KRITIS-Compliance mit Identity & Access Management sicherstellen

KRITIS-Compliance – allein dieses Wort sorgt in vielen IT-Abteilungen kritischer Infrastrukturen für erhöhte Aufmerksamkeit. Seit dem IT-Sicherheitsgesetz 2.0 stehen Betreiber kritischer Infrastrukturen (KRITIS) in Deutschland unter strengeren Auflagen als je zuvor. Identity and Access Management (IAM) spielt dabei eine Schlüsselrolle: Ohne ein starkes IAM können KRITIS-Betreiber die Anforderungen des BSI kaum erfüllen. Warum? Man kann sich IAM im KRITIS-Umfeld vorstellen, wie die Sicherheitskontrolle am Flughafen – wenn eine Kontrollstelle ausfällt oder lückenhaft arbeitet, gerät das gesamte System in Gefahr. Im Folgenden werden Sie erfahren, was KRITIS-Compliance bedeutet, vor welchen Herausforderungen klassisches Identity Management in kritischen Infrastrukturen steht und wie moderne IAM-Strategien (z. B. One Identity Manager oder SailPoint) als strategische Enabler für Sicherheit und Compliance dienen. Unsere IAM Compliance Checkliste zeigt Ihnen abschließend praxisbewährte Maßnahmen, um Ihr Unternehmen KRITIS-konform aufzustellen.

Was bedeutet KRITIS?

KRITIS steht für kritische Infrastrukturen – also Organisationen und Anlagen, deren Ausfall drastische Auswirkungen auf Gesellschaft, Wirtschaft und Staat hätte. In Deutschland sind diese Sektoren in der BSI-Kritisverordnung (KritisV) genau definiert, z. B. Energie, Wasser, Gesundheit, IT und Telekommunikation, Finanzen. Durch das IT-Sicherheitsgesetz 2.0 wurden die Pflichten für KRITIS-Betreiber weiter verschärft. So sind Unternehmen, die per Definition als kritisch gelten, verpflichtet, ihre IT-Systeme nach dem aktuellen „Stand der Technik“ abzusichern. Dieser Stand der Technik wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) mitdefiniert und fortgeschrieben.

Konkret schreibt §8a BSIG vor, dass KRITIS-Betreiber angemessene organisatorische und technische Sicherheitsmaßnahmen einführen und mindestens alle zwei Jahre in einem Audit nachweisen, dass diese Maßnahmen dem Stand der Technik entsprechen. Zudem müssen erhebliche IT-Störungen sowie Cyberangriffe unverzüglich an das BSI gemeldet werden. Ein zentrales Kontaktperson-Prinzip stellt sicher, dass jedes KRITIS-Unternehmen einen verantwortlichen Ansprechpartner für das BSI benannt hat. Neuere Gesetze wie das IT-Sicherheitsgesetz 2.0 erweitern den Geltungsbereich sogar auf sogenannte „Unternehmen im besonderen öffentlichen Interesse“, die ebenfalls strenge Nachweispflichten haben.

KRITIS-Compliance bedeutet also: Alle diese Vorgaben zuverlässig erfüllen – von technischen Mindeststandards über Reporting bis hin zu Audits. Die Nichteinhaltung kann drastische Folgen haben. Verstöße gegen IT-Sicherheitspflichten werden mit erheblichen Bußgeldern sanktioniert (in schweren Fällen bis 20 Millionen Euro oder 4 % des weltweiten Umsatzes). Für KRITIS-Betreiber gibt es daher keinen Spielraum: Sicherheit muss Chefsache sein, und Identity & Access Management ist dabei ein zentraler Baustein.

IAM im KRITIS-Umfeld: Herausforderungen und typische Lücken

Ein IAM für kritische Infrastrukturen zu etablieren ist komplex – vergleichbar mit dem Aufbau eines lückenlosen Schichtsystems. Typische IAM-Lücken in KRITIS-Audits zeigen immer wieder ähnliche Schwachstellen auf:

