Identity & Access Management – So verwalten KMU ihre Zugänge sicher

Inhalt in Kürze

• Identity & Access Management (IAM) regelt, wer auf welche Systeme und Daten zugreifen darf -- und ist für KMU keine Kür, sondern Pflicht nach Art. 32 DSGVO.
• 80 % der erfolgreichen Cyberangriffe nutzen gestohlene oder kompromittierte Zugangsdaten. Berechtigungsmanagement ist die wirksamste Gegenmaßnahme.
• Ein IAM-Konzept muss nicht teuer sein. Mit klaren Rollen, dem Least-Privilege-Prinzip und regelmäßigen Rezertifizierungen schaffen auch kleine Unternehmen solide Strukturen.
• Dokumentation ist Pflicht. Ohne nachweisbares Berechtigungskonzept drohen bei einer Prüfung durch die Aufsichtsbehörde empfindliche Konsequenzen.

Ein Mitarbeiter verlässt das Unternehmen. Sein Active-Directory-Konto bleibt aktiv. Seine Zugriffsrechte auf Kundendaten, ERP-System und Cloud-Speicher bestehen weiter. Wochen später nutzt jemand diesen Zugang.

Kein Einzelfall. Laut BSI-Lagebericht 2025 richten sich rund 80 % der registrierten Angriffe gegen den Mittelstand. Gestohlene oder verwaiste Zugangsdaten sind dabei einer der häufigsten Angriffsvektoren.

Identity & Access Management -- kurz IAM -- ist die systematische Antwort auf dieses Problem. Es regelt, wer in Ihrem Unternehmen auf welche Ressourcen zugreifen darf, wie Berechtigungen vergeben und entzogen werden und wie Sie das Ganze nachweisen können.

Was ist Identity & Access Management?

IAM umfasst alle Prozesse und Technologien, mit denen Sie digitale Identitäten und deren Zugriffsrechte verwalten. Im Kern geht es um vier Fragen:

1. Wer ist der Nutzer? (Identitätsverwaltung)
2. Wie weist er sich aus? (Authentifizierung -- Passwort, MFA, Biometrie)
3. Worauf darf er zugreifen? (Autorisierung und Rollenkonzept)
4. Ist das noch aktuell? (Rezertifizierung und Offboarding)

Für KMU bedeutet das: Sie brauchen kein Millionen-Budget und keine Enterprise-Plattform. Sie brauchen klare Regeln, saubere Prozesse und eine nachvollziehbare Dokumentation.

IAM und die DSGVO: Warum Zugangskontrolle Pflicht ist

Art. 32 DSGVO verlangt "geeignete technische und organisatorische Maßnahmen" zur Sicherheit der Verarbeitung. Die Zugangskontrolle gehört zu den Kernmaßnahmen, die Aufsichtsbehörden bei Prüfungen regelmäßig abfragen.

Konkret bedeutet das:

• Zutrittskontrolle: Wer darf physisch an Systeme heran?
• Zugangskontrolle: Wer darf sich an welchen Systemen anmelden?
• Zugriffskontrolle: Wer darf welche Daten lesen, ändern oder löschen?
• Weitergabekontrolle: Wer darf Daten an wen übermitteln?

Der Hamburger Beauftragte für Datenschutz betont: Diese Maßnahmen sind nicht verhandelbar. Auch nicht auf Wunsch der betroffenen Personen.

IAM in der Praxis: So starten KMU

1. Bestandsaufnahme durchführen: Listen Sie alle Benutzerkonten, Systeme und Anwendungen auf. Identifizieren Sie verwaiste Konten, Shared Accounts und übermäßige Berechtigungen. Wir erleben bei Mandanten regelmäßig, dass Ex-Mitarbeiter noch Zugriff auf Cloud-Dienste haben.
2. Rollen definieren: Erstellen Sie ein Rollenkonzept. Welche Abteilung braucht Zugriff auf welche Systeme? Orientieren Sie sich am Least-Privilege-Prinzip: Jeder bekommt nur die Rechte, die er für seine Arbeit tatsächlich braucht.
3. Authentifizierung stärken: Führen Sie Zwei-Faktor-Authentifizierung für alle geschäftskritischen Systeme ein. Passwörter allein reichen nicht mehr.
4. Onboarding und Offboarding regeln: Definieren Sie klare Prozesse: Was passiert, wenn ein Mitarbeiter anfängt? Was, wenn er geht? Wer entzieht die Rechte, und wann? Am besten am letzten Arbeitstag -- nicht zwei Wochen später.
5. Regelmäßig rezertifizieren: Prüfen Sie mindestens halbjährlich, ob alle Berechtigungen noch aktuell sind. Führungskräfte sollten die Zugriffsrechte ihrer Teams aktiv bestätigen.
6. Dokumentieren: Halten Sie alles schriftlich fest: Rollenkonzept, Berechtigungsmatrix, Änderungshistorie. Diese Dokumentation brauchen Sie für Audits, Aufsichtsbehörden und Ihre eigene Übersicht.

Aus der Praxis

Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern -- die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz.

Nils OehmichenDatenschutzberater bei frag.hugo

Genau das gilt auch beim Berechtigungsmanagement. Ein Dienstleister mit 15 Mitarbeitern, der für einen Konzern arbeitet, muss nachweisen können, dass nur befugte Personen auf Kundendaten zugreifen. Ohne IAM-Konzept kein Auftrag.

IAM-Lösungen im Vergleich: Was passt zu KMU?

Für die meisten KMU reicht ein sauberes Berechtigungskonzept in Kombination mit den Bordmitteln Ihrer bestehenden IT-Landschaft. Die Technik ist selten das Problem -- es sind die fehlenden Prozesse.

Privileged Access Management: Adminrechte besonders schützen

Ein Sonderfall im IAM ist das Privileged Access Management (PAM). Administratoren, IT-Leiter und Geschäftsführer haben oft weitreichende Zugriffsrechte. Wenn diese Konten kompromittiert werden, ist der Schaden besonders groß.

Laut Bitkom-Studie Wirtschaftsschutz 2025 entstehen der deutschen Wirtschaft jährlich über 200 Milliarden Euro Schaden durch Cyberangriffe -- ein erheblicher Teil davon durch kompromittierte privilegierte Zugänge.

• Separate Admin-Konten nutzen. Administratoren sollten für Alltagsaufgaben ein normales Konto verwenden und nur bei Bedarf das Admin-Konto einsetzen.
• Session-Logging aktivieren. Privilegierte Sitzungen sollten protokolliert werden -- für Nachvollziehbarkeit und forensische Analyse.
• Passwort-Rotation einführen. Admin-Passwörter sollten regelmäßig geändert werden, idealerweise automatisiert.
• Notfallzugang definieren. Was passiert, wenn der einzige Admin ausfällt? Break-Glass-Prozeduren verhindern Ausfälle.

Häufige Fragen (FAQ)

Was ist Identity & Access Management (IAM)?

IAM ist ein Rahmenwerk aus Prozessen und Technologien, das regelt, wer in einem Unternehmen auf welche Systeme, Daten und Anwendungen zugreifen darf. Es umfasst Benutzerkonten, Rollen, Berechtigungen und Authentifizierungsverfahren.

Warum brauchen KMU ein Berechtigungsmanagement?

Ohne strukturiertes Berechtigungsmanagement entstehen verwaiste Konten, übermäßige Zugriffsrechte und fehlende Nachvollziehbarkeit. Das verstößt gegen Art. 32 DSGVO und erhöht das Risiko von Datenpannen und Insider-Bedrohungen.

Welche DSGVO-Anforderungen betreffen das Zugriffsmanagement?

Art. 32 DSGVO verlangt technische und organisatorische Maßnahmen zur Sicherheit der Verarbeitung. Dazu gehören Zugangskontrolle, Zutrittskontrolle und ein Berechtigungskonzept nach dem Least-Privilege-Prinzip.

Was kostet die Einführung eines IAM-Systems für ein KMU?

Für KMU mit 20 bis 200 Mitarbeitern liegen die Kosten für ein cloudbasiertes IAM-System zwischen 3 und 8 Euro pro Nutzer und Monat. Hinzu kommen einmalige Einrichtungskosten für Konfiguration und Schulung.

Wie starte ich mit Identity & Access Management in meinem Unternehmen?

Beginnen Sie mit einer Bestandsaufnahme aller Benutzerkonten und Zugriffsrechte. Definieren Sie Rollen, führen Sie das Least-Privilege-Prinzip ein und dokumentieren Sie alles in einem Berechtigungskonzept. Ein externer Datenschutzbeauftragter kann Sie dabei unterstützen.