finger scan
Photo by panumas nikhomkhai on Pexels.com
Posted inIT IT Audit / Compliance / Security

IAM ist kein Luxus mehr: Warum NIS-2 Identity und Access Management unverzichtbar macht

Die digitale Landschaft ist einem konstanten Wandel unterworfen, und mit ihr wachsen auch die Bedrohungen durch Cyberangriffe stetig an. Um dem entgegenzuwirken, hat die Europäische Union die Network-and-Information-Security-Richtlinie 2.0 (NIS-2) erlassen, mit dem klaren Ziel, das Sicherheitsniveau in allen Mitgliedstaaten zu erhöhen. Im Zentrum dieser Bemühungen steht ein Bereich, der oft unterschätzt, aber für die Informationssicherheit absolut fundamental ist: das Identity and Access Management (IAM).

NIS-2: Eine verschärfte Realität für Unternehmen

Die NIS-2-Richtlinie wird voraussichtlich im März 2025 in nationales Recht umgesetzt und bindend für zahlreiche Organisationen. Im Vergleich zur bisherigen KRITIS-Regulierung wird die Zahl der betroffenen Unternehmen in Deutschland massiv ansteigen – von geschätzten 30.000 auf ein Vielfaches mehr.

Wer ist betroffen? Grundsätzlich fallen Unternehmen unter NIS-2, die:

  • Mehr als 50 Mitarbeiter haben.
  • Einen Jahresumsatz oder eine Bilanzsumme von über 10 Millionen Euro aufweisen.
  • Zu einem der 18 in der Richtlinie genannten Sektoren gehören, welche als kritisch eingestuft werden (z.B. Energie, Transport, Bankwesen, Gesundheit, digitale Infrastrukturen, öffentliche Verwaltung, IT & TK). Es gibt Ausnahmen und Besonderheiten, zum Beispiel fallen Finanzinstitute unter den Digital Operational Resilience Act (DORA) statt NIS-2, um eine Doppelregulierung zu vermeiden.

Warum IAM der Schlüssel zur NIS-2-Compliance ist

Der Gesetzentwurf des NIS-2-Umsetzungsgesetzes (§ 30 Abs. 1 und 2) verpflichtet Unternehmen zur Ergreifung „geeigneter, verhältnismäßiger und wirksamer technischer und organisatorischer Maßnahmen“ im Bereich der Informationssicherheit. IAM spielt hierbei eine zentrale Rolle und ist explizit oder implizit in mehreren dieser geforderten Maßnahmen verankert:

  • Risikoanalyse und IT-Sicherheitskonzepte: Eine entsprechende IAM-Governance ist unerlässlich, um ein risikoorientiertes Vorgehen bei der Umsetzung IAM-spezifischer Maßnahmen zu gewährleisten [245 (1.), 247].
  • Sicherheit der Lieferkette: IAM-Vorgaben müssen in Dienstleisterverträgen verankert und deren Einhaltung auditiert werden. Gegebenenfalls ist die Integration von ausgelagerten Systemen in das eigene IAM notwendig, um Steuerung und Überwachung sicherzustellen [245 (4.), 247].
  • Cyberhygiene und Schulungen: Klare Prozesse und Zugriffsmechanismen sind zu etablieren, um die IT-Sicherheit dauerhaft zu stärken. Dazu gehören auch Awareness-Schulungen zu IAM-Themen [245 (7.), 248].
  • Konzepte für die Zugriffskontrolle und das Management von Anlagen: Hierzu zählen geregelte Joiner-, Mover- und Leaver-Prozesse, Rollen- und Berechtigungskonzepte. Grundprinzipien des IAM wie Need-to-know, Least Privilege und Segregation of Duties (SoD) müssen eingehalten werden [245 (9.), 248].
  • Multi-Faktor-Authentifizierung (MFA) oder kontinuierliche Authentifizierung: Der Einsatz solcher Lösungen ist bei der Festlegung von Authentifizierungsverfahren mitzudenken und umzusetzen, um einen sicheren Zugriff auf Unternehmensanwendungen und Daten zu gewährleisten [245 (10.), 249].

Es wird deutlich: IAM ist von Beginn an integraler Bestandteil der NIS-2-Umsetzung.

