Identity & Access Management (IAM) wird in vielen Organisationen immer noch als klassisches IT-Projekt behandelt: Tool auswählen, implementieren, anbinden – fertig.
Doch genau diese Denkweise kann dazu führen, warum IAM-Initiativen langfristig nie ihren vollen Nutzen entfalten oder gar scheitern. Denn uniqkey vertritt die Perspektive, dass IAM kein reines IT-Projekt ist, sondern auch als Instrument der Unternehmenssteuerung genutzt werden sollte.
Das bisherige Grundverständnis zeigt auf, dass „die IT“ sich schon darum kümmern wird, wenn ein IAM-System gebraucht wird. Dann folgt in der Praxis die Toolauswahl, Schnittstellen werden gebaut und Workflows definiert. Dennoch bleibt meistens das zentrale Problem ungelöst: Niemand weiß wirklich, wer warum welche Berechtigung hat – und wer dafür verantwortlich ist.
IAM ist eine strategische Ausrichtung, eine Selbstverpflichtung sich in den Prozessen mit dem Thema Rechte und Rollen im Unternehmen zu leben und umzusetzen.
IAM beantwortet eine zentrale Steuerungsfrage
Jede Organisation – unabhängig von Branche oder Größe – muss eine grundlegende Frage beantworten: Wer darf was – und auf welcher Grundlage?
Diese Frage ist nicht technischen Ursprungs. Sie ist organisatorisch, regulatorisch und risikobasiert. Daraus resultiert eine enge Verknüpfung mit Risikomanagement, Compliance und interner Kontrolle. Kurz: IAM ist ein essenzielles Umsetzungs‑ und Kontrollinstrument des ISMS.
Woran IAM-Projekte scheitern können
Wenn IAM als IT-Projekt aufgesetzt wird, entstehen fast immer die gleichen Probleme:
1. Unklare Verantwortlichkeiten
-
IT verwaltet Zugriffe – aber entscheidet nicht darüber
-
Fachbereiche entscheiden implizit – aber übernehmen keine Verantwortung
2. Fehlende Rollenmodelle
-
Berechtigungen wachsen historisch („gewachsen statt gestaltet“)
-
Keine klare Struktur, keine Transparenz
3. Keine definierten Prozesse
-
Joiner/Mover/Leaver-Prozesse sind inkonsistent
-
Rezertifizierungen werden als lästige Pflicht gesehen
4. Politische Widerstände
-
Niemand gibt gern Berechtigungen ab
-
Transparenz wird als Risiko empfunden
Es entsteht im Ergebnis ein System, das technisch funktioniert, aber organisatorisch werden definierte Prozesse umgangen oder existieren nicht. Daher bedeutet IAM auch Change Management.
Ein funktionierendes IAM verändert mehr als nur Systeme. Es verändert:
-
Verantwortlichkeiten
-
Entscheidungsstrukturen
-
Machtverhältnisse
Plötzlich müssen Fachbereiche:
-
Berechtigungen aktiv verantworten
-
Entscheidungen dokumentieren
-
regelmäßig überprüfen
Das ist kein IT-Change. Das ist ein organisatorischer Wandel.
Ohne klares Stakeholder-Management, Kommunikation, Schulung und kulturelle Verankerung kann IAM immer auf Widerstand stoßen.
Ein konkretes Beispiel für diesen Ansatz ist die letzte Ablösung von SAP IDM bei einer Versicherung nach der Transition aus einer gemeinsamen IT-Providergesellschaft. In diesem Kontext wurde das IdentityGovernance & Administration (IGA) Zielbild nicht als technisches Folgeprojekt verstanden, sondern als Teil einer organisatorischen Neuausrichtung. uniqkey hat gemeinsam mit der BARMER zunächst die Verantwortlichkeiten und Governance-Strukturen über Organisationsbereiche hinweg neu abgestimmt und klar definiert. Erst auf dieser Grundlage wurden Anforderungen formuliert und die neue IGA-Lösung schrittweise umgesetzt. Durch das frühzeitig geklärte Zielbild konnte die Transformation in klar abgegrenzte, gut steuerbare Teilschritte gegliedert werden. Das Ergebnis war nicht nur die erfolgreiche Ablösung von SAP IDM, sondern ein IAM-Ansatz, der fachliche Verantwortung, Transparenz und Steuerbarkeit nachhaltig verankert.
