass die Rollen weiterhin mit den Unternehmensrichtlinien und den gesetzlichen Anforderungen übereinstimmen.
Entzug: Eine Rolle wird automatisch stillgelegt, wenn sie nicht mehr benötigt wird. Dies verhindert die Anhäufung von übermäßigen oder veralteten Berechtigungen.
Ein Architekturstil, der standardmäßige HTTP-Methoden (z. B. GET, POST) verwendet und leichtgewichtige Datenformate wie JSON unterstützt. Er ist wegen seiner Einfachheit, Skalierbarkeit und Flexibilität weit verbreitet, insbesondere in modernen Web- und Mobilanwendungen.
Rollenrezertifizierung ist die regelmäßige Überprüfung und Bestätigung von Benutzerrollen und zugehörigen Zugriffsrechten. Sie stellt sicher, dass Rollen angemessen und konform bleiben. Rezertifizierung – etwa mit dem Garancy Recerticiation Center – hilft, unnötige Privilegien zu erkennen und zu entfernen.
Reporting in Garancy umfasst die Erstellung von Berichten über Benutzeraktivitäten, Zugriffsrechte und Compliance-Status. Diese Berichte unterstützen Audits, Monitoring und Management-Entscheidungen. Automatisiertes Reporting erhöht die Transparenz und Nachvollziehbarkeit und ist unerlässlich für die Einhaltung gesetzlicher Vorgaben.
RACF (Resource Access Control Facility) ist eine IBM-Sicherheitslösung zur Steuerung des Zugriffs auf Mainframe-Ressourcen. Sie verwaltet Benutzer, Gruppen und Berechtigungen und unterstützt Compliance sowie Auditing. RACF wird häufig in Unternehmensumgebungen zur Mainframe-Sicherheit eingesetzt und ist ein zentraler Bestandteil des IAM.
Rechteerweiterung oder Privilege Elevation ist die temporäre Vergabe erweiterter Zugriffsrechte an einen Benutzer. Sie wird für Aufgaben mit administrativem Zugriff benötigt. Strenge Kontrolle und Überwachung sind notwendig, um Missbrauch zu verhindern.
Single Sign-On (SSO) ist eine Authentifizierungsmethode, die es Benutzern ermöglicht, mit einem einzigen Satz von Anmeldedaten (z. B. Benutzername und Passwort) auf mehrere Anwendungen, Systeme oder Dienste zuzugreifen. Durch die Zentralisierung der Authentifizierung vereinfacht SSO die Benutzererfahrung und reduziert die Notwendigkeit, sich mehrere Passwörter zu merken, während die Sicherheit durch die zentrale Kontrolle des Benutzerzugriffs verbessert wird.
SSO wird häufig mit der Multi-Faktor-Authentifizierung (MFA) kombiniert, um die Sicherheit zu erhöhen. Während SSO die sog. Passwortmüdigkeit (Password Fatigue) minimiert, da nur ein Satz von Anmeldeinformationen erforderlich ist, bietet MFA eine zusätzliche Schutzebene, da mehrere Formen der Verifizierung erforderlich sind, z. B. ein Einmalpasswort (OTP) oder ein Hardware-Token.
Diese Kombination stellt sicher, dass selbst wenn SSO-Anmeldeinformationen kompromittiert werden, der unbefugte Zugriff durch den zweiten Authentifizierungsfaktor abgeschwächt wird. Zusammen bieten SSO und MFA sowohl Komfort als auch starke Sicherheit.
Die Sperrung und Entsperrung von Benutzerkonten sind grundlegende Funktionen eines IAM-Systems.
Sperrung: Ein Benutzerkonto wird deaktiviert, um den Zugriff auf Systeme und Daten temporär zu unterbinden, ohne das Konto zu löschen. Dies erfolgt typischerweise bei befristeten Abwesenheiten (z. B. Urlaub, Elternzeit oder Sabbatical), Untersuchungen oder der Nichteinhaltung von Richtlinien. Das IAM-System stellt sicher, dass der gesperrte Nutzer nicht mehr auf Systeme oder Daten zugreifen kann, behält aber die Konfiguration und die im Falle eines Audits wichtigen Aufzeichnungen des Kontos bei.