Fehlende Multi-Faktor-Authentifizierung (MFA): Gerade bei privilegierten Admin-Konten oder Remote-Zugriffen fehlt oft eine starke Authentifizierung. Angreifer nutzen diese Lücke gezielt aus, um sich mit gestohlenen Passwörtern Zugang zu kritischen Systemen zu verschaffen. “State-of-the-Art“ impliziert heute MFA; wer darauf verzichtet, riskiert sowohl Sicherheit als auch Compliance-Verstöße.
Unkontrollierte Zugriffe auf Admin-Accounts: Viele KRITIS-Organisationen kämpfen mit der Verwaltung von privilegierten Accounts. Geteilte Admin-Logins, übermäßige Berechtigungen und fehlendes Privileged Access Management (PAM) führen zu einem hohen Risiko. Ohne Kontrolle darüber, wann und durch wen auf sicherheitskritische Systeme zugegriffen wird, sind KRITIS-Audits kaum zu bestehen. Das BSI nennt in seinen Vorgaben explizit fehlende Rollen- oder Funktionstrennungen als Risikofaktor – ein klarer Hinweis, dass unzureichend geregelte Berechtigungen ein No-Go sind.
Lücken im User Lifecycle (On/Offboarding): Ein Klassiker: Mitarbeiter wechseln die Abteilung oder verlassen das Unternehmen, doch Zugriffsrechte werden nicht zeitnah angepasst oder entzogen. Solche verwaisten Accounts und Rechte führen zu ungewollten Zugangsmöglichkeiten. Ein Mitarbeiter mit überhöhten oder nicht mehr benötigten Berechtigungen ist ein Sicherheitsrisiko und verstößt gegen Compliance-Vorgaben. In kritischen Umgebungen können derartige Versäumnisse schwer wiegen, etwa wenn Externe oder ehemalige Mitarbeiter noch aktive Accounts besitzen.
Mangelndes Logging & Monitoring: Ohne lückenhafte Protokollierung und Überwachung von Zugriffen bleibt es oft unbemerkt, wenn Unbefugte sich Zugang verschaffen oder interne Benutzer missbräuchlich auf Systeme zugreifen. KRITIS fordert eine nachvollziehbare Berechtigungsvergabe und -kontrolle. In Audits wird geprüft, ob Access Logs vorhanden sind und regelmäßig ausgewertet werden. Fehlendes IAM-gestütztes Reporting erschwert den KRITIS-Audit enorm, da Nachweise ad-hoc oft nicht erbracht werden können.

Silo-Systeme & manuelle Prozesse: In der Praxis existieren oft getrennte Insellösungen – ein Verzeichnis für die IT, lokale Benutzerlisten für OT (Operational Technology), vielleicht noch Excel-Listen für temporäre Zugänge. Diese schlecht sichtbaren Silos führen zu Inkonsistenzen und Blindspots. Zudem erzeugen manuelle Freigabeprozesse (per E-Mail oder Papier) Fehler und Verzögerungen. Gartner schätzte, dass bis 2022 rund 95 % aller Sicherheitsvorfälle primär auf menschliches Versagen oder Benutzerfehler zurückgehen⁸. Komplexe, manuelle IAM-Prozesse erhöhen also nicht nur den Aufwand, sondern auch das Fehlerrisiko – was in KRITIS-Umgebungen fatal sein kann.

Diese Herausforderungen machen deutlich: Ohne ein durchdachtes IAM-Konzept ist KRITIS-Compliance kaum erreichbar. Dieser Umstand zeichnet sich ebenfalls im aufstrebenden Identity Fabric Konzept wieder, bei welchem etablierte IAM-Anbieter eine umfassende, integrierte Toolauswahl anbieten, um alle wichtigen Bereiche gleichzeitig abzudecken⁶. Doch was macht IAM hier zum Game Changer? Die Antwort liegt in der strategischen Ausrichtung.

Strategische Bedeutung: IAM als Enabler für KRITIS-Compliance

Identity & Access Management wird im KRITIS-Kontext oft auf technische Benutzerverwaltung reduziert – zu Unrecht. Richtig implementiert ist IAM ein strategischer Enabler: Es ermöglicht erst die zuverlässige Einhaltung der zahlreichen Vorgaben und macht Sicherheit mess- und prüfbar. Das BSI selbst betont interne Bedrohungen und fehlende Rechtekontrolle¹ als Risiken, deren Minimierung praktisch den Einsatz eines professionellen IAM erfordert.

Anders formuliert: IAM ist nicht nur technische Notwendigkeit, sondern Voraussetzung, um KRITIS-Compliance zu erreichen. Ein effektives IAM-System stellt sicher, dass jede Person zur richtigen Zeit genau die Zugriffsrechte hat, die sie benötigt – nicht mehr und nicht weniger. Es liefert digitale Schlüssel und öffnet Türen nur dort, wo der Zutritt erlaubt und protokolliert ist. Dieses Least Privilege-Prinzip reduziert die Angriffsfläche drastisch. Gleichzeitig schafft IAM-Transparenz: Auf Knopfdruck lässt sich ermitteln, welcher Nutzer welche Berechtigungen hat – und ob das dem Soll-Zustand entspricht. Diese Übersichtlichkeit ist Gold wert, wenn Auditoren den IAM Compliance Check durchführen.

