Das Identity- und Access-Management (IAM) hat den manchmal berechtigten, aber keineswegs immer zutreffenden Ruf, eine komplexe Angelegenheit zu sein. Diese kolportierte, vermutete oder gefühlte Komplexität zusammen mit den typischerweise kleinen IT-Teams im Mittelstand lassen Organisationen oft davor zurückschrecken, sich an das Thema heranzuwagen. Dabei ist es aus vielen Gründen wichtig. Es geht um Sicherheit, um die Einhaltung regulatorischer Vorgaben, um effizientere Prozesse für Mitarbeiter, Geschäftspartner und Kunden, um einfache und dennoch sichere Zugriffe auf Systeme und Anwendungen und nicht zuletzt um administrative Effizienz.

Der Mittelstand umfasst in einer gängigen Definition die mittelgroßen Unternehmen von 51 bis 1000 Mitarbeitern und den größeren Mittelstand ("Mid-Market") mit 1001 bis 10.000. Im größeren Mittelstand finden sich sehr häufig bereits "echte" IAM-Infrastrukturen für die Verwaltung von Benutzern und Zugriffsberechtigungen (IGA, Identity Governance & Administration), für die Zugriffssteuerung (Access-Management mit Authentifizierung und Identity Federation) und teilweise auch für die Kontrolle und Steuerung von Zugriffen hochprivilegierter Benutzer (PAM, Privileged Access Management).

Bei kleineren Unternehmen gibt es dagegen oft nur technische Administrationswerkzeuge – für das Microsoft Active Directory (AD) beispielsweise den Quest-ActiveRoles-Server. Berechtigungen in mit dem Active Directory verzahnten Anwendungen steuern IT-Verantwortliche dann über AD-Gruppen, während sie andere Anwendungen manuell verwalten. Manchmal gibt es auch noch für Geschäftsanwendungen wie SAP spezialisierte Lösungen wie SAP Access Control.

Diese Produkte reichen aber in den meisten Fällen nicht aus, auch weil die Anforderungen wachsen und sich die IT-Umgebungen verändern. Das beginnt damit, dass jede Organisation ein potenzielles Angriffsziel für Cyberattacken ist. Angreifer sind immer darauf aus, Kontrolle über Benutzerkonten zu erhalten, um damit Daten zu stehlen, Malware zu verteilen oder Angriffe durchzuführen.

Das ist aber nur ein Aspekt, denn die IT-Landschaften verändern sich auch im Mittelstand durch die zunehmende Nutzung von Clouddiensten mit einer Tendenz dazu, insgesamt mehr Dienste einzusetzen – oft für spezialisierte Aufgaben. Bei jedem dieser Services gilt es, Benutzer und Berechtigungen sicher zu verwalten.

Zudem verändert sich die Rolle des in den meisten mittelständischen Unternehmen eingesetzten Active Directory. Mit der Einführung von Microsoft 365 kommt auch das Azure Active Directory (AAD) respektive Microsoft Entra [1] zum Einsatz. Damit gibt es für eine oft lange Übergangszeit zwei zentrale Dienste, die miteinander kombiniert und beide verwaltet werden. Damit erhöht sich die Komplexität. IAM kann dabei helfen, diese zu reduzieren.

Ein nicht zu unterschätzendes Thema für viele mittelständische Unternehmen, insbesondere in der Fertigungsindustrie, aber auch in anderen Branchen, ist die Forderung von Großkunden nach einer Zertifizierung für die ISO-2700x-Standards. Zu diesen gehört auch ein funktionierendes IAM. Auch wenn die Anforderung grundsätzlich mit manuellen Prozessen abzudecken ist, lässt sich eine Zertifizierung mit dem Einsatz geeigneter IAM-Anwendungen doch einfacher erreichen.

Noch mehr gilt das für Unternehmen im Bereich der kritischen Infrastruktur, wo die Anforderungen an das IT-Sicherheitsmanagement und damit auch an das Benutzer- und Berechtigungsmanagement deutlich verschärft wurden. Mit den KRITIS-Revisionen hat sich dabei auch der Fokus immer mehr auf mittelständische Unternehmen verlagert, für die damit ein funktionierendes IAM faktisch zwingend wird.

Auch das Thema Industrie 4.0 hat einen direkten Bezug zu IAM, einerseits bei der Zugriffssteuerung im produzierenden Bereich, andererseits aber auch, um die Business-Systeme, die Schnittstellen zu Produktionssystemen haben, abzusichern und damit das Risiko von Angriffen auf Letztere zu reduzieren.

Am wichtigsten ist aber, dass es eben nicht nur um Mitarbeiter geht, sondern auch um den Zugriff von Geschäftspartnern (und auf Anwendungen von diesen) sowie insbesondere um Kunden und Konsumenten. Praktisch alle Organisationen müssen immer mehr digitale Dienste bereitstellen, die zunehmend im Zentrum der Geschäftsmodelle stehen. Die digitalen Identitäten von Kunden und Konsumenten müssen verwaltet werden, aber auch die Zugriffe von Mitarbeitern auf diese Dienste.