Die Rolle der IT: Enabler statt Owner
Bei IAM-Initiativen wird die Verantwortung häufig vollständig der IT zugeordnet. Schließlich betreibt sie die Systeme, verwaltet Accounts und implementiert technische Kontrollen. Daraus entsteht schnell die Erwartung, dass die IT auch über Berechtigungen entscheidet.
Genau hier liegt jedoch das strukturelle Problem.
Die IT kann Zugriffe technisch bereitstellen, automatisieren und kontrollieren – sie kann jedoch nicht beurteilen, welche Berechtigungen fachlich notwendig sind. Diese Entscheidungen entstehen in den Fachbereichen, bei Applikationsverantwortlichen oder Datenverantwortlichen.
Ein funktionierendes IAM trennt deshalb klar zwischen Plattformverantwortung und fachlicher Verantwortung.
Die IT verantwortet die Plattform
-
Betrieb der IAM-Lösung
-
Integration von Anwendungen
-
technische Durchsetzung von Richtlinien
-
Automatisierung von Prozessen
Die Fachbereiche verantworten die Inhalte
-
Entscheidung über Berechtigungen
-
Definition und Pflege von Rollen
-
regelmäßige Überprüfung von Zugriffen
-
fachliche Bewertung von Risiken
IAM wird damit zu einem Zusammenspiel aus Governance, Prozessen und Technologie. Erst wenn diese drei Ebenen zusammenkommen, entsteht ein System, das nicht nur technisch funktioniert, sondern organisatorisch steuerbar ist.
Das Praxisbeispiel der BARMER zeigt genau diesen Ansatz: Erst nachdem Verantwortlichkeiten und Governance-Strukturen organisationsübergreifend geklärt waren, konnte die technische Umsetzung effizient erfolgen.
Prozesse vor Technologie
Viele IAM-Initiativen beginnen mit der Frage nach der passenden Technologie. Anbieter werden verglichen, Funktionen bewertet und Roadmaps erstellt. Doch wenn grundlegende Prozesse nicht definiert sind, kann selbst die beste Lösung ihr Potenzial nicht entfalten.
IAM automatisiert im Kern organisatorische Abläufe rund um Zugriffsrechte. Dazu gehören beispielsweise:
-
Joiner-Prozesse: Wie erhält ein neuer Mitarbeiter Zugriff auf die benötigten Systeme?
-
Mover-Prozesse: Was passiert mit Berechtigungen bei Rollen- oder Abteilungswechseln?
-
Leaver-Prozesse: Wie werden Zugänge bei Austritten zuverlässig entfernt?
-
Rezertifizierungen: Wer überprüft regelmäßig, ob bestehende Berechtigungen noch notwendig sind?
Wenn diese Abläufe nicht klar definiert sind, wird ein IAM-System lediglich bestehende Ineffizienzen digital abbilden.
Ein zentraler Grundsatz lautet daher: Automatisiert wird nur, was zuvor organisatorisch verstanden und entschieden wurde. Technologie ist dabei ein wichtiger Enabler – aber sie ersetzt keine Governance.
Typische Anti-Patterns und Erfolgsfaktoren für IAM als Steuerungsinstrument
Viele Organisationen machen ähnliche Erfahrungen, wenn sie IAM einführen. Bestimmte Muster tauchen immer wieder auf und können den langfristigen Erfolg erheblich beeinträchtigen. Ein typisches Anti-Pattern besteht, wie zuvor geschildert, darin, zunächst ausschließlich die Technologie auszuwählen und organisatorische Fragen später klären zu wollen. In der Praxis führt dies häufig dazu, dass Rollenmodelle, Verantwortlichkeiten oder Prozesse erst während der Implementierung definiert werden – oder gar nicht.
Ein weiteres häufiges Problem ist die fehlende Einbindung der Fachbereiche. Wenn IAM ausschließlich als IT-Initiative wahrgenommen wird, bleibt die Verantwortung für Berechtigungen unklar und notwendige Entscheidungen werden aufgeschoben.
Auch ein zu ambitionierter Ansatz kann zum Risiko werden. IAM betrifft viele Systeme, Prozesse und Organisationseinheiten gleichzeitig. Ein schrittweises Vorgehen mit klar definierten Prioritäten führt in der Praxis oft zu besseren Ergebnissen.
