Source: www.csoonline.com – Author:
Auf der European Identity and Cloud Conference 2025 in Berlin wurde IAM neu kartografiert: weg von Insellösungen, hin zu unternehmensweiten Architekturen.
Zolak – shutterstock.com
Identity & Access Management (IAM) ist nicht länger eine Frage der Tool-Auswahl, sondern der Architektur. Diese Kernaussage prägte die European Identity and Cloud Conference 2025, die vom 6. bis 9. Mai in Berlin stattfand. Mit über 1.500 Teilnehmern, 300 Rednern und 230 Sessions und zahlreichen Deep Dives zu Identity-Governance, Orchestrierung, Compliance und Security-Trends wurde klar: IAM steht an einem Wendepunkt. Wer weiterhin punktuelle Einzellösungen verfolgt, verliert Geschwindigkeit, Übersicht und regulatorische Standfestigkeit.
Im Zentrum vieler Diskussionen stand der neue Leadership Compass “Identity Fabrics” von KuppingerCole. Statt punktueller Projekte fordert er eine konsistente, geschäftsmodellübergreifende Identitätsarchitektur. Diese Struktur ist mehr als ein Framework: Sie liefert ein Betriebssystem für digitale Identität – und macht IAM zu einer tragenden Säule jeder Transformationsstrategie.
Was ist eine Identity Fabric?
Eine Identity Fabric ist ein ganzheitlicher Architekturansatz, der alle relevanten Identitäts- und Zugriffsfunktionen – von Authentifizierung, Autorisierung und Provisionierung bis hin zu Governance, Secrets Management und Threat Detection – als lose gekoppelte Services orchestriert. Der Clou: Sie funktioniert über Organisationseinheiten, Benutzergruppen und Maschinenidentitäten hinweg.
Die Identity Fabric ist modular, API-first, cloud-native – und bereit für alles vom einfachen Joiner-Prozess bis hin zur komplexen CIAM-Strategie im hochregulierten Finanzsektor.
Zehn Dinge, die Sie von der EIC 2025 mitnehmen sollten
1. IAM ist Architektur, kein Toolset:
Die große Innovation liegt nicht in neuen Funktionen, sondern in der Verbindung bestehender Bausteine. Nur wer IAM als durchgehende Architektur versteht, kann agil, sicher und Compliance-konform skalieren. Das betrifft nicht nur die technische Ebene, sondern auch Prozesse, Rollenmodelle und Organisationsstrukturen. Die Konvergenz von IT, OT und CIAM erfordert eine durchdachte, anpassbare Identitätsarchitektur, die auch Legacy-Systeme integriert. Identity Fabrics bieten genau diese Flexibilität und ermöglichen die sichere, zentrale Steuerung von Identitäten über hybride Infrastrukturen hinweg.
2. KI ist Pflichtprogramm, nicht Kür:
Künstliche Intelligenz ist integraler Bestandteil moderner IAM-Plattformen. Sie hilft, Zugriffsrisiken zu bewerten, Verhaltensmuster zu analysieren und automatisierte Entscheidungen in Echtzeit zu treffen. Besonders wichtig ist der Einsatz von KI in ITDR-Kontexten – etwa zur Erkennung privilegierter Eskalation oder lateralem Movement im Netzwerk. Unternehmen setzen KI ein, um den steigenden Anforderungen aus Compliance, Geschwindigkeit und Skalierung gerecht zu werden. Die Herausforderung liegt in der Governance: Nur auditierbare, transparente KI wird langfristig akzeptiert und regulatorisch tragfähig sein.
3. Zero Trust wird zur messbaren Praxis:
Zero Trust hat sich von einer Sicherheitsphilosophie zu einer umsetzbaren Architektur entwickelt. Unternehmen implementieren zunehmend Identity-Centric Security, bei der jede Zugriffsanfrage unabhängig von Standort, Netzwerk oder Gerät streng überprüft wird. Die EIC zeigte Praxisbeispiele, in denen kontinuierliche Verifikation, dynamische Risikoanalyse und fein granular definierte Policies zentral verwaltet werden. Wichtig ist: Zero Trust funktioniert nur auf Basis eines sauberen Identitätsfundaments, das in Identity Fabrics nativ verankert ist. Damit wird Sicherheit nicht mehr am Netzwerkperimeter, sondern direkt am Identitätskern operationalisiert.
4. eIDAS 2.0 bringt Identitäts-Wallets in den Alltag:
Mit eIDAS 2.0 schafft die Europäische Union erstmals einen verbindlichen Rahmen für digitale Identitäts-Wallets. Bürger sollen ihre Identitätsnachweise künftig sicher auf dem Smartphone verwalten und organisationsübergreifend einsetzen können. Auf der EIC 2025 wurden erste Projekte und Prototypen vorgestellt – etwa für digitale Führerscheine, Kontoeröffnungen oder den Zugang zu eGovernment-Services. Für Unternehmen bedeutet das: Sie müssen ihre IAM-Systeme rechtzeitig auf den Empfang, die Validierung und die Verwaltung von Verifiable Credentials vorbereiten. Der Trend zur dezentralen, nutzerkontrollierten Identität ist nicht mehr aufzuhalten – auch wenn technologische und rechtliche Hürden bestehen.
