Save the Date Nach 15 Jahren erweitern wir unser Angebot und werden zum 01. Oktober neben den weiterhin gelisteten SAP-Lösungen und Dienstleistern auch KI-Tools und entsprechende Dienstleister zeigen. Seien Sie gespannt!
Alle Bereiche
Sicherheit und Berechtigungen
0 Einträge
Hier finden Sie 0 Angebote und 0 Anbieter im Bereich Sicherheit und Berechtigungen. Vergleichen Sie Leistungen und fordern Sie direkt kostenfreie Angebote an.
Identity & Access Management (IAM) und verwandte Disziplinen (IDM, PAM, IGA, CIAM) verwalten digitale Identitäten und ihre Zugriffsrechte – ein zentrales Fundament moderner IT-Security. Unter dem Druck von DSGVO, NIS2, DORA, ISO 27001 und BSI IT-Grundschutz wird IAM vom Nice-to-have zur regulatorischen Pflicht.
Disziplinen im Überblick
IAM / IDaaS – Identitäten und Zugriffe (Mitarbeiter, Systeme), SSO, MFA
IGA (Identity Governance & Administration) – Rezertifizierung, Provisioning, Rollen-Management
PAM (Privileged Access Management) – Admin-/Service-Accounts mit erhöhten Rechten
CIAM (Customer Identity) – Registrierung, Login, SSO für Kunden-Portale
Zero Trust – „never trust, always verify" – kontextuelle Zugriffsprüfung pro Request
Open Source – Keycloak, Authentik, Zitadel, Ory Kratos/Hydra
Deutsche Anbieter – Nexis, Econos, tenfold, keycloak-Dienstleister
Protokolle und Standards
Moderne IAM basiert auf offenen Standards: OAuth 2.0 (Autorisierung), OpenID Connect (OIDC) auf OAuth 2.0 basierende Authentifizierung, SAML 2.0 (älterer Enterprise-SSO-Standard, in öffentlichem Sektor und DFN-AAI dominant), SCIM (System for Cross-domain Identity Management, für automatisches Provisioning). Für MFA: WebAuthn / FIDO2 (Passkey-Standard), TOTP (Authenticator-Apps), Push-Notifications.
Authentifizierung (AuthN) beantwortet: „Wer bist du?" – Identität prüfen via Passwort, Biometrie, Token, Zertifikat. Autorisierung (AuthZ) beantwortet: „Was darfst du?" – Rechte und Berechtigungen prüfen. OAuth 2.0 ist ursprünglich ein Autorisierungs-Standard; OpenID Connect ergänzt ihn um Authentifizierung. Moderne Architekturen trennen beide Entscheidungen klar: Policy Decision Point (PDP) und Policy Enforcement Point (PEP).
Zero Trust ist ein Sicherheits-Paradigma, das das klassische „Perimeter-Modell" (vertrauenswürdiges internes Netz hinter Firewall) ersetzt: Jede Zugriffsanfrage wird geprüft – unabhängig davon, woher sie kommt. Kern-Prinzipien: explizit authentifizieren, minimale Rechte (Least Privilege), Annahme eines Breaches, Kontext-basierte Entscheidungen (Device-Gesundheit, Standort, Anomalie-Score). Umsetzung: IAM + MDM + Network-Security mit Conditional Access. NIST SP 800-207 beschreibt das Modell.
Stärke-Reihenfolge: (1) FIDO2 / Passkeys / Hardware-Security-Keys (YubiKey, Titan) – phishing-resistent, höchste Sicherheit. (2) Authenticator-Apps mit TOTP (Google Authenticator, Microsoft Authenticator, Authy) – gut, aber nicht phishing-resistent. (3) Push-Notifications – bequem, aber MFA-Fatigue-Angriffe möglich. (4) SMS-OTP – nur als Übergang, SIM-Swap-Risiko, NIST rät ab. Standard 2025 ist Passkey/WebAuthn.
IGA (Identity Governance and Administration) automatisiert den Lebenszyklus digitaler Identitäten: Provisioning bei Mitarbeiter-Eintritt (Accounts erstellen, Gruppen zuordnen), Rezertifizierung (Vorgesetzte bestätigen Rechte regelmäßig), Offboarding (Alle Accounts sofort deaktivieren bei Austritt), SoD-Prüfungen (niemand darf Bestellung und Zahlung gleichzeitig freigeben). Typisch ab 500 MA sinnvoll. Marktführer: SailPoint, Saviynt, One Identity, Omada.
Keycloak (Open Source, sehr verbreitet) ist eine solide Wahl für Mittelstand und Developer-nahe Umgebungen mit internem Kompetenz-Team. Alternativen: Authentik, Zitadel, Ory. Kommerzielle Anbieter (Okta, Microsoft Entra ID, Auth0) bieten schnellere Einführung, besseren Support, größeres Konnektor-Ökosystem, Compliance-Zertifizierungen. Preis-Spanne: ab 3–10 € pro User/Monat (Entra ID P1/P2, Okta Workforce Identity) bis deutlich mehr bei Enterprise-Features.