Organisationen, die IAM erfolgreich etablieren wollen, verfolgen daher häufig einige gemeinsame Prinzipien:
-
klare Governance-Strukturen und Verantwortlichkeiten
-
aktive Unterstützung durch das Management
-
enge Zusammenarbeit zwischen IT und Fachbereichen
-
iterative Umsetzung statt einmaliger Großprojekte
-
messbare Ziele und regelmäßige Überprüfung der Fortschritte
IAM wird so nicht als einmalige Implementierung verstanden, sondern als kontinuierlicher Steuerungsprozess. Uniqkey unterstützt hier nicht nur als erfahrener Begleiter, sondern auch als Projektsteuerung, schnittstellenübergreifender Kommunikator und beratender Helfer.
Fazit: Fünf goldene Regeln für IAM als Steuerungsinstrument
Aus zahlreichen IAM-Transformationen, die uniqkey begleitet hat, lassen sich einige grundlegende Prinzipien ableiten:
1. Governance vor Technologie
IAM beginnt nicht mit der Toolauswahl, sondern mit der Frage nach Verantwortlichkeiten, Entscheidungsstrukturen und Kontrollmechanismen.
2. Fachbereiche übernehmen Verantwortung
Die IT kann Zugriffsrechte technisch verwalten – aber nur die Fachbereiche können entscheiden, welche Berechtigungen fachlich notwendig sind.
3. Prozesse klar definieren
Joiner-, Mover- und Leaver-Prozesse sowie regelmäßige Rezertifizierungen sind zentrale Bestandteile eines funktionierenden IAM.
4. Iterativ statt Big Bang
IAM betrifft viele Systeme und Organisationseinheiten. Erfolgreiche Programme werden schrittweise aufgebaut und kontinuierlich weiterentwickelt.
5. IAM als Teil der Unternehmenssteuerung verstehen
Wenn Zugriffsrechte strukturiert gesteuert werden, verbessert sich nicht nur die Sicherheit, sondern auch Transparenz, Auditfähigkeit und organisatorische Effizienz.
Diese Punkte zeigen auf, dass IAM kein Projekt mit einem klaren Enddatum. Es ist ein dauerhaftes Steuerungsinstrument für digitale Zugriffsrechte und damit ein zentraler Bestandteil moderner Unternehmensführung. Organisationen, die IAM ausschließlich als IT-Thema betrachten, laufen Gefahr, lediglich technische Lösungen einzuführen, ohne die zugrunde liegenden Governance-Fragen zu klären. Eine hilfreiche Ausgangsfrage kann daher sein: Wenn heute ein Audit stattfinden würde – könnten wir transparent erklären, wer Zugriff auf unsere kritischen Systeme hat und warum?
Wenn diese Frage nicht eindeutig beantwortet werden kann, lohnt sich ein genauer Blick auf die bestehenden Prozesse, Verantwortlichkeiten und Steuerungsmechanismen rund um Zugriffsrechte. Die uniqkey ist darauf spezialisiert bei dieser Antwortfindung zu unterstützen.
Viele Organisationen erkennen erst im Laufe eines IAM-Projekts, dass die eigentlichen Herausforderungen weniger technischer Natur sind – sondern in Governance, Verantwortlichkeiten und organisatorischer Abstimmung liegen. Genau an dieser Stelle setzt uniqkey an.
Als erfahrener Partner unterstützt uniqkey Unternehmen unter anderem dabei,
-
Governance-Strukturen für IAM aufzubauen
-
Verantwortlichkeiten zwischen IT und Fachbereichen klar zu definieren
-
IAM-Transformationen organisatorisch und technisch zu steuern
-
komplexe Programme in überschaubare, steuerbare Schritte zu gliedern
So wird IAM nicht nur implementiert, sondern als nachhaltiges Steuerungsinstrument für digitale Zugriffsrechte etabliert.
Wer sich fragt, wie der eigene IAM-Reifegrad aussieht oder welche organisatorischen Voraussetzungen für eine erfolgreiche Umsetzung notwendig sind, kann genau hier ansetzen. Für unverbindliche Anfragen steht folgende E-Mail zur Verfügung: info@uniqkey.de