Warum Identity die neue Firewall ist — und IAM-Strategien trotzdem scheitern

1 Min. Lesezeit

In einer Welt ohne Perimeter ist Identität der letzte verlässliche Kontrollpunkt. Doch die Realität sieht anders aus: Über 60 Prozent aller Breaches beginnen mit kompromittierten Zugangsdaten. Nicht weil IAM-Technologie fehlt, sondern weil Unternehmen sie falsch implementieren.

Das Wichtigste in Kürze

Verizon DBIR 2022: 61 Prozent der Breaches involvieren gestohlene Credentials
Durchschnittlich 187 Tage bis zur Erkennung kompromittierter Konten (IBM)
MFA-Adoption in Unternehmen: unter 50 Prozent der privilegierten Accounts
Identity Governance wird zum NIS2-Pflichtthema

Das Ende des Perimeters – und der Anfang der Identity-Krise

Cloud, Remote Work und SaaS haben die klassische Netzwerkgrenze aufgelöst. In einer Umgebung, in der Mitarbeiter von überall auf Ressourcen in zehn verschiedenen Cloud-Diensten zugreifen, ist die Frage nicht mehr „Bist du im Netzwerk?“, sondern „Wer bist du – und darfst du das?“.

Diese Verschiebung macht Identity and Access Management (IAM) zur kritischsten Security-Disziplin. Doch viele Unternehmen behandeln IAM weiterhin als IT-Administrationsthema statt als Security-Strategie.

Die drei häufigsten IAM-Fehler

1. MFA nur für VPN: Viele Unternehmen haben MFA für den VPN-Zugang eingeführt, aber nicht für SaaS-Anwendungen, Cloud-Konsolen oder interne Portale. Angreifer umgehen einfach den geschützten Kanal.

2. Kein Lifecycle Management: Accounts von ehemaligen Mitarbeitern, verwaiste Service-Accounts und überprivilegierte Test-User sind die Low-Hanging Fruits jedes Angreifers.

3. Keine kontextbasierte Zugriffskontrolle: Statische Rollen reichen nicht. Wenn ein CFO um 3 Uhr morgens aus einem unbekannten Land auf Finanzdaten zugreift, muss das System reagieren – nicht erst der SOC-Analyst am nächsten Morgen.

Zero Trust braucht Identity als Fundament

Zero Trust ohne robustes IAM ist eine leere Architektur. Jede Zero-Trust-Implementierung beginnt mit der Frage: Kann ich die Identität des Anfragenden zuverlässig verifizieren? Ohne starke Authentifizierung, Least-Privilege-Prinzip und kontinuierliche Risikobewertung bleibt Zero Trust ein Buzzword.

Die Kombination aus modernem IAM (SCIM, OIDC), Conditional Access Policies und Behavioral Analytics bildet das Fundament einer Zero-Trust-Architektur, die tatsächlich funktioniert.

Phishing-resistente Authentifizierung: FIDO2 und Passkeys

Die nächste Evolutionsstufe ist die Eliminierung von Passwörtern. FIDO2-basierte Authentifizierung mit Hardware-Keys (YubiKey) oder Plattform-Authenticators (Windows Hello, Face ID) ist prinzipbedingt phishing-resistent: Der Private Key verlässt nie das Gerät.

Apple, Google und Microsoft haben mit Passkeys die FIDO2-Technologie massentauglich gemacht. Für Unternehmen bedeutet das: Der Weg zur passwortlosen Authentifizierung ist frei – die Technologie ist da, die Adoption muss folgen.

Key Facts

Credential-basierte Angriffe: 61 Prozent aller Breaches (Verizon DBIR 2022)

MFA-Effektivität: Reduziert Account-Kompromittierung um 99,9 Prozent (Microsoft)

Kosten pro Breach: 4,35 Mio. USD Durchschnitt – 150.000 USD weniger bei Zero-Trust-Implementierung (IBM)

Häufige Fragen

Reicht MFA allein als Schutz?

MFA ist essenziell, aber nicht ausreichend. Fortgeschrittene Angriffe wie MFA-Fatigue (Bombardierung mit Push-Notifications) und Adversary-in-the-Middle-Proxies können klassische MFA umgehen. FIDO2/Passkeys sind die widerstandsfähigere Alternative.

Was ist der Unterschied zwischen IAM und PAM?

IAM (Identity and Access Management) regelt den Zugriff aller Benutzer. PAM (Privileged Access Management) fokussiert auf hochprivilegierte Accounts – Admin-Zugänge, Service-Accounts, Root-Keys. Beide sind komplementär.

Wie starte ich mit Identity-First Security?

Drei Sofortmaßnahmen: MFA für alle Cloud-Dienste aktivieren, vierteljährliche Access Reviews einführen und alle Service-Accounts inventarisieren. Dann: Conditional Access Policies und FIDO2-Rollout planen.