Gründe für ein gutes IAM auch in mittelständischen Organisationen gibt es also viele. Auf der anderen Seite steht die Machbarkeit: Wie viel IAM ist für den Mittelstand machbar und welche Teile des IAM werden wirklich benötigt? IAM ist sehr vielfältig, wie ein Blick auf Referenzarchitekturen zeigt. Aber was davon benötigen KMU wirklich?

IGA umfasst Werkzeuge für das Lebenszyklus-Management von Benutzern, für das technische Identity Provisioning mit dem Anlegen, Ändern und Löschen von Benutzerkonten in Zielsystemen. Dazu gesellt sich die Unterstützung von Access Governance, also beispielsweise die Rezertifizierung von Berechtigungen. Dies sind Kernbereiche von IAM. Innerhalb von IGA geht es dann aber vor allem darum, standardisierte Prozesse für die wesentlichen Aufgaben wie das Anlegen, den Abteilungswechsel und das Löschen von Benutzern zu haben, eine einfache Berechtigungsanforderung und -prüfung zu unterstützen und sich mit den wichtigsten Zielsystemen verbinden zu können. Gerade für den Mittelstand kann Letzteres zur Herausforderung werden, weil viele Anbieter zwar die gängigen Businessanwendungen für Großunternehmen unterstützen, aber nicht die Mittelstandslösungen. Hier können auf den Mittelstand spezialisierte Anbieter wie beispielsweise Tenfold eine Alternative sein.

Auch das Access-Management für eine zentrale Steuerung der Authentifizierung, die Unterstützung von Mehrfaktor-Authentifizierung und möglichst auch passwortloser Anmeldung und die Verzahung mit Zielanwendungen ist ein Muss. Bei dieser Integration bedarf es der Unterstützung gängiger Identity-Federation-Standards wie OAuth, OpenID Connect und SAML, aber auch eines Web-Access-Managements für ältere Anwendungen.

Neben diesen Bausteinen sollten Admins gerade dort, wo Unternehmen viele eigene digitale Dienste entwickeln, auch über eine geeignete CIAM-Anwendung (Consumer-IAM) nachdenken. Welche Produkte hier am besten geeignet sind, hängt stark von den Anwendungsszenarien ab. Dort, wo viele eigene Anwendungen entstehen, ergeben auf Entwickler ausgerichtete Werkzeuge, die APIs für die Identitätsfunktionen wie Benutzerregistrierung und Authentifizierung bereitstellen, am meisten Sinn. Ein Beispiel dafür ist Okta/Auth0.

Ebenfalls wichtig, aber längst nicht so verbreitet, ist die Nutzung von PAM im Mittelstand. Inzwischen bieten aber einige der IAM-Angebote integrierte PAM-Features zumindest für Basisfunktionen. Außerdem gibt es einige PAM-Anbieter im Markt wie Delinea, aber auch kleinere Spezialisten, die vergleichsweise schlanke und einfach umzusetzende Produkte im Portfolio haben. Manche der Anbieter im Markt wie Microsoft oder EmpowerID bieten mehrere dieser Funktionsbereiche aus einer Hand in einer integrierten Plattform an.

Jeder der genannten Themenbereiche stellt ein Projekt für sich dar. Deshalb ist es wichtig, die Einführung oder Modernisierung von IAM genau zu planen und sich nicht zu viel vorzunehmen. Zu einem solchen Plan gehört aber auch ein Zielbild, also eine genaue Definition davon, wo die Firma hin möchte und welche Projekte zum IAM-Programm gehören. Nur so lässt sich sicherstellen, dass eine sinnvolle Gesamtlösung entsteht.

Der erste Schritt des IT-Verantwortlichen ist zu überlegen, ob sich eher Einzellösungen oder doch eine Suite von Produkten eignen, um möglichst viele Bereiche aus einer Hand abzudecken. Microsoft, Okta aber auch EmpowerID oder N8 Identity sind einige der Hersteller, die mehrere Funktionsbereiche in einer vergleichsweise schlanken Anwendung abdecken.

Auf der anderen Seite gibt es in jedem der Teilsegmente auch Spezialisten, die eine hohe Eignung für den Mittelstand haben. Gerade beim Access-Management existieren viele Clouddienste neben Microsoft und Okta, die sich einfach umsetzen lassen. Neben One Identity/ OneLogin oder Ping Identity gibt es europäische Anbieter wie Nevis, Ergon, United Security Providers oder Ilex. Auch bei IGA existieren neben den Mittelstandsspezialisten wie Tenfold oder Ogitix einige Hersteller, die viele Referenzen in KMU vorfweisen, darunter auch europäische Anbieter wie Omada oder Beta Systems.

Von der Reihenfolge her sind die typischen Ansatzpunkte entweder das Access-Management, um den sicheren Zugang von Nutzern über eine Mehrfak- tor-Authentifizierung und die Identity Federation zu ermöglichen, oder IGA für die Basisfunktionen im Lebenszyklus- und Berechtigungsmanagement. Beides ist valide, solange der IT-Verantwortliche einen klaren Plan für die schrittweise Umsetzung auch der weiteren Funktionen hat.