Entsperrung: Nach Prüfung und Freigabe kann das Konto wieder aktiviert werden, wodurch der Benutzer erneut Zugriff auf die zugewiesenen Ressourcen erhält. IAM-Systeme stellen sicher, dass dieser Prozess nachvollziehbar, kontrolliert und revisionssicher erfolgt.
Notfallsperrung: Dies ist eine Eskalationsstufe über der regulären Sperrung. Sie stellt sicher, dass betreffende Accounts sofort alle Zugriffsrechte verlieren. Auch hier bleiben alle im Auditfall nötigen sowie historischen Daten zum Benutzer erhalten.
Die Software Bill of Materials (SBOM) ist eine detaillierte, hierarchische Liste aller Komponenten, Abhängigkeiten und Bibliotheken (einschließlich Open-Source-, Drittanbieter- und proprietärem Code), aus denen eine Softwareanwendung besteht. Sie dient als umfassende Bestandsaufnahme, die Transparenz in die Software-Lieferkette bringt.
Hauptzwecke einer SBOM
Transparenz: Identifiziert alle Softwarekomponenten, um zu verstehen, was in einer Anwendung enthalten ist.
Sicherheit: Hilft Unternehmen bei der Erkennung und Behebung von Schwachstellen und gewährleistet die Einhaltung von Sicherheitsstandards wie CVE-Datenbanken (Common Vulnerabilities and Exposures).
Einhaltung von Vorschriften: Gewährleistet die Einhaltung von Lizenzanforderungen für Open-Source- oder Drittanbieter-Komponenten.
Risikomanagement: Unterstützt die Überwachung und Verwaltung der mit der Software-Lieferkette verbundenen Risiken.
Bedeutung der SBOMs in der modernen IT
SBOMs gewinnen zunehmend an Bedeutung, insbesondere angesichts der wachsenden Bedrohung durch Angriffe auf Lieferketten und der Einführung gesetzlicher Vorgaben wie dem Cyber Resilience Act (CRA).
Ein Protokoll mit strengen Standards für die Nachrichtenstruktur, das nur XML unterstützt. Es wird häufig in Unternehmensumgebungen verwendet, die hohe Sicherheit, Zuverlässigkeit und erweiterte Funktionen wie Transaktionen erfordern.
Statische Zugriffskontrolle weist Benutzern oder Rollen feste Berechtigungen zu, unabhängig vom Kontext. Sie ist einfach umzusetzen, jedoch wenig flexibel. Statische Modelle eignen sich für stabile Umgebungen mit vorhersehbaren Anforderungen. Moderne IAM-Systeme setzen zunehmend auf dynamische Zugriffskontrolle.
SOAR-Plattformen automatisieren und koordinieren Sicherheitsoperationen wie Incident Response und Bedrohungsabwehr. Sie integrieren sich mit IAM für identitätsbasierte Reaktionen. SOAR erhöht Effizienz und verkürzt Reaktionszeiten und ist unerlässlich für moderne Sicherheits-Teams.
SIEM-Systeme sammeln, analysieren und korrelieren Sicherheitsereignisse aus der gesamten IT-Umgebung. Sie ermöglichen Echtzeit-Erkennung von Bedrohungen, Incident Response und Compliance-Reporting. Die Integration von SIEM und IAM verbessert Transparenz und Sicherheit. SIEM ist ein Grundpfeiler moderner Sicherheitsoperationen.
Session Management steuert den Lebenszyklus von Benutzersitzungen, einschließlich Erstellung, Verwaltung und Beendigung. Es hilft, Session-Hijacking und unbefugten Zugriff zu verhindern. Korrektes Session Management ist entscheidend für Sicherheit und Compliance und eine zentrale IAM-Funktion.
Self-Service im IAM ermöglicht es Benutzern, eigene Zugriffsanfragen, Passwortzurücksetzungen und Profilaktualisierungen durchzuführen. Dies verbessert das Nutzererlebnis und entlastet den IT-Support. Self-Service-Portale sind in modernen IAM-Lösungen wie Garancy weit verbreitet und fördern Effizienz sowie Nutzerautonomie.