Zudem entlastet ein gutes IAM die Organisation personell. Automatisierte Workflows für Genehmigungen, Rezertifizierungen und das Entfernen inaktiver Accounts sparen Zeit und minimieren Fehlerrisiken. So zeigte eine Studie von Cybersecurity Dive, dass bereits 70 % der Unternehmen verstärkt auf automatisierte IAM-Tools setzen, um Zugriffsüberprüfungen zu beschleunigen und auditbereit zu sein⁹. Moderne IAM-Lösungen gehen sogar noch weiter: Sie liefern Echtzeit-Reports, melden Abweichungen proaktiv und gewährleisten durch Self-Service und automatisierte Prozesse laufende Compliance ohne immense manuelle Aufwände.

Kurzum: IAM bildet das Rückgrat der KRITIS-Compliance. Es verbindet Security und Governance. Ohne IAM bliebe der Schutz zerfasert in Einzelmaßnahmen; mit IAM hingegen entsteht ein integriertes Sicherheitsnetz, das alle Zugänge überwacht und steuert. Im nächsten Abschnitt betrachten wir, wie diese Strategie praktisch umgesetzt wird – mit Best Practices in Deutschland und Beispielen etablierter Plattformen.

IAM-Lösungen und Best Practices für KRITIS-Betreiber

Wie lässt sich ein solches IAM-Programm konkret in die Tat umsetzen? Wichtig ist ein ganzheitlicher Ansatz. Folgende Best Practices haben sich bei KRITIS-Betreibern bewährt:

Automatisierte Identitätsverwaltung: Setzen Sie auf eine zentrale IAM-Plattform, die Benutzerkonten und Berechtigungen über alle Systeme hinweg automatisiert verwaltet. Durch Anbindung an HR-Systeme wird ein Joiner-Mover-Leaver-Prozess etabliert, der sicherstellt, dass neue Mitarbeiter sofort die nötigen Rechte erhalten und ausscheidende Mitarbeiter umgehend deaktiviert werden. Fehler durch manuelle Pflege werden so vermieden.
Rollenbasiertes Berechtigungsmanagement & Rezertifizierung: Definieren Sie klare Rollen und Zugriffsprofile basierend auf dem Prinzip der geringsten Rechte. Ein klares Rollenkonzept und Segregation of Duties (SoD) verhindern gefährliche Anhäufungen von Rechten. Führen Sie regelmäßige Rezertifizierungen (z. B. alle 6-12 Monate) durch, bei denen Manager den Fortbestand von Berechtigungen ihrer Mitarbeiter bestätigen müssen. Dies entspricht den Erwartungen der Auditoren und deckt schleichende Rechte-Ausweitungen auf.
Rezertifizierungen, Attestierungen & SoD vertiefen: Ergänzen Sie die regelmäßigen Reviews um kampagnenbasierte Attestierungen (Owner- und Manager-Genehmigung) für besonders kritische Rollen, privilegierte Konten sowie Service-& API-Identitäten. Hinterlegen Sie SoD-Regeln präventiv (bei Anträgen) und detektiv (im Bestand), erlauben Sie dokumentierte Ausnahmen mit Mitigations (z. B. Vier-Augen-Prinzip, zusätzliche Protokollierung) und messen Sie KPIs wie Durchlaufzeiten, Abschlussquote und Remediation-Tempo. Ereignisgetriebene Attestierungen bei Rollenwechseln oder organisatorischen Änderungen schließen Lücken zwischen KRITIS-Audits.
Incident-Handling & Meldepflichten verankern: Legen Sie Runbooks für IAM-relevante Vorfälle fest (z. B. kompromittierte Credentials, Missbrauch von Dienstkonten, IdP-Ausfall) und koppeln Sie Ihr IAM-Logging eng an SIEM/SOC-Playbooks. Definieren Sie Eskalationsketten samt Vertreterregelung, dokumentieren Sie Forensik- und Beweis-Sicherung (Audit-Logs, Genehmigungshistorien, Konfigurations-Snapshots) und verankern Sie Meldefristen gemäß KRITIS/NIS2 in Ihrem Prozess.
Logging, Monitoring & Anomalieerkennung: Stellen Sie sicher, dass das IAM-System ein ausführliches Berechtigungs- und Audit-Reporting Jedes Hinzufügen oder Entfernen von Rechten sollte protokolliert und idealerweise in Echtzeit überwacht werden. Moderne Lösungen nutzen sogar KI, um ungewöhnliche Zugriffsaktivitäten zu erkennen (Stichwort Identity Threat Detection and Response, ITDR). Damit können Sie verdächtige Vorgänge erkennen, bevor Schaden entsteht. Audits lassen sich so deutlich einfacher bestehen, weil jederzeit Nachweise über korrekte Berechtigungsvergaben und Zugriffsprotokolle vorliegen.