5. Adaptive Authentifizierung ersetzt starre Logik:
Statische Policies und generische MFA-Ansätze reichen 2025 nicht mehr aus. Adaptive Authentifizierung kombiniert kontextbezogene Faktoren wie Standort, Gerätetyp, Login-Historie und Tageszeit, um risikoangepasste Zugriffskontrollen in Echtzeit umzusetzen. Dabei werden Nutzer mit geringem Risiko flüssig durchgeleitet, während bei Auffälligkeiten zusätzliche Prüfungen ausgelöst werden. Die Folge: eine deutlich verbesserte User Experience bei gleichzeitiger Erhöhung des Sicherheitsniveaus. In Kombination mit KI-basierten Risikobewertungen wird Adaptive AuthN zur neuen Basis jeder Identity-Strategie.
6. Der Identity Lifecycle braucht JML-Intelligenz:
Joiner, Mover, Leaver – diese drei Phasen bestimmen, wie sicher, effizient und compliant der Umgang mit digitalen Identitäten ist. Dennoch sind Onboarding- und Offboarding-Prozesse in vielen Organisationen immer noch manuell, fehleranfällig oder isoliert. Die EIC 2025 zeigte Best Practices für die Automatisierung dieser Kernprozesse: von der initialen Identitätsprüfung über rollenbasierte Zugriffszuweisung bis hin zur sofortigen Rechteentziehung beim Austritt. Besonders im KRITIS- und Finanzbereich ist JML-Automatisierung ein Muss, um regulatorische Vorgaben wie NIS2 oder DORA zu erfüllen. Smarte IAM-Systeme bieten dafür Templates, Workflows und Kontrollfunktionen – eingebettet in die Identity Fabric.
7. Maschinenidentitäten müssen gemanagt werden:
Mit der zunehmenden Digitalisierung wächst die Anzahl nicht-menschlicher Identitäten – von IoT-Geräten über APIs bis zu containerisierten Microservices. Diese Maschinenkonten verfügen oft über weitreichende Berechtigungen, werden aber selten so streng kontrolliert wie Benutzerkonten. Die EIC zeigte auf, wie sich Maschinenidentitäten mit Lifecycle-Management, Secrets Rotation, Zertifikatsverwaltung und Zugriffstransparenz besser absichern lassen. Besonders kritisch: verwaiste Credentials und statische API-Keys, die zu Angriffspunkten werden können. Wer Maschinenidentitäten nicht mitdenkt, riskiert ein massives Schatten-IT-Problem in seinem IAM-System.
8. Post-Quantum-Kryptographie rückt ins Blickfeld:
Mit den Fortschritten im Quantencomputing rückt das Ende klassischer Public-Key-Kryptografie näher. Unternehmen, die auf asymmetrische Verfahren wie RSA oder ECC setzen, müssen ihre Infrastrukturen auf krypto-agile Alternativen vorbereiten. Die EIC 2025 zeigte konkrete Roadmaps zur Integration postquantensicherer Algorithmen in bestehende IAM-Prozesse. Dabei geht es nicht nur um technische Machbarkeit, sondern auch um die Bewertung der Lebensdauer bestehender Schlüssel, Migrationspläne und Compliance-Anforderungen. Frühzeitige Planung entscheidet darüber, ob Organisationen regulatorisch und operationell mithalten können, wenn die Quantenära Realität wird.
9. Ethik in der KI ist Teil der Sicherheitsstrategie:
Der Einsatz von KI im Identitätsmanagement wirft neue ethische Fragen auf – insbesondere bei der Bewertung von Nutzerverhalten, der Vergabe von Risikowerten oder der automatisierten Vergabe von Zugriffsrechten. Die EIC 2025 betonte, dass Vertrauen nur durch Transparenz, Fairness und erklärbare Entscheidungen entsteht. Unternehmen müssen sicherstellen, dass ihre KI-Modelle auditierbar sind, Verzerrungen erkennen und regulatorisch belastbar bleiben. Zudem braucht es Governance-Prozesse für den gesamten Lebenszyklus KI-gestützter IAM-Entscheidungen – von der Modellbildung bis zur Abschaltung. Trustworthy AI ist keine Option, sondern Voraussetzung für die Akzeptanz moderner Sicherheitsarchitekturen.
10. IAM wird zur Leadership-Aufgabe:
Identity and Access Management hat sich von einem technischen Unterfangen zu einem geschäftskritischen Steuerungsinstrument entwickelt. Die EIC 2025 zeigte deutlich: Ohne strategisches Ownership durch CIOs, CISOs oder CIDOs bleiben IAM-Initiativen fragmentiert und ineffizient. Moderne Identitätsarchitekturen beeinflussen alles – von der User Experience über regulatorische Resilienz bis hin zur Markteinführung neuer digitaler Services. IAM gehört deshalb in den Vorstand, nicht nur in die IT-Abteilung. Wer das Thema strategisch verankert, schafft Skalierbarkeit, Vertrauen und Sicherheit in einem.
Fazit
Die EIC 2025 war kein Branchentreffen wie jedes andere. Sie war ein Realitätscheck für den Umgang mit Identität im digitalen Zeitalter. Der neue Standard heißt: Denk in Fabrics, nicht in Produkten. Wer heute seine Identitätsarchitektur nicht strategisch ausrichtet, wird morgen regulatorisch, betrieblich oder sicherheitstechnisch zurückfallen. (jm)
ABONNIERE UNSEREN NEWSLETTER
Von unseren Redakteuren direkt in Ihren Posteingang
Beginnen Sie, indem Sie unten Ihre E-Mail-Adresse eingeben.
Original Post url: https://www.csoonline.com/article/3983907/iam-2025-diese-10-trends-entscheiden-uber-ihre-sicherheitsstrategie.html
Category & Tags: Identity and Access Management – Identity and Access Management
Views: 0