Secure Service Edge (SSE) vereint Netzwerksicherheitsfunktionen als Cloud-Service, darunter sichere Web-Gateways, Cloud Access Security Broker und Zero Trust Network Access. SSE schützt Benutzer und Daten standortunabhängig. Es wird zunehmend mit IAM integriert, um ganzheitliche Sicherheit zu gewährleisten und sicheren Zugriff auf Cloud- und lokale Ressourcen zu ermöglichen.
Secrets Management ist die sichere Speicherung, Verteilung und Verwaltung sensibler Informationen wie Passwörter, API-Schlüssel und Zertifikate. Es verringert das Risiko unbefugten Zugriffs und von Datenlecks. Automatisierte Tools übernehmen Rotation und Zugriffskontrollen. Effektives Secrets Management ist entscheidend für die IAM-Sicherheit.
SCIM (System for Cross-domain Identity Management) ist ein offener Standard zur Automatisierung des Austauschs von Benutzeridentitätsdaten. Er vereinfacht die Bereitstellung und Entfernung von Benutzern in Cloud- und On-Premise-Systemen. SCIM verbessert die Interoperabilität und Effizienz.
TISAX ist ein branchenspezifischer Zertifizierungsstandard für Informationssicherheit in der Automobilindustrie. Er dient dazu, die Einhaltung definierter Sicherheitsanforderungen innerhalb der Lieferkette sicherzustellen. Eine TISAX-Zertifizierung ist oft Voraussetzung für die Zusammenarbeit mit Partnern und wird insbesondere von OEMs und Zulieferern regelmäßig eingefordert.
Bezieht sich auf den Prozess der Bestätigung der Identität eines Benutzers, Geräts oder einer Anwendung, oft als Teil der Authentifizierung. Dadurch wird sichergestellt, dass die Entität, die den Zugriff anfordert, legitim und berechtigt ist, mit dem System oder der Ressource zu interagieren. Zu den Überprüfungsmethoden gehören Passwörter, Multi-Faktor-Authentifizierung (MFA) oder biometrische Verfahren.
Ein Sicherheits- und Governance-Konzept, das vorschreibt, dass bestimmte Aktionen, Entscheidungen oder Transaktionen von mindestens zwei autorisierten Personen genehmigt oder sogar ausgeführt werden müssen. Dieser Ansatz ist darauf ausgelegt, die Aufsicht zu verbessern, Fehler zu reduzieren, Betrug zu verhindern und die Einhaltung von Vorschriften zu gewährleisten, indem eine zusätzliche Ebene der Überprüfung und Rechenschaftspflicht hinzugefügt wird.
Im IAM-Kontext spielt das Vier-Augen-Prinzip eine entscheidende Rolle bei der Kontrolle und Überwachung des Zugriffs auf sensible Systeme und Daten. Es stellt sicher, dass risikoreiche Vorgänge, die Benutzeridentitäten und Zugriffsrechte betreffen, einer doppelten Kontrolle unterliegen, wodurch die Sicherheit erhöht und die Wahrscheinlichkeit unbefugter Aktivitäten verringert wird. Das Vier-Augen-Prinzip ist eine grundlegende Komponente bei der Stärkung der Sicherheit und Governance von Identitäts- und Zugriffsmanagementsystemen. Indem Unternehmen für kritische Aktionen eine doppelte Genehmigung verlangen, können sie:
die Sicherheit erhöhen, indem sie das Risiko unbefugter oder böswilliger Aktivitäten verringern,
Compliance gewährleisten durch die Einhaltung der gesetzlichen Anforderungen an Aufsicht und Rechenschaftspflicht sowie
die Transparenz fördern durch eine Kultur der Verantwortung und der Sorgfaltspflicht.
Mit der Umsetzung des Vier-Augen-Prinzips in IAM-Prozessen können Unternehmen ihre Vermögenswerte sichern, sensible Informationen schützen und das Vertrauen der Stakeholder wahren, indem sie sicherstellen, dass der Zugriff auf kritische Ressourcen angemessen kontrolliert und überwacht wird.
Ein IAM-Tool spielt eine entscheidende Rolle bei der Identifizierung und Verwaltung verwaister Accounts. Dabei handelt es sich um Benutzerkonten, die aktiv sind, aber nicht mehr mit einem gültigen Benutzer verbunden sind, beispielsweise nachdem ein Mitarbeiter das Unternehmen verlassen hat.
