Das Verwalten digitaler Identitäten und deren Zugriffsberechtigungen ist längst nicht mehr nur ein Thema für Großkonzerne. Auch mittelständische Unternehmen stehen vor der Herausforderung, ihre IT-Infrastrukturen sicher und effizient zu steuern. Dabei geht es nicht nur um die Kontrolle interner Benutzerkonten, sondern zunehmend auch um externe Identitäten – von Geschäftspartnern, Dienstleistern und Kunden.

Oftmals wird das Identitätsmanagement (Identity and Access Management; IAM) mit komplexen Projekten und langwierigen Implementierungsprozessen assoziiert, was insbesondere KMU davon abhält, sich intensiver mit dem Thema zu befassen. Doch in Zeiten zunehmender Digitalisierung und verstärkter regulatorischer Anforderungen führt kein Weg an einer strukturierten Identitätsverwaltung vorbei. Ein funktionierendes IAM sorgt nicht nur für verbesserte Sicherheit, sondern reduziert auch den administrativen Aufwand und gewährleistet Compliance mit gesetzlichen Vorgaben.

Der Mittelstand lässt sich grob in zwei Gruppen einteilen: Unternehmen mit 51 bis 1000 Mitarbeitern und den erweiterten Mittelstand ("Mid-Market") mit 1001 bis 10.000 Mitarbeitern. Während größere Mittelständler bereits häufiger auf umfassendes IAM setzen, nutzen kleinere Firmen oft nur grundlegende Administrationswerkzeuge, die auf dem Active Directory (AD) aufbauen. Die Vergabe von Berechtigungen erfolgt hier vielfach über manuelle Werkzeuge und statische Gruppen, während spezialisierte Geschäftsanwendungen wie SAP dies über dedizierte Produkte wie SAP Access Control steuern. Diese fragmentierte Verwaltung führt nicht nur zu ineffizienten Prozessen, sondern birgt auch erhebliche Sicherheitsrisiken.

Mit der neuen NIS2-Richtlinie (Direktive) der EU wird das Thema Cybersicherheit für KMU zu einer zentralen Herausforderung. Anders als bisher betrifft die Gesetzgebung nicht nur große Unternehmen oder bereits stark regulierte Branchen wie Banken und Versicherungen, sondern eine deutlich breitere Palette von Unternehmen unterschiedlicher Größe und Sektoren. Schätzungen zufolge wird sich die Zahl der in Deutschland betroffenen Unternehmen durch NIS2 von bisher rund 1200 auf etwa 29.500 erhöhen. Damit rückt IAM endgültig in den Fokus des Mittelstands, insbesondere für Organisationen, die kritische Infrastrukturen betreiben oder an komplexe Lieferketten angebunden sind. Dies hat weitreichende Konsequenzen für das Identitäts- und Berechtigungsmanagement, da eine sichere Verwaltung digitaler Identitäten und Zugriffsrechte ein Kernbestandteil moderner Cybersicherheitsstrategien ist.

Die NIS2-Richtlinie betont explizit die Notwendigkeit einer starken Authentifizierung, aber auch die Einhaltung von Best Practices im Bereich der Sicherheit, woraus sich indirekt weitere Anforderungen ergeben. Damit ergeben sich direkt oder indirekt wesentliche Handlungsfelder mit Fokus auf IAM:

- Starke Authentifizierungsmethoden, insbesondere Mehrfaktor-Authentifizierung (MFA) und passwortlose Verfahren.

- Effektives Identitätslebenszyklusmanagement zur Verwaltung von Benutzerkonten (Joiner-, Mover- und Leaver-Prozesse).

- Regelmäßige Rezertifizierung von Berechtigungen, um sicherzustellen, dass Nutzer nur auf die für sie erforderlichen Ressourcen zugreifen können und das Minimalprinzip (Least Privilege) eingehalten wird.

- Proaktive Bedrohungserkennung durch Identitätsüberwachung und Anomalieerkennung, die auch eine Kernanforderung in der spezifischen Regulierung DORA (Digital Operations Resilience Act) für die Finanzindustrie ist.

Da identitätsbasierte Angriffe, insbesondere durch Phishing, zu den häufigsten Einfallstoren für Cyberangriffe gehören, ist IAM ein wichtiger Baustein zur Erfüllung der neuen Sicherheitsanforderungen. Obwohl die Frist zur Verabschiedung des deutschen Umsetzungsgesetzes (NIS2UmsuCG) zum 17. Oktober 2024 nicht eingehalten wurde, bedeutet dies nicht, dass Unternehmen nicht handeln müssen. Da es sich um eine EU-Richtlinie handelt, muss die Umsetzung in nationales Recht zwingend erfolgen. IT-Verantwortliche sind daher gut beraten, sich bereits jetzt auf die kommenden Vorgaben vorzubereiten.