Bei der Umsetzung dieser Best Practices helfen ausgereifte Enterprise-IAM-Plattformen. Im Markt haben sich insbesondere One Identity Manager und SailPoint bei großen Organisationen bewährt – beide bieten umfassende Identity Governance und Integrationen für komplexe Umgebungen. Unabhängige Analysten wie KuppingerCole² stufen One Identity³ und SailPoint⁴ seit Jahren als führende Lösungen ein. Solche Plattformen bringen vordefinierte Compliance-Regeln, Workflows und Auditberichte mit, die speziell auf regulatorische Anforderungen (BSI, ISO 27001, etc.) zugeschnitten sind. Wichtig ist jedoch: Technologie allein reicht nicht. Sie müssen ebenso Prozesse und Mitarbeiter schulen, damit das IAM-System lebendig bleibt und akzeptiert wird.

Nach Implementierung empfiehlt es sich, einen internen IAM-Compliance Check durchzuführen – gewissermaßen eine Generalprobe fürs offizielle Audit. Im nächsten Abschnitt haben wir die wichtigsten Prüfpunkte in einer Checkliste zusammengefasst.

IAM Compliance Checkliste für KRITIS-Betreiber

Eine Checkliste kann helfen, den Überblick über alle notwendigen Maßnahmen zu behalten. Die folgende IAM Compliance Checkliste orientiert sich an den Anforderungen des BSI und Best Practices aus der Praxis:

Inventarisierung aller Accounts und Zugänge: Erstellen Sie ein vollständiges Verzeichnis aller Benutzerkonten (inklusive technische Benutzer) und ihrer Zugriffsrechte in allen kritischen Systemen. Nur wer seine Assets kennt, kann sie schützen.
Rollen und Berechtigungen definieren: Haben Sie für jede Funktion im Unternehmen ein klares Berechtigungsprofil? Dokumentieren Sie, welche Rolle welche Systeme und Daten benötigt. Vermeiden Sie dabei Überschneidungen, die zu Rollenkonflikten führen könnten (Stichwort Segregation of Duties).
MFA und starke Authentifizierung durchsetzen: Überprüfen Sie, für welche Systeme und Nutzergruppen bereits MFA aktiv ist. Wo es fehlt: Plan zur Einführung von MFA erstellen (beginnend bei VPN, Admin-Zugängen, kritischen Anwendungen).
Privilegierte Konten absichern: Führen Sie ein Verzeichnis aller Admin- und Service-Accounts. Implementieren Sie für diese entweder eine dedizierte PAM-Lösung oder wenigstens strenge Richtlinien (individuelle Accounts statt geteilter Logins, sichere Passwortverwaltung, Protokollierung von Admin-Aktivitäten).
Automatisierung des User Lifecycles: Stellen Sie sicher, dass Onboarding-Prozesse neuer Mitarbeiter schnell und fehlerfrei ablaufen (idealerweise automatisiert via IAM-System) und Offboarding ebenso konsequent passiert. Keine aktiven Alt-Accounts von Ex-Mitarbeitern! Nutzen Sie Workflows, die Zugriffsrechte bei Rollen-Änderungen automatisch anpassen.
Logging & Monitoring einrichten: Prüfen Sie, ob für alle sicherheitsrelevanten Systeme Zugriffsprotokolle zentral gesammelt werden (z. B. in einem SIEM-System) und ob Ihr IAM-Tool Berichte zu Berechtigungen/Änderungen generieren kann. Richten Sie Alerts ein, die ungewöhnliche Zugriffsversuche melden (z. B. Anmeldeversuche außerhalb der Arbeitszeiten auf kritische Server).
Regelmäßige Audits und Tests: Führen Sie interne Audits oder Pentests durch, um Schwachstellen in der IAM-Kontrolle aufzudecken, bevor es das BSI tut. Dazu gehört auch ein Trockenlauf für den Fall eines Sicherheitsvorfalls: Ist klar definiert, wer informiert wird, welche Schritte erfolgen und wie schnell Sie Systeme wiederherstellen können? (Notfallpläne gemäß IT-SiG 2.0⁷).
Mitarbeiter sensibilisieren: Schulen Sie Ihr Personal in Bezug auf IAM-Policies. Jeder Nutzer sollte die Bedeutung von sicheren Passwörtern, MFA und dem Prinzip der minimalen Rechte verstehen. Security Awareness ist Teil der Compliance.