Garancy hilft bei der Erkennung und Eindämmung dieser Konten durch die Automatisierung von Deprovisionierungsprozessen, die Durchsetzung rollenbasierter Zugriffskontrollen und die Bereitstellung von Audit-Funktionen, um sicherzustellen, dass alle Konten mit legitimen, aktiven Identitäten verknüpft sind. Dies reduziert Sicherheitsrisiken und verbessert die Compliance. Sobald eine Person aus dem Unternehmen austritt, werden alle zugehörigen Konten deaktiviert.
Workflow-Management automatisiert und koordiniert Geschäftsprozesse wie Zugriffsanfragen und Genehmigungen. Es stellt effiziente und regelkonforme Abläufe sicher. Workflow-Tools erhöhen Transparenz und Nachvollziehbarkeit.
XDR (Extended Detection and Response) ist eine Sicherheitslösung, die Daten aus verschiedenen Quellen zur Bedrohungserkennung und -reaktion integriert. Sie bietet einen einheitlichen Überblick über Sicherheitsvorfälle an Endpunkten, im Netzwerk und bei Identitäten. XDR verbessert Genauigkeit und Geschwindigkeit der Reaktion und wird zunehmend mit IAM integriert.
Dabei handelt es sich um ein von Yubico entwickeltes Hardware-Authentifizierungsgerät, das Multi-Faktor-Authentifizierung (MFA) unterstützt. Es wird häufig in IAM-Systemen verwendet, um die Sicherheit zu erhöhen, indem es ein physisches Token für Einmalpasswörter (OTPs), PKI-Zugangsdaten oder FIDO2/WebAuthn-Authentifizierung bereitstellt.
Im Kontext von IAM bezeichnet Zugriff die Fähigkeit eines Benutzers, Geräts oder einer Anwendung, mit bestimmten Systemen, Anwendungen oder Daten zu interagieren. Der Zugriff wird durch Berechtigungen und Richtlinien gesteuert, die festlegen, wer welche Aktionen – wie Anzeigen, Erstellen, Ändern oder Löschen von Ressourcen – ausführen darf.
Die Verwaltung des Zugriffs erfolgt durch Authentifizierung (Identitätsprüfung) und Autorisierung (Vergabe von Berechtigungen). Ein korrektes Zugriffsmanagement ist unerlässlich für die Sicherheit und Compliance in jeder Organisation.
Zertifizierung im IAM-Kontext bezeichnet die offizielle Bestätigung, dass Zugriffsrechte, Prozesse oder Systeme festgelegten Standards, Richtlinien oder Compliance-Anforderungen entsprechen. Sie dient als dokumentierter Nachweis dafür, dass Zugriffskontrollen gemäß organisatorischer oder regulatorischer Vorgaben erfolgen. Die Zertifizierung kann das Ergebnis eines Audits oder einer Attestierung sein.
Zero Trust ist ein Sicherheitsmodell, das auf dem Grundsatz „Never trust, always verify“ basiert. Dabei wird davon ausgegangen, dass Bedrohungen von allen Seiten kommen können, also sowohl aus dem Inneren als auch von außerhalb des eigenen Netzwerks. Daher muss jede Zugriffsanfrage authentifiziert, autorisiert und fortlaufend validiert werden, bevor der Zugriff auf Ressourcen gewährt wird. Identity und Access Management ist für die Umsetzung der Zero-Trust-Prinzipien von entscheidender Bedeutung, da das IAM-System den Zugriff auf Ressourcen verwaltet und kontrolliert.
Zielsysteme sind Systeme oder Anwendungen, die durch das Identity Access Management gesteuert werden können. Bei voll integrierten Zielsystemen findet eine bidirektionale Kommunikation zwischen dem System und Garancy statt. Somit kann Garancy einerseits das Berechtigungsmanagement in der Anwendung lesen, andererseits aber auch Berechtigungen im Zielsystem erteilen oder entziehen.
ZTNA ist ein Sicherheitsmodell, das für jeden Benutzer und jedes Gerät eine strenge Überprüfung verlangt, unabhängig vom Standort. Es minimiert Vertrauen und begrenzt laterale Bewegungen im Netzwerk. ZTNA ist ein zentrales Prinzip moderner IAM-Strategien.