KMU, die bislang keine umfassenden IAM-Maßnahmen umgesetzt haben, sollten also prüfen, ob NIS2 für sie relevant ist und entsprechend ihre Sicherheitsstrategie einschließlich IAM überprüfen und anpassen. Der Fokus sollte dabei nicht nur auf der Einhaltung gesetzlicher Vorschriften liegen, sondern auch darauf, dass IAM einen entscheidenden Beitrag zur Verbesserung der gesamten Cybersicherheitslage leistet.

Neben der bereits angesprochenen Compliance ist die exponentielle Zunahme von Cyberattacken, die explizit auf Identitäten abzielen, ein wichtiger Treiber für ein stärkeres IAM. Phishing-Kampagnen, Credential Stuffing oder Ransomware-Angriffe nutzen kompromittierte Zugangsdaten, um tief in Unternehmensnetzwerke einzudringen. Angesichts dieser Bedrohungslage wird ein ganzheitliches Identitätsmanagement zur Pflicht: Unternehmen müssen nicht nur sicherstellen, dass sie Benutzer eindeutig identifizieren, sondern auch, dass sie ausschließlich auf die für ihre Tätigkeit notwendigen Ressourcen zugreifen können. Dies erfordert einen klar strukturierten und durchgängigen Ansatz zur Verwaltung digitaler Identitäten.

Ein weiterer wesentlicher Treiber für die Einführung von IAM ist die verstärkte Nutzung von Clouddiensten. Der Mittelstand setzt zunehmend auf Software-as-a-Service (SaaS) und hybride IT-Umgebungen. Insbesondere Microsoft 365 und damit auch Entra ID sind in KMU sehr verbreitet. Doch unabhängig von der gewählten Cloudplattform führt der Trend zu einfach einzuführenden SaaS-Diensten für Office-Funktionalitäten, Line-of-Business-Anwendungen oder spezifischen Anforderungen wie das Projektmanagement oder die Zeiterfassung, Dies hat jedoch eine deutlich höhere Zahl an verwalteten Anwendungen zur Folge. In der Praxis bedeutet dies, dass IT-Verantwortliche mit einer Vielzahl von Cloudplattformen konfrontiert sind, die über unterschiedliche Identitäts- und Zugriffsmanagement-Funktionen verfügen. Ein zentrales IAM wird damit unverzichtbar, um ein effizientes Benutzer- und Berechtigungsmanagement umzusetzen und Sicherheitsrisiken zu minimieren.

Hinzu kommt die wachsende Bedeutung der Lieferkettensicherheit. Organisationen, insbesondere solche, die als Zulieferer für größere Konzerne agieren, stehen zunehmend unter Druck, strikte Sicherheitsvorgaben einzuhalten. Große Unternehmen setzen verstärkt auf standardisierte Sicherheitsframeworks wie ISO 27001 oder TISAX, die den Nachweis eines robusten IAM-Systems erfordern. Wer hier nicht mitzieht, riskiert den Verlust wertvoller Geschäftsbeziehungen.

Ein weiteres Feld mit unmittelbarem Einfluss auf IAM sind regulatorische Entwicklungen wie der EU Cyber Resilience Act (CRA). Dieser stellt neue Anforderungen an die Sicherheit von Software und vernetzten Produkten. Da moderne Produkte immer häufiger mit Softwarekomponenten ausgestattet sind – sei es eine industrielle Steuerungseinheit oder ein vernetztes Medizingerät –, wächst der Bedarf an einer sicheren Verwaltung der Entwickleridentitäten und deren Zugriff auf Quellcode-Repositories und Entwicklungsumgebungen. IAM ist damit nicht nur eine Maßnahme für den sicheren Betrieb von IT-Infrastrukturen, sondern auch ein wesentliches Element der Software-Supply-Chain-Sicherheit.

Die Notwendigkeit eines gut funktionierenden IAM im Mittelstand steht außer Frage. Die Herausforderung liegt jedoch in der praktischen Umsetzung: Welche Komponenten sind tatsächlich erforderlich und in welchem Umfang lassen sie sich wirtschaftlich sinnvoll implementieren? IAM ist ein breit gefächertes Themengebiet mit zahlreichen technischen und organisatorischen Aspekten. Gerade für mittelständische Unternehmen, die oft über begrenzte IT-Ressourcen verfügen, gilt es, eine Balance zwischen Sicherheitsanforderungen, regulatorischen Vorgaben und der praktischen Machbarkeit zu finden.

Für viele KMU ist ein zentraler Ausgangspunkt die Verbesserung der Authentifizierungsverfahren, insbesondere durch den Einsatz von Mehrfaktor-Authentifizierung. Viel zu oft wird auch heute nur mit Benutzernamen und Kennwörtern gearbeitet, die durch ihre Angreifbarkeit ein Sicherheitsrisiko darstellen. Klassische MFA-Verfahren, die ergänzend dazu mit Einmalpasswörtern (OTP) oder Authenticator-Apps arbeiten, sind zwar etabliert, doch die Zukunft liegt in der kennwortlosen Authentifizierung (Passwordless Authentication). Werkzeuge, die biometrische Verfahren oder sicherheitskritische Hardwarekomponenten wie Secure Elements, TPM-Chips oder FIDO2-Sicherheitskeys nutzen und damit vollständig auf Kennwörter verzichten, bieten nicht nur ein höheres Sicherheitsniveau, sondern steigern auch die Benutzerfreundlichkeit. Solche Ansätze sind in vielen Produkten wie Microsoft Entra ID integriert und lassen sich mit zusätzlichen Sicherheitskomponenten wie dem Yubikey erweitern.

Neben der Authentifizierung ist das Lebenszyklusmanagement von Identitäten und Berechtigungen (Identity Governance and Administration; IGA) eine der zentralen IAM-Komponenten. Automatisierte Prozesse für das Anlegen, Ändern und Löschen von Benutzerkonten helfen, Sicherheitsrisiken zu minimieren und gleichzeitig den Verwaltungsaufwand zu senken. In den zunehmend hybriden IT-Landschaften mit einer Mischung aus On-premises- und Cloudanwendungen wird eine einheitliche Verwaltung noch wichtiger, um nicht die Kontrolle über die wachsende Zahl an Clouddiensten zu verlieren. IGA-Anbieter wie Tenfold Software oder Omada (auch als Identity-as-a-Service verfügbar; IDaaS), aber auch die wachsende Zahl von IDaaS-Diensten anderer Hersteller von Microsoft bis SailPoint als cloudbasierte Ansätze bieten hierfür Tools, die gezielt auf KMU-Anforderungen zugeschnitten sind. Der größte Teil davon lässt sich mit dem meistens im Mittelstand vorhandenen Active Directory oder Entra ID integrieren.

Ein oft unterschätzter, aber essenzieller Bestandteil von IAM ist das Berechtigungsmanagement für unstrukturierte Daten. In vielen Unternehmen liegen geschäftskritische Informationen auf Fileservern, in SharePoint-Instanzen oder in Cloudspeichern. Ohne ein effektives Berechtigungsmanagement besteht das Risiko, dass sensible Daten unkontrolliert zugänglich sind oder ehemalige Mitarbeiter weiterhin Zugriff behalten. Hier setzen Anbieter wie Netwrix, Quest oder ManageEngine an, die bei der Analyse und Verwaltung von Berechtigungen unterstützen. Einige IAM, darunter Tenfold, integrieren diese Funktionen bereits, sodass Unternehmen ein ganzheitliches IAM erhalten.

IAM umfasst zahlreiche Funktionen. Mittelständische Unternehmen mit ihren begrenzten Ressourcen sind gut beraten, hier zu priorisieren. Die Fokussierung auf eine starke Authentifizierung, ein strukturiertes Benutzer- und Berechtigungsmanagement sowie eine sinnvolle Unterstützung von Active Directory, Windows Server und Microsoft 365 bietet eine praktikable Herangehensweise. Durch den gezielten Einsatz von cloudbasiertem IDaaS oder Managed Security Services sinkt zudem der interne Verwaltungsaufwand.

Die Einführung oder Modernisierung eines IAM ist für KMU eine Herausforderung, die gut geplant sein will. Dabei gilt es, die eigenen Anforderungen klar zu definieren, eine realistische Zielsetzung zu formulieren und einen schrittweisen, priorisierten Ansatz zu verfolgen. Ohne einen guten Plan besteht die Gefahr, dass sich IAM-Projekte verzetteln, zu hohe Kosten verursachen oder nicht nachhaltig sind, weil Ressourcen fehlen.

Eine wichtige Frage dabei ist, ob eine IAM-Suite mit vielen Funktionen oder gezielt ausgewählte Einzelprodukte zum Einsatz kommen. Während eine Suite den Vorteil einer einheitlichen Verwaltung bietet, ist ein modularer Ansatz eine flexiblere und oft kostengünstigere Alternative. Gerade für kleinere Unternehmen mit begrenzten IT-Ressourcen kann es sinnvoll sein, IDaaS zu wählen, da dies viele Funktionen vorkonfiguriert bereitstellt und den operativen Aufwand reduziert. Anbieter wie Entra ID, Okta oder OneLogin sind hier Beispiele, wobei die Mehrzahl der IAM-Produkte über alle Einsatzbereiche hinweg heute auch als IDaaS verfügbar sind.

Für Unternehmen mit spezifischen Anforderungen kann jedoch eine Best-of-Breed-Kombination vorteilhafter sein. Beispielsweise lässt sich ein Access-Management wie Ping Identity oder Entra ID mit einem spezialisierten IGA wie EmpowerID oder One Identity kombinieren, um eine anpassbare und dennoch schlanke IAM-Architektur zu erhalten.

KMU sollten sich dabei nicht vom Umfang und der befürchteten Komplexität von IAM-Projekten abschrecken lassen. Ziel ist nicht Perfektion, sondern eine praktikable und nachhaltige Lösung, die das Sicherheitsniveau verbessert und bei der insbesondere die essenziellen Grundfunktionen der verschiedenen Produkte weiterhelfen. Wer IAM schrittweise implementiert, klare Prioritäten setzt und sich für einen Ansatz entscheidet, der zu den eigenen Anforderungen passt, kann IAM erfolgreich und effizient umsetzen. Dabei gilt es, stets die Balance zwischen Kosten, Sicherheit und operativer Machbarkeit zu wahren.

Eine weitere wichtige Überlegung für mittelständische Unternehmen ist die Frage, ob sie IAM intern betreiben oder als Managed Service (Managed Security Services Provider; MSSP) nutzen. Gerade für Organisationen mit begrenzten IT-Ressourcen kann es sinnvoll sein, auf externe Dienstleister zurückzugreifen. IAM-Services von MSSPs bieten den Vorteil, dass sie standardisierte, bewährte Prozesse implementieren und oft schneller einsatzbereit sind als individuell betriebene Umgebungen. Anbieter wie iC Consult, die Telekom oder NTT Security haben für den Mittelstand geeignete Managed-IAM-Dienste im Portfolio.

Die IAM-Einführung ist für alle Unternehmen mit Herausforderungen verbunden. Gerade im Mittelstand mit begrenzten personellen und finanziellen Ressourcen sind diese aber von besonderer Relevanz. Fehler in der Produktauswahl oder unzureichende Planung können nicht nur zu erheblichen Mehrkosten führen, sondern auch Sicherheitslücken hinterlassen, die Angriffsflächen für Cyberkriminelle bieten. Daher ist es entscheidend, die eigenen Anforderungen genau zu definieren und in einem strukturierten Auswahlprozess passende Produkte zu evaluieren. Dazu gehört die Festlegung der Kernanforderungen: Welche Benutzergruppen sollen verwaltet werden? Welche Systeme müssen integriert werden? Welche regulatorischen Vorgaben sind relevant? Die Auswahl eines geeigneten IAM-Systems sollte immer auch die Skalierbarkeit für zukünftige Anforderungen berücksichtigen, um teure Migrationen oder Erweiterungen zu vermeiden.

Wie schon angesprochen ist ein zentraler Punkt die Wahl zwischen einer eigenständigen IAM-Plattform, einem cloudbasierten Identity-as-a-Service oder hybriden Modellen. Ebenso wichtig ist allerdings das Einbinden externer Spezialisten. Da IAM-Projekte in der Praxis oft komplexer sind als erwartet, lohnt sich die Zusammenarbeit mit erfahrenen Implementierungspartnern oder MSSPs. Diese bringen nicht nur technisches Know-how mit, sondern können durch bewährte Best Practices die Einführung beschleunigen und Fehler vermeiden. So sind die Kosten für eine durchdachte IAM-Einführung viel geringer als die potenziellen Folgekosten fehlerhafter Implementierungen oder unzureichender Sicherheitsmaßnahmen. Besonders im Hinblick auf die steigenden regulatorischen Anforderungen ist eine gut durchdachte IAM-Strategie eine notwendige Investition in die Zukunftssicherheit des Unternehmens.

IAM ist für mittelständische Unternehmen essenziell, um Sicherheitsrisiken zu minimieren und regulatorische Vorgaben zu erfüllen. Eine durchdachte Planung, klare Anforderungsdefinitionen und eine strukturierte Auswahl der passenden Werkzeuge sind entscheidend. IDaaS kann eine kosteneffiziente Alternative sein, während externe Spezialisten helfen, Fehler zu vermeiden. Der Aufwand für eine professionelle IAM-Implementierung zahlt sich langfristig aus, da er sowohl Sicherheitsrisiken reduziert als auch die Effizienz der IT-Prozesse steigert.