Die Kernkomponenten eines robusten IAM

Ein effektives IAM-System trägt wesentlich dazu bei, die Verwaltung von Identitäten, Accounts und deren Berechtigungen zu vereinheitlichen und zu automatisieren, wodurch manuelle Prozesse reduziert werden. Die wichtigsten Komponenten sind:

  1. Authentifizierung: Dieser Prozess überprüft die Identität einer Person, die sich als bestimmter Benutzer ausgibt. Die Wahl der Authentifizierungsmethode ist entscheidend, insbesondere bei der Implementierung von MFA. Man unterscheidet dabei drei Kategorien von Authentifizierungsfaktoren:
    • Wissen (z.B. PIN, Passwort)
    • Besitz (z.B. Zertifikate, Smartcard)
    • Eigenes Subjekt (biometrische Nachweise) Die Sicherheit eines Faktors hängt stark von der Implementierung ab, z.B. bei der Passwortkomplexität. Eine Risikobewertung im Vorfeld ist notwendig, um die eingesetzten Methoden an den Schutzbedarf der Informationswerte anzupassen.
  2. Autorisierung: Sie legt fest, auf welche Objekte oder Ressourcen eine Identität zugreifen darf, und verhindert unbefugten Zugriff. Ein häufiges Problem ist, dass Mitarbeiter mehr Berechtigungen haben, als sie tatsächlich benötigen. Dies kann durch die Nutzung von Referenz-Usern bei Joiner-Prozessen oder das Beibehalten alter Rechte nach Abteilungswechseln entstehen. Um dies zu vermeiden, sind geeignete Berechtigungskonzepte wie die rollenbasierte (RBAC) oder die attributbasierte (ABAC) Berechtigungsvergabe essenziell.
  3. Funktionstrennung (Segregation of Duties – SoD): Dieses Prinzip besagt, dass eine Identität nicht gleichzeitig zwei inkompatible Rollen in einem Prozess ausüben darf (z.B. Entwickler ohne Rechte für die produktive Umgebung). SoD-Konzepte bilden die Basis für RBAC- und ABAC-Implementierungen, da sie toxische Rechtekombinationen verhindern. Die Analyse von Unternehmensprozessen, IT-Systemen und Compliance-Vorgaben ist hierfür notwendig. SoD-Konflikte sollten in Matrizen dargestellt und durch IAM-Tools überwacht werden.
  4. Privileged Access Management (PAM): Privilegierte Berechtigungen sind ein bevorzugtes Ziel von Cyberangriffen. PAM schützt diese weitreichenden Rechte durch Maßnahmen wie:
    • Just-in-time-Zugriff: Temporäre Zuweisung von Rechten.
    • Passwortmanagement: Sichere Speicherung und Rotation von Passwörtern.
    • Session Monitoring: Aufzeichnung und Überwachung aller Aktivitäten privilegierter Accounts.
    • Multi-Faktor-Authentifizierung (MFA): Erhöhung der Zugriffssicherheit. Eine klare, unternehmensweite Definition privilegierter Accounts und Rechte ist hierfür entscheidend.
  5. Rezertifizierung: Dieser Prozess stellt sicher, dass die Prinzipien von Need-to-know, Least Privilege und SoD kontinuierlich eingehalten werden. Es gibt verschiedene Arten der Rezertifizierung:
    • Benutzer-Rezertifizierung: Überprüfung der Zugehörigkeit des Mitarbeiters zum Unternehmen/zur Abteilung.
    • Rechte-Rezertifizierung: Überprüfung, ob nur benötigte Rechte vorhanden sind, und Entzug überflüssiger Rechte.
    • Rollen-Rezertifizierung: Überprüfung der Angemessenheit von Rollen und Rechten. Typischerweise erfolgt die Rezertifizierung jährlich für Standard-Accounts und mindestens halbjährlich für privilegierte Rechte, wie es beispielsweise für Finanzinstitute durch die BAIT vorgegeben ist. Ab einer bestimmten Unternehmensgröße ist Tool-Unterstützung für Konsistenz und Nachweisbarkeit unabdingbar.

Ausblick: IAM als Fundament der zukünftigen Cybersicherheit

Die NIS-2-Richtlinie wird Unternehmen nicht nur dazu verpflichten, IAM systematisch und toolgestützt zu etablieren, sondern es auch zukunftssicher zu gestalten. Dies beinhaltet die Ermöglichung neuer Zugriffsansätze wie Zero-Trust, die Vorantreibung der Automatisierung von IAM-Prozessen und die Entwicklung adaptiver IAM-Systeme, die Verhaltensanalysen und Künstliche Intelligenz nutzen, um verdächtiges Verhalten in Echtzeit zu erkennen. Die Interoperabilität von IAM-Systemen wird im Outsourcing und bei Partnerkooperationen immer wichtiger, ebenso wie das Management von Cloud- und Hybrid-Umgebungen.

Insgesamt wird IAM durch NIS-2 nicht nur in der Breite der Unternehmen an Bedeutung gewinnen, sondern auch hinsichtlich aktueller und zukünftiger Entwicklungen entscheidend sein, um Organisationen effektiv vor Cyberbedrohungen zu schützen.