Diese Checkliste ist kein Ersatz für eine ausführliche Prüfung, bietet aber einen praxisnahen Ausgangspunkt. Wenn Sie alle Punkte abhaken können, sind Sie auf einem sehr guten Weg, ein offizielles KRITIS-IAM-Audit zu bestehen. Sollten Sie Schwierigkeiten bei der Prüfung oder Erreichung der KRITIS-Compliance benötigen, dann wenden Sie sich gern direkt an uns.

Zukunftsperspektive: IAM und KRITIS-Compliance im Wandel

Der Bereich IAM bleibt dynamisch – gerade im KRITIS-Umfeld. Mit EU-Richtlinien wie NIS2 und weiter steigenden BSI-Anforderungen wird sich der Fokus noch stärker in Richtung Zero Trust und kontinuierliche Überprüfung verlagern. Zero Trust bedeutet, dass Identitäten zum neuen Perimeter werden: Jeder Zugriff wird nach dem Motto „never trust, always verify“ geprüft, sei es von internen Mitarbeitern, Drittparteien oder Maschinen. Für KRITIS-Betreiber dürfte das bedeuten, dass klassische Netzwerkgrenzen an Bedeutung verlieren, während kontextsensitive IAM-Lösungen wichtiger werden (z. B. adaptive Authentifizierung je nach Risiko, permanente Session-Überwachung, Just-in-Time-Berechtigungen).

Auch technische Trends wie dezentralisierte Identitäten, Passwordless Authentication und KI-gestützte Anomalieerkennung werden IAM-Systeme der nächsten Generation prägen. All diese Entwicklungen haben ein gemeinsames Ziel: Noch proaktiver Risiken zu erkennen und Compliance-Verstöße zu verhindern, bevor etwas passiert. IAM wird so vom reaktiven Kontrollwerkzeug zum vorausschauenden Compliance-Enabler. Für KRITIS bedeutet das langfristig mehr Sicherheit – allerdings auch die Notwendigkeit, am Ball zu bleiben und die eigene IAM-Strategie kontinuierlich weiterzuentwickeln.

Fest steht: Die KRITIS-Compliance bleibt ein bewegliches Ziel, doch mit einem robusten, zukunftsorientierten Identity & Access Management schaffen Sie die Grundlage, um auch strengere Vorgaben souverän zu erfüllen.

Sie stehen vor der Herausforderung, IAM im Sinne von KRITIS zu analysieren, zu verbessern oder ganz neu zu denken?

Unser IAM Health Check schafft Klarheit, Prioritäten und fundierte Ergebnisse. Wir begleiten Sie von der Implementierung bis zur langfristigen Partnerschaft mit regelmäßigen Checks, Audits und kontinuierlichem Support.

Lassen Sie uns gemeinsam Ihre IAM-Struktur KRITIS-konform gestalten.

Kontaktieren Sie uns für Ihre KRITIS-Compliance!

FAQs zu Identity and Access Management (IAM)

Was ist Identity and Access Management (IAM)

Identity and Access Management (IAM) ist ein Framework von Technologien und Prozessen, das sicherstellt, dass die richtigen Personen in einem Unternehmen die richtigen Ressourcen zum richtigen Zeitpunkt und aus den richtigen Gründen nutzen können.

Warum ist IAM wichtig für mein Unternehmen?

IAM ist essenziell, um Geschäftsprozesse effizient zu gestalten, IT-Sicherheit zu erhöhen und gleichzeitig Compliance-Anforderungen zu erfüllen. Es hilft, Kosten zu senken und Sicherheitsrisiken zu minimieren.

Wie verbessert IAM die IT-Sicherheit?

IAM sorgt dafür, dass nur autorisierte Nutzer Zugriff auf sensible Daten und Systeme haben. Durch Funktionen wie Multi-Faktor-Authentifizierung, rollenbasierte Zugriffe und automatisierte Überwachung wird das Risiko von Sicherheitsverletzungen drastisch reduziert.

Welche Geschäftsprozesse profitieren am meisten von IAM?