Wie schon aus den vorab exemplarisch genannten Herstellern deutlich wird, gibt es sehr viele Firmen, die auch für den Mittelstand geeignete Plattformen liefern. Je nach spezifischen Anforderungen können das aber auch andere führende, große IAM-Anbieter sein. Dort, wo Unternehmen in hoher Komplexität digitale Dienste entwickeln, ist beispielsweise ForgeRock eine interessante Option, gerade auch mit Blick auf CIAM-Anforderungen. Bei komplexen regulatorischen Anforderungen sind marktführende IGA-Anbieter wie beispielsweise SailPoint, One Identity oder IBM selbst für den kleineren Mittelstand relevante Optionen.

Neben dem Zielbild geht es daher immer darum, die eigenen Anforderungen zu definieren, sowohl bezüglich der erforderlichen Funktionalität als auch der anzubindenden Zielsysteme. Damit lassen sich dann Anbieter vergleichen. Wichtig ist auch, sich die Produkte genauer anzuschauen und vorführen zu lassen, um zu verstehen, ob sie zu den Anforderungen und zu dem, was das interne IT-Team leisten kann, passen.

Im Kern lassen sich die Anbieter in fünf Kategorien aufteilen:

- Cloud-integrierte Lösungen der großen Cloudanbieter: Sowohl Microsoft als auch Google bieten IAM-Funktionalität in enger Integration mit ihren jeweiligen Office-Plattformen. Diese können auch das Fundament für ein organisationsweites IAM bieten, gerade im Fall von Microsoft mit seiner Abdeckung aller wesentlichen IAM-Funktionsbereiche.

- Reine IDaaS-Lösungen (Identity-as-a-Service), also IAM-Produkte aus der Cloud. Diese bieten inzwischen fast alle IAM-Hersteller und haben den Vorteil, dass der Aufwand für die Einrichtung und Anpassung ebenso wie für den Betrieb deutlich geringer ist als bei traditionellen, lokalen Tools. Das macht auch Anwendungen, die früher in ihrer On-Premises-Variante als zu komplex für den Mittelstand galten, zu einer Option in diesem Marktsegment.

- IAM-Systeme in den verschiedenen Teilsegmenten, die lokal genutzt werden können und die mehrere Funktionen bündeln oder generell vergleichsweise einfach und schlank in der Nutzung sind.

- Ergänzende Lösungen für das Management von Azure AD/Entra und lokales AD dort, wo die überwiegende Zahl der Zielanwendungen ohnehin mit diesen Systemen zusammenspielt.

- Spezialisiertes IAM mit Mittelstandsfokus, das sich oft dadurch auszeichnet, dass es viele Schnittstellen auch zu den typischen Businessanwendungen im Mittelstand aufweist.

Der IAM-Markt ist sehr groß, sodass wir an dieser Stelle auch nur exemplarisch Hersteller nennen können. Wir empfehlen in jedem Fall, genau zu recherchieren, sei es im Internet oder über Analystenunternehmen, um die geeigneten Anbieter zu identifizieren.

Je nach Komplexität und Kritikalität, also insbesondere auch den regulatorischen Anforderungen, sind unterschiedliche Anwendungen gefragt. Dort, wo der regulatorische Druck hoch und die Umgebungen komplex sind, beispielsweise bei KRITIS-relevanten Unternehmen, ist eher klassisches IAM oder IDaaS der etablierten Anbieter gefragt, während sonst beispielsweise Cloud-integrierte oder spezialisierte Produkte für den Mittelstand die bessere Wahl sein können.

Die zwei wichtigsten Kriterien für die Auswahl sind, die eigenen Anforderungen zu definieren und sich die Zeit zu nehmen, um sich einen guten Marktüberblick zu verschaffen. Dann lassen sich einige der Produkte auswählen, gegen die eigenen Anforderungen prüfen, Demos anschauen und gegebenenfalls auch ein PoC (Proof-of-Concept) durchführen.

Da IAM-Projekte aufwändig sind, müssen IT-Verantwortliche sowohl Zeit als auch Geld investieren, um das richtige Produkt zu identifizieren. Fehler bei der Produktauswahl sind in jedem Fall zeitaufwändiger und teurer als eine gut geplante und durchgeführte Produktauswahl. Und bei der Definition von Anforderungen gilt es, einen realistischen Anspruch zu entwickeln: Was wird wirklich gebraucht und was ist beherrschbar? Einfache Berechtigungsmodelle und eine simple Rezertifizierung statt ausgefeilter Funktionen sind hier meist die bessere Wahl. Wichtig ist auch, dass Hersteller viel als Standard liefern wie beispielsweise vordefinierte Prozesse und Reports. Referenzen im Mittelstand sind ebenfalls ein wichtiges Kriterium.

Außerdem sollten sich IT-Verantwortliche von geeigneten Partnern sowohl bei der Auswahl der Produkte als auch der Projektumsetzung begleiten lassen, die – je nach Phase – Marktkenntnis oder Umsetzungsexpertise speziell im Mittelstand bieten. Richtig gemacht und durchdacht, ist IAM auch für den Mittelstand machbar und beherrschbar. Und IAM ist auch dort wichtiger denn je.