IAM und IDM — Identity- und Access-Management mit Governance
Wer in einer regulierten Organisation Zugriff auf was hat — und warum: Das ist die Kernfrage von Identity- und Access-Management. cosoweb konzipiert und führt IAM-/IDM-Plattformen ein, die den gesamten Lebenszyklus von Identitäten und Berechtigungen steuern, nachweisbar und auditfest.
Worum es geht
In gewachsenen Organisationen sammeln sich Berechtigungen an: Mitarbeitende wechseln die Abteilung und behalten alte Rechte, Projekte enden, ohne dass Zugriffe entzogen werden, Sonderfälle werden manuell gepflegt und nie wieder angefasst. Über Jahre entsteht ein Berechtigungs-Wildwuchs, den niemand mehr vollständig überblickt — ein operatives Risiko und ein Compliance-Problem zugleich.
IAM und IDM setzen genau hier an: Sie machen aus dem unkontrollierten Wachstum einen gesteuerten Prozess. Identitäten und ihre Berechtigungen werden über ihren gesamten Lebenszyklus hinweg geregelt — vom Eintritt über jeden Wechsel bis zum Austritt — und jede Vergabe ist nachvollziehbar begründet.
Schwerpunkte
User-Lifecycle (Joiner – Mover – Leaver)
Der Lebenszyklus einer Identität wird automatisiert: Beim Eintritt erhält eine Person genau die Berechtigungen ihrer Rolle, bei einem Wechsel werden alte Rechte entzogen und neue vergeben, beim Austritt werden alle Zugriffe zuverlässig deaktiviert. Führendes Quellsystem ist in der Regel das HR-System — Bewegungen dort lösen die Provisionierung in den angebundenen Zielsystemen aus.
Rollenmodelle (RBAC)
Statt Berechtigungen einzeln zu vergeben, werden sie über Rollen gebündelt, die sich an Funktionen und Organisationsstruktur orientieren. Ein tragfähiges Rollenmodell ist die Grundlage jeder IAM-Einführung — es reduziert Komplexität, macht Vergaben nachvollziehbar und ist Voraussetzung für Automatisierung. Der Aufbau ist Detailarbeit und braucht enge Abstimmung mit den Fachbereichen.
Berechtigungs-Governance und Rezertifizierung
Vergebene Rechte werden regelmäßig überprüft: In Rezertifizierungs-Kampagnen bestätigen Verantwortliche, dass bestehende Zugriffe noch berechtigt sind. Funktionstrennung (Segregation of Duties) verhindert kritische Rechtekombinationen, das Least-Privilege-Prinzip sorgt dafür, dass niemand mehr Rechte hat als nötig.
Anbindung von Quell- und Zielsystemen
Eine IAM-Plattform lebt von ihren Anbindungen: das HR-System als Quelle, Active Directory und Entra ID, Fachanwendungen, E-Mail und SaaS-Dienste als Ziele. cosoweb konzipiert die Konnektoren und Provisionierungs-Prozesse so, dass sie verlässlich und wartbar bleiben.
Regulatorik als Tagesgeschäft
In Banking, Versicherung und regulierter Industrie ist IAM kein optionales Effizienz-Projekt, sondern Pflicht. BAIT und MaRisk im Bankenumfeld, BSI-Grundschutz und ISO 27001 stellen konkrete Anforderungen an Zugriffssteuerung, Funktionstrennung, Rezertifizierung und Nachweisbarkeit. Wer in diesen Branchen berät, muss diese Frameworks nicht erst nachlesen, sondern in jeder Architektur-Entscheidung mitdenken — genau das ist bei cosoweb der Fall. Das Ergebnis ist eine Lösung, die nicht nur funktioniert, sondern auch der Auditverteidigung standhält.
Methodisches Vorgehen
Erstgespräch und Vorprojekt. Das kostenfreie Erstgespräch klärt die Ausgangslage. Im anschließenden, kostenpflichtigen Vorprojekt entstehen Ist-Analyse, ein erstes Rollen- und Berechtigungsbild sowie ein Sondierungs-Dokument als Grundlage des Hauptmandats.
Architektur und Rollenmodell. Auf dieser Basis werden Zielarchitektur, Rollenmodell und Prozesse entworfen — eng mit den Fachbereichen abgestimmt, denn ein Rollenmodell gegen die Organisation funktioniert nicht.
Einführung. Schrittweise Anbindung der Systeme, Aufbau der Provisionierung, Einführung der Rezertifizierung — risikoarm und in beherrschbaren Etappen.
Betrieb. IAM ist eine Daueraufgabe. Mandate laufen ab sechs Monaten, häufig mit Verlängerung in mehrjährige Begleitung — von der Architektur-Pflege bis zur Unterstützung bei Audits.
Für wen das relevant ist
IAM-/IDM-Mandate bei cosoweb passen, wenn mehrere Punkte zutreffen:
- Sie arbeiten in einer regulierten Branche mit Nachweis- und Funktionstrennungs-Pflichten
- Gewachsene Berechtigungen sind unübersichtlich geworden und sollen bereinigt und gesteuert werden
- Eine IAM-/IDM-Plattform soll eingeführt oder eine bestehende sauber nachjustiert werden
- Der User-Lifecycle (Eintritt, Wechsel, Austritt) soll automatisiert und auditfest werden
- Sie suchen Senior-Erfahrung, keine reine Werkzeug-Konfiguration
cosoweb passt weniger, wenn lediglich eine Standard-Software ohne organisatorische Verankerung „installiert“ werden soll — IAM ist zu 80 Prozent Organisations- und nur zu 20 Prozent Technik-Arbeit.
Häufige Fragen
Was ist der Unterschied zwischen IAM und IDM?
Die Begriffe werden oft synonym verwendet. IDM (Identity Management) betont die Verwaltung der Identitäten und ihres Lebenszyklus, IAM (Identity and Access Management) schließt die Zugriffssteuerung — also welche Identität auf welche Ressource zugreifen darf — ausdrücklich mit ein. In der Praxis gehören beide zusammen.
Arbeitet cosoweb mit einer bestimmten IAM-Plattform?
Wir arbeiten produktoffen. Gewählt wird die Plattform, die zur Anforderung, zur Systemlandschaft und zur regulatorischen Lage passt — nicht ein Produkt aus einem festen Portfolio. Die Architektur- und Prozessarbeit ist ohnehin plattformübergreifend.
Wie lange dauert eine IAM-Einführung?
Realistisch sind 12 bis 24 Monate von der ersten Architektur-Skizze bis zum stabilen Produktivbetrieb — abhängig von Quellsystem-Landschaft, Berechtigungs-Komplexität und Organisationsreife. Wer eine vollständige IAM-Einführung „in einem halben Jahr“ verspricht, hat den regulatorischen und organisatorischen Anteil meist nicht im Blick.
Was ist Rezertifizierung und warum ist sie wichtig?
Bei der Rezertifizierung bestätigen verantwortliche Personen in regelmäßigen Abständen, dass bestehende Berechtigungen noch erforderlich sind. Sie ist ein zentrales Kontrollinstrument: Sie verhindert, dass sich über die Zeit erneut ungenutzte oder unberechtigte Zugriffe ansammeln, und ist in regulierten Branchen vorgeschrieben.
Können wir mit einem Teilbereich starten?
Ja, und das ist meist der sinnvollste Weg. Eine IAM-Einführung wird in beherrschbaren Etappen umgesetzt — etwa zunächst der automatisierte User-Lifecycle für die wichtigsten Systeme, später Rollenmodell und Rezertifizierung. So bleibt das Risiko überschaubar und es entsteht früh sichtbarer Nutzen.
Bereit für ein Erstgespräch?
Schildern Sie kurz Ihre Ausgangslage — Systemlandschaft, regulatorischer Rahmen, Ziel. Sie erhalten in der Regel innerhalb von zwei Werktagen eine erste Einschätzung.
Kontakt aufnehmen Projektunterstützung ansehen Direkt schreiben
