Eine Gruppe von Kollegen im Büro beim IAM Software Vergleich am Computer.

Identity- and Access Management (kurz: IAM) versetzt Unternehmen in die Lage, Identitäten und Zugriffsrechte auf unterschiedliche Systeme und Applikationen zentral zu verwalten. Für diesen Zweck kommen unterschiedliche Software-Lösungen zum Einsatz.

Die beiden dominierenden Produktkategorien im Bereich IAM-Software sind einfache Data-Governance-Lösungen und komplexe Enterprise-IAM-Lösungen. Wir machen den Vergleich und schauen uns an, welche Unternehmensstruktur welches IAM-System braucht.

Inhalte (verbergen)

IAM Software Lösungen

Der Begriff “IAM Software” beschreibt weder ein spezifisches Produkt, noch ein fix definiertes Funktionsspektrum. Wenn wir von IAM Software sprechen, dann meinen wir damit vielmehr unterschiedliche Software-Lösungen, die jeweils bestimmte Funktionen bieten. Wie dieses Spektrum an Funktionen genau aussieht, variiert von System zu System.

Was ist IAM Software?

Allen Lösungen für Identity und Access Management ist gemeinsam, dass sie ein Unternehmen in die Lage versetzen, die Zugriffsberechtigungen und -voraussetzungen ihrer Mitarbeiter effizient zu managen. In vielen Fällen betrifft dies nicht nur die internen Berechtigungen, sondern auch externe Zugriffe durch Partner, Lieferanten oder Kunden.

IAM Software baut auf der digitalen Identität des Nutzers auf. Es geht also primär um die Authentifizierung und Autorisierung des Benutzers im Netzwerk (und in der Cloud), und die Verwaltung der mit diesem Nutzer verknüpften Zugriffsberechtigungen innerhalb des Netzwerks und ggf. für externe Anwendungen.

Das oberste Ziel von IAM Software ist Security: Dadurch, dass die Zugriffsberechtigungen zentral verwaltet und überwacht werden, schließt das Unternehmen potenzielle Sicherheitslücken.


IAM Software muss Active Directory integrieren

Da 99,9 Prozent aller IT-Abteilungen mit Microsoft® Windows arbeiten, ist es wichtig, dass Ihre IAM-Software sich reibungslos mit der Microsoft-Infrastruktur integrieren lässt. Die Schnittstelle zum Active Directory ist essentiell, da sie die Voraussetzung für die Standardisierung und Automatisierung häufig benötigter Funktionen und Abläufe ist.

Ohne Schnittstelle zwischen IAM Software und Active Directory und anderen on-Prem-Diensten wie Exchange und SharePoint lassen sich Joiner-Mover-Leaver-Prozesse beispielsweise nicht hinreichend abbilden. Darüber hinaus ist die Integration in die Microsft-Infrastruktur die Voraussetzung für ein optimales User Lifecycle Management.

Business Mann, der ungläubig auf seinen Bildschirm starrt. IAM Software Vergleich.

IAM Software muss Cloud können

Spätestens seit dem Cloud-only– bzw. Cloud-first-Ansatz von Microsoft sind die Anforderungen an IAM-Systeme gestiegen. Während es früher “nur” die Informationen innerhalb des Unternehmensnetzwerks zu schützen galt und sämtliche Dienste on Premise liefen, gibt es heute kaum noch Unternehmen, die ohne Cloud-Anwendungen arbeiten.

Diese Entwicklung wurde durch die Corona-Pandemie beschleunigt, da viele Unternehmen in sehr kurzer Zeit auf Remote-Arbeit umstellen mussten.

Um den reibungslosen Zugriff auf Daten und Anwendungen aus dem Home Office gewährleisten zu können, haben Viele ihre Anwendungen entweder vollständig in die Cloud verlagert oder die Nutzung ihrer Cloud-Dienste erheblich ausgeweitet. Moderne IAM-Systeme müssen diesen neuen, deutlich komplexeren IT-Strukturen gerecht werden:

  • Hybride Umgebungen: IAM-Software muss hybride Umgebungen unterstützen, die sowohl On-Premise-Systeme als auch SaaS-Applikationen nutzen.