IAM beschleunigt besonders Prozesse wie das Onboarding und Offboarding von Mitarbeitern, die Bereitstellung von Zugriffsrechten und die Einhaltung von Compliance-Vorgaben.

Ist IAM auch für kleine und mittelständische Unternehmen (KMU) sinnvoll?

Ja, IAM ist nicht nur für Großunternehmen geeignet. Auch KMU profitieren von gesteigerter Effizienz, geringeren Sicherheitsrisiken und einer einfacheren Verwaltung von Benutzerzugriffen.

Wie viel kostet die Implementierung eines IAM-Systems?

Die Kosten für IAM variieren je nach Unternehmensgröße, Anforderungen und Anbieter. Dennoch amortisiert sich die Investition oft durch Einsparungen bei der Verwaltung und Vermeidung von Sicherheitsvorfällen.

Wie lange dauert die Implementierung eines IAM-Systems?

Die Dauer hängt von der Komplexität der Infrastruktur und den Anforderungen ab. Einfache Lösungen können in wenigen Wochen implementiert werden, während komplexe Systeme mehrere Monate dauern können.

Kann IAM mein Unternehmen vor Cyberangriffen schützen?

Ja, IAM spielt eine Schlüsselrolle beim Schutz vor Cyberangriffen, da es unbefugten Zugriff verhindert und Sicherheitslücken durch automatisierte Überwachung schnell erkennt.

Was ist der Unterschied zwischen IAM und PAM (Privileged Access Management)?

IAM verwaltet den Zugriff für alle Benutzer in einem Unternehmen, während PAM speziell für die Verwaltung und Sicherung privilegierter Benutzerkonten, wie Admin-Zugriffe, zuständig ist.

Wie unterstützt IAM die Einhaltung von Datenschutz- und Compliance-Vorgaben?

IAM hilft Unternehmen, Zugriffe lückenlos zu dokumentieren, Rollen und Berechtigungen zu verwalten und Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung umzusetzen – alles essenziell für die Einhaltung von Vorgaben wie der DSGVO.

Welche Technologien werden in modernen IAM-Systemen verwendet?

Moderne IAM-Systeme nutzen Technologien wie Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA), biometrische Sicherheit, rollenbasierte Zugriffskontrolle (RBAC) und Cloud-basierte Lösungen.

Wie unterscheidet sich ein Cloud-basiertes IAM von einer On-Premise-Lösung?

Cloud-basierte IAM-Lösungen sind flexibler, skalierbar und oft kosteneffizienter, während On-Premise-Lösungen mehr Kontrolle über die Daten bieten, aber höhere Wartungsaufwände erfordern.

Welche Herausforderungen gibt es bei der Einführung von IAM?

Zu den Herausforderungen gehören die Integration mit bestehenden Systemen, die Definition von Rollen und Berechtigungen sowie die Schulung der Mitarbeiter für den effektiven Einsatz.

Welche langfristigen Vorteile bringt ein IAM-System?

IAM steigert die Effizienz, reduziert Sicherheitsrisiken, verbessert die Compliance und erhöht die Produktivität der Mitarbeiter – eine Investition, die sich auf lange Sicht auszahlt.

Quellen:

¹ BSI KRITIS: https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/Kritische-Infrastrukturen/kritis_node.html

² KuppingerCole KRITIS Beitrag: https://www.kuppingercole.com/research/wp80065/kritis-understanding-and-protecting-critical-infrastructure#:~:text=Organizations%20or%20institutions%20that%20are,appropriate%20concepts%2C%20processes%20and%20technologies

³ One Identity – KuppingerCole IAM Leadership Compass: https://www.oneidentity.com/analyst-report/2024-kuppingercole-leadership-compass-for-identity-governance-and-administration/#:~:text=,Compass%20Identity%20Governance%20and%20Administration

⁴ SailPoint: KuppingerCole IAM Leadership Compass: https://www.sailpoint.com/identity-library/iga-leadership-compass

⁷ IT-SiG 2.0: https://www.bsi.bund.de/DE/Das-BSI/Auftrag/Gesetze-und-Verordnungen/IT-SiG/2-0/it_sig-2-0_node.html

⁸ Gartner Studie zu Cloud-Sicherheit: https://apexassembly.com/wp-content/uploads/2020/09/Clouds_Are_Secure_-_Are_you_Using_Them_Securely1.pdf

⁹ Cybersecurity Dive Studie: IAM Ausgaben in Unternehmen: https://www.cybersecuritydive.com/news/iam-zero-trust-remote-work/597174