Martin Kuppinger, Gründer und Principal Analyst der KuppingerCole Analysts AG

Wie wichtig ist es beim Aufbau eines IAM-Frameworks, von Anfang an Vorgaben wie der GDPR und NIS2 zu beachten? Ich spreche lieber von regulatorischer Konformität als von Datenschutzvorgaben. Datenschutz, also GDPR, ist ein Teil davon. Hinzu kommen NIS2, DORA für die Finanzbranche oder nationale Regeln. Wir erwarten bald rund 29.500 Firmen in Deutschland, die unter NIS2 fallen. Hier ist ein sauberes IAM essenziell. Man sollte die Vorgaben aber nicht nur als Zwang ansehen. Denn sie zeigen ja auf, was man grundsätzlich tun muss, um sich vor Cyberangriffen zu schützen.

Wo sehen Sie die größten Risiken für Unternehmen, wenn sie IAM-Lösungen nicht regulatorisch sauber aufstellen? Zum einen finanzielle Sanktionen der Behörden und zum anderen Reputationsschäden bei Kunden. Bei Verletzung der GDPR drohen Bußgelder, bei NIS2 und in der Finanzaufsicht reichen die Mittel bis zu massivem Druck der Aufsicht, im theoretischen Extrem bis zum Entzug der Banklizenz. Oft aber ist der Imageschaden des Unternehmens teurer als die Strafe. Sicherheitsvorfälle kosten immer – operativ wie finanziell.

Wie können Firmen sicherstellen, dass sie auch zukünftige Regulierungen flexibel abbilden können? Vieles kommt ja von EU-Seite. Verordnungen wie die GDPR gelten direkt, Direktiven wie NIS2 müssen erst national umgesetzt werden. Wichtig ist, dass man nicht nur „Checklist-Compliance“ betreibt und sich mit dem Minimal-Aufwand zufriedenzugeben. Besser ist ein stabiler, methodischer Ansatz, der Auditschwerpunkte, neue Vorgaben und strenger werdende Auditoren aushält. Am besten, man bleibt immer einen Schritt vor dem Auditor – durch saubere, methodisch durchdachte Arbeit.

Sicherheitsvorfälle kosten immer – operativ wie finanziell.

Was ist die größte IAM-Baustelle in gewachsenen IT-Landschaften? Sicherlich ist das die Situation, wenn man Altsysteme ins IAM integrieren muss. Bei Access Management helfen Standards. Schwierig wird es in IGA (Identity Governance & Administration): Benutzer- und Berechtigungsmanagement verlangt tiefe Integration in heterogene Anwendungen. Altsysteme haben oft schlechte Schnittstellen. Wenn in Projekten mit hunderten anzubindenden Systemen nach Jahren nur wenige angebunden sind, sorgt das für Frust. Man muss priorisieren: erst riskante Systeme, dann ähnliche in Serie, wo es (erst einmal) nicht anders geht, manuelle Anbindung nur mit sauberen Prozessen. KI hilft, Schnittstellen schneller und effizienter zu bauen.

Was unterscheidet die Anbindung von Cloud-Anwendungen von der Integration klassischer On-Premise-Systeme auf eigenen Servern? Cloudsysteme lassen sich meist leichter anbinden, da sie offene Standards unterstützen, während ältere On-Premise-Systeme oft nur proprietäre Schnittstellen bieten. Beim Betrieb von IAM-Lösungen punkten Clouds mit geringerem Aufwand, stellen aber zugleich höhere Anforderungen bei der Integration solcher Altsysteme. Grundsätzlich geht die Entwicklung klar Richtung Cloud-IAM – wichtig ist dabei, Datenschutz, Betriebsort und Datentransfers korrekt zu regeln und IGA nicht hybrid zu fahren, um unnötige Komplexität zu vermeiden.

Welche Rolle spielen KI und Automatisierung im IAM-Universum? Eine stark wachsende. KI kann Schnittstellen schneller verstehen und Konnektoren bauen, Deployments werden hochautomatisiert. In den Prozessen brauchen wir mehr Automatik: Rechte werden zum Beispiel beantragt, aber selten entzogen. KI könnte hier Nutzungsmuster erkennen, etwa: „selten genutzt“, „nur im Jahresabschluss“ etc.; und zeitlich begrenzte Berechtigungen da vergeben, wo es Sinn macht – also dynamisch statt statisch. Das gilt erst recht für Non-Human Identities. Services und Bots verlangen immer mehr Zugriffsrechte, ihre wachsende Anzahl verlangt auch wachsende Automatisierung.

Beim Betrieb von IAM-Lösungen punkten Clouds mit geringerem Aufwand, stellen aber zugleich höhere Anforderungen bei der Integration solcher Altsysteme.

Wie hält man die Balance zwischen Sicherheit und Nutzerfreundlichkeit? Na ja, das ist ja keine Waage, bei der mehr Sicherheit weniger Usability bedeutet oder umgekehrt. Beides muss miteinander verbunden werden. Moderne Ansätze erhöhen beide Komponenten gleichzeitig. Das gelingt beispielsweise durch kennwortlose oder gar passive Authentifizierung, etwa durch Verhalten oder Kontext, anstelle eines nutzerunfreundlichen Passwortschutzes. Für besonders kritische Aktionen gibt es dann zusätzliche Faktoren.

Ihr Blick nach vorn – was verändert sich im Audit- und KI-Zeitalter? Dynamische Berechtigungen werden zunehmen. Auch wird es viel mehr KI-basierte Entscheidungen geben. Da braucht es Kontrolle und Transparenz. Bei KI-Agenten und Protokollen entstehen neue Identitäts- und Rechteketten („in wessen Kontext agiert der Agent?“). Das muss früh adressiert werden. Das Problem dabei ist, dass die Sicherheit der Innovation, wie in der Historie schon immer, hinterherhinkt.

Was raten Sie Unternehmen, die heute ganz am Anfang ihrer IAM-Reise stehen? Sie sollten nicht mit der Suche nach dem richtigen Tool beginnen, sondern erst einmal klären: Welche Fähigkeiten brauche ich? Wie muss die Identity Fabric beschaffen sein, um zu analysieren, was nötig ist? Insgesamt sollte man das Thema IAM sehr methodisch angehen. Diese Projekte sind meistens lang und teuer, von daher müssen sie vorher umso besser durchdacht werden. Und wenn der Auditor kommt: Bitte nicht in den „Headless-Chicken-Mode“ verfallen. Planvolles, durchdachtes Handeln überzeugt auch hier. Und das ist am Ende immer günstiger und sicherer.

FACTBOX

Herzlichen Glückwunsch: Martin Kuppinger feiert heute, am 26.9.2025, seinen 60. Geburtstag! Er hält sich mit Yoga und Rennrad fahren fit. Zudem steht er gern in der Küche, um etwas Leckeres zu kochen.