  • Berechtigungsmanagement für intern und extern: IAM Software muss Unternehmen in die Lage versetzen, nicht nur die Zugriffsrechte ihrer internen Mitarbeiter effektiv zu managen, sondern auch jene von Mitarbeitern in Remote-Arbeit und (bei Bedarf) von externen Partnern aus aller Welt.

  • Betriebssysteme: IAM-Software muss das zentrale Access Management für IT-Architekturen ermöglichen, in denen unterschiedliche Betriebssysteme und/oder verschiedene Endgeräte verwendet werden (z.B. UNIX-, Windows-, iOS-, Android- und Mac-Geräte).

Integration von Azure AD

Ein modernes IAM System muss die automatisierte und policy-konforme Verwaltung sämtlicher Berechtigungen, sowohl in Ihrem Unternehmensnetzwerk als auch in der Cloud, garantieren. Ebenso wichtig wie die Schnittstelle zum lokalen AD ist in diesem Zusammenhang die Verbindung zwischen IAM Software und Azure AD.

Azure AD ist der cloud-basierte Verzeichnisdienst von Microsoft, mit dem Sie die Zugriffsberechtigungen und Identitäten Ihrer Microsoft-Services sowie externe SaaS-Anwendungen (Software as a Service) verwalten. Dafür brauchen Sie normalerweise aber das Azure Portal oder die PowerShell.

Eine Schnittstelle zwischen Ihrer IAM-Software und Azure AD sowie anderen Cloud-Diensten wie Exchange Online und Sharepoint Online nimmt Ihnen diesen Umweg ab.

So funktioniert die Cloud-Integration mit tenfold!

IAM Software – Funktionen

Die Funktionen sind der Dreh- und Angelpunkt in Sachen IAM-Software. Identity and Access Management kann grundsätzlich eine Vielzahl von Funktionen erfüllen, aber nicht alle Funktionen sind für jedes Unternehmen sinnvoll oder produktiv anwendbar.

Entsprechend bietet auch nicht jede Identity & Access Management Software von jedem Hersteller die gleichen Funktionen. Grundsätzlich kann IAM-Software folgende Funktionen abbilden:

Funktion Was bedeutet das?
Authentifizierung Der Endbenutzer muss belegen können, dass er derjenige ist, der er zu sein vorgibt. Dies kann über eine Kombination aus Benutzername und Passwort (z.B. bei der Anmeldung) erfolgen. Bei großen Enterprise-Lösungen authentifizieren sich die Benutzer häufig mit biometrischen Daten (z.B. Fingerabdruck), einer Keycard oder einem Token. Die Kombination aus einem Passwort/einer PIN und etwas Greifbarem wie einer Keycard nennt man auch Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung.
Autorisierung Nach erfolgreicher Authentifizierung werden dem Benutzer bei der Autorisierung bestimmte Rechte zugeteilt. Die Autorisierung bestimmt, auf welche Ressourcen ein User im Netzwerk zugreifen kann. Dies betrifft z.B. Systeme, Anwendungen, Daten, gemeinsam genutzte Elemente etc. Für die Bereitstellung dieser Zugriffsrechte sorgt die Funktion der Provisionierung.
Provisionierung Die Provisionierung (häufig auch provisioning genannt) erstellt, basierend auf Workflows und Policies, automatisiert Ressourcen wie Benutzerkonten und Berechtigungen bzw. ordnet sie diese zu.
Single Sign On Die Funktion SSO sorgt dafür, dass sich Benutzer nur einmalig authentifizieren müssen und diese Authentifizierung anschließend für eine Vielzahl von Systemen gültig ist. Eine erneute Anmeldung ist somit nicht mehr notwendig.
Identitätsföderation Identitätsföderation sorgt dafür, dass Parteien Identitätsinformationen über technische Grenzen hinweg (z.B. zwischen lokaler IT und Cloud) austauschen können. Hierzu müssen beide Partner den betreffenden Benutzer eindeutig identifizieren können, selbst wenn sie unterschiedliche Bezeichnungen für ihn verwenden.
Self-Service Über eine Self-Service-Funktion kann der Benutzer bestimmte Services selbstständig anfordern. Er kann z.B. Berechtigungen, das Ändern von Benutzerdaten oder das Zurücksetzen des Passwortes beantragen.
Data Ownership Unter Data Ownership versteht man die Möglichkeit, für Ressourcen verantwortliche Manager/Administratoren zu definieren, die über den Zugriff entscheiden können. Für alle Änderungen müssen Genehmigungsworkflows zur Verfügung stehen.
Workflows Workflows innerhalb eines IAM steuern die Abläufe. In der Regel unterscheidet man zwischen Workflows zur Genehmigung und Workflows zur Provisionierung. Ersteres bedeutet, dass ein Verantwortlicher (Data Owner) den Zugriff auf bestimmte Daten erlaubt. Letzteres bedeutet, dass technische Abläufe in Gang gesetzt werden, um eine bestimmte Ressource bereitzustellen.
Rollensystem Dank rollenbasiertem Zugriffssystem erhalten Benutzer automatisiert die Berechtigungen, die sie benötigen. Die Rollen sorgen im Umkehrschluss auch dafür, dass Benutzer Berechtigungen wieder verlieren, wenn sie sie nicht mehr benötigen. Grundlage für das Rollensystem ist u.a. die Unternehmensstruktur.
Rezertifizierung Durch die Rezertifizierung bzw. das User Access Review werden bestehende Berechtigungen auf Aktualität überprüft und nicht mehr benötigte Rechte entfernt. Durch regelmäßige und automatische Benachrichtigungen an Dateneigentümer lässt sich dieser Prozess schnell und einfach abwickeln.
User Lifecycle Management User Lifecycle Management bedeutet, dass die Berechtigungen eines Benutzers über dessen gesamten Lebenszyklus (vom Eintritt ins Unternehmen bis zum Ausscheiden) automatisiert überwacht und verwaltet werden.

IAM Software und Compliance

Die Integration einer IAM Software ist ein zuverlässiger Weg, um die Erfüllung von unternehmenseigenen und externen Compliance-Richtlinien sicherzustellen. Hierzu zählen neben der EU-DSGVO, KRITIS und PCI-DSS auch regulatorische Anforderungen für bestimmte Branchen (z.B. MaRisk, BAIT und TISAX in Deutschland oder SOX und HIPAA in den USA).

Besonders wichtig ist die Compliance in Bezug auf die Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik). Das BSI schreibt Unternehmen die Implementierung eines Identitäts- und Berechtigungsmanagements vor. In der Edition 2021 heißt es im Abschnitt ORP.4 Identitäts- und Rechtmanagement ausdrücklich:

Der Zugang zu schützenswerten Ressourcen einer Institution ist auf berechtigte Benutzer und berechtigte IT-Komponenten einzuschränken. Benutzer und IT-Komponenten müssen zweifelsfrei identifiziert und authentisiert werden. […] Es MUSS dokumentiert werden, welche Benutzerkennungen […] und Rechteprofile zugelassen und angelegt wurden. Die Dokumentation der zugelassenen Benutzer […] Rechteprofile MUSS regelmäßig daraufhin überprüft werden, ob sie den tatsächlichen Stand der Rechtevergabe widerspiegelt […].


IAM Software Lösungen im Vergleich

Der Markt für Identity-und-Access-Management-Software wächst. Grundsätzlich sehen wir zwei dominierende Produktkategorien, die jeweils auf unterschiedliche Zielgruppen ausgerichtet sind:

  1. einfache Data-Governance-Lösungen 
  2. komplexe, auf Großkonzerne ausgerichtete Enterprise-Lösungen/IAM-Suites

Data Governance Software

Bei Data Governance Software liegt der Fokus auf unorganisierten Daten. Diese Lösungen bringen also vorübergehend Ordnung in Ihre Fileserver und helfen bei der Automatisierung bestimmter Tätigkeiten. Allerdings stoßen sie bei der Standardisierung und Automatisierung von Workflows an ihre Grenzen.

Dies führt vor allem im Rahmen des User Lifecycle Managements zu Problemen, weil z.B. die Neuanlage eines Benutzers und die damit verbundene Vergabe von Berechtigungen ebenso zeitaufwändig ist, als wenn Sie sämtliche Schritte direkt in den jeweiligen Systemen (z.B. im Active Directory) durchführen würden.

Zielführender sind Lösungen, die eine Schnittstelle zur HR-Datenbank haben, und bei denen die Neuanlage eines Benutzers in HR automatisch die Joiner-Mover-Leaver-Prozesse in allen angebundenen Systemen startet.

Warum ist User Lifecycle Management so wichtig?

Wie der Name bereits verrät, geht es beim ULM darum, den gesamten Lebenszyklus eines Benutzers (vom Eintritt ins Unternehmen bis zum Ausscheiden) zu verwalten. Es stellt sicher, dass der Benutzer während der gesamten Zeit seiner Zugehörigkeit zum Unternehmen auf allen Stationen mit den Benutzerkonten und Berechtigungen ausgestattet ist, die er zum jeweiligen Zeitpunkt benötigt.

Umgekehrt sorgt es aber auch dafür, dass der Benutzer zu keinem Zeitpunkt mehr Berechtigungen erhält, als für seinen Aufgabenbereich notwendig sind. Dieses Prinzip nennen wir auch das Need to Know-Prinzip oder Principle of Least Privilege (PoLP). Das User Lifecycle Management sorgt also u.a. dafür, dass

  • Benutzeridentitäten angelegt werden.

  • Berechtigungen zugeordnet oder entzogen werden.

  • Benutzerkonten deaktiviert werden.

Enterprise-Lösungen/IAM Suiten

Enterprise-Lösungen bzw. IAM-Suiten zeichnen sich vor allem durch Komplexität aus, weil sie auf die komplizierten Strukturen von Großkonzernen ausgelegt sind. Theoretisch kann Identity & Access Management im Enterprise-Umfeld unendlich viele Funktionen abbilden. Einen sehr guten Überblick darüber, was mit IAM im Enterprise-Umfeld alles möglich ist, bekommen Sie in diesem Artikel.

Achtung! Vielen ist nicht klar, dass ein theoretisch unbegrenzter Funktionsumfang nicht zwangsläufig bedeutet, dass Sie diese Funktionen in Ihrem Unternehmen auch produktiv nutzen können. Warum das so ist? Das schauen wir uns jetzt an.

Viele Unternehmen wissen nicht, was sie brauchen

IAM-Software galt in der IT-Welt lange Zeit als Schreckgespenst, weil immer wieder von Unternehmen zu hören war, die viel Zeit und Geld in die Implementierung einer IAM-Lösung gesteckt hatten, und diese niemals produktiv nutzen konnten.

Dieses Vorurteil gegenüber Access-Management-Systemen ist schnell entkräftet, denn mittlerweile wissen wir: WENN ein IAM-Projekt scheitert, dann liegt das in 99 Prozent der Fälle daran, dass das Unternehmen sich für die falsche Software entschieden hat. Und “falsch” heißt konkret: unpassend für die Unternehmensstruktur.

Insbesondere für mittelständische Unternehmen ist es wichtig, den Funktionsumfang der IAM-Lösung genau zu prüfen und sicherzustellen, dass die Software innerhalb eines angemessenen zeitlichen (und finanziellen) Rahmens implementiert und effektiv genutzt werden kann.

[GRATIS WHITEPAPER] IAM Software im Vergleich

Dieses Whitepaper stellt einfache Data-Governance-Lösungen und komplexe Enterprise-IAM-Lösungen einander gegenüber.

Zum Download

[GRATIS WHITEPAPER] IAM Software im Vergleich

Dieses Whitepaper stellt einfache Data-Governance-Lösungen und komplexe Enterprise