18. Dezember 2025
Einleitung
Digitale Identität war schon immer das Bindeglied, dass die Unternehmens-IT zusammenhält. Doch was digitale Identität eigentlich bedeutet, hat sich über die vergangenen Jahre hinweg grundlegend verändert. Vor 20 Jahren umfasste eine digitale Identität einen Benutzernamen und ein Passwort, beide abgespeichert in einem Verzeichnis irgendwo im Unternehmen. Der Zugriff auf diese Identität war zudem an einen bestimmten Desktop-Computer im Unternehmens-LAN gebunden. Eine solche Identität war statisch, personenzentriert und vorhersehbar.
Dies ist heute nicht mehr der Fall. Identitäten sind nicht mehr nur für Mitarbeiter im Unternehmen, sondern auch für Auftragnehmer, Partner, Maschinen, Bots, APIs, Cloud-Workloads und Software-as-a-Service-Konnektoren (SaaS). Sie sind zudem nicht länger statisch, da sich Berechtigungen je nach Rolle, Projekt oder Integration dynamisch ändern können. Solche Identitäten erstrecken sich über lokale Active Directory-, Azure AD– und AWS IAM-Umgebungen, Okta-Mandanten und Hunderten von SaaS-Anwendungen. Gleichzeitig steigt auch die Anzahl von Machine-to-Machine-Identitäten und SaaS-Integrationen kontinuierlich – mit entsprechend grösserer Angriffsfläche.
Oder anders ausgedrückt: Je mehr Identitäten, desto mehr Angriffsfläche.
IAM: Von Verwaltung zu Verteidigung
Damit hat sich auch IAM grundlegend verändert. Hybrid Cloud, SaaS und Remote-Arbeit haben zu einem Wildwuchs an Identitäten und Konten geführt. Fehlkonfigurationen und Identitäten mit zu vielen unnötigen Rechten sind dann eher die Regel als die Ausnahme. Angreifer wissen das – Identitätsmissbrauch ist oft der einfachste Einstiegspunkt.
Während Sicherheitsverantwortliche zwischen IAM-, Endpoint Detection and Response- (EDR), Security Information and Event Management- (SIEM), Privileged Access Management- (PAM) und Multi-Faktor-Authentifizierungs-Anwendungen hin- und herwechseln müssen, haben Angreifer es hingegen einfacher, denn sie können auf folgendes setzen:
- Anmeldedaten-Dumping auf kompromittierten Endpunkten
- MFA-müde Nutzer, die unüberlegt betrügerische Anmeldeversuche durchwinken
- Laterale Bewegungen im Netzwerk über hybride AD- und Cloud-Konnektoren
- Living-off-the-Land-Taktiken (LotL), für die legitime Administratoren-Tools missbraucht werden, anstatt Malware zu verbreiten
Die folgenschwersten Sicherheitsverletzungen der vergangenen fünf Jahre waren das Resultat von Identitätsfehlern, Fehlkonfiguration, Nutzern mit zu vielen unnötigen Rechten und vergessenen Konten – all dies konnten Angreifer als Einfallstor nutzen.
Beispiel Snowflake von 2024: Die Gruppe UNC5537 kompromittierte über 160 Kundenumgebungen, häufig ohne MFA, allein mit gestohlenen Zugangsdaten. Millionen personenbezogene Datensätze sowie Milliarden Kommunikationsereignisse wurden offengelegt. Zu den Opfern zählten AT&T, Santander und Ticketmaster, die offengelegten Daten umfassten personenbezogene Daten und rund 50 Milliarden aufgezeichnete Anrufe.
Dementsprechend hat sich die Aufgabe von IAM gewandelt: weg von einem operativen Hilfsmittel zu einer grundlegenden Verteidigungsebene. Heute zählt nicht mehr die Geschwindigkeit beim Onboarding, sondern die Fähigkeit, kompromittierte Konten schnell zu erkennen, Berechtigungen zu begrenzen und Angriffsbewegungen zu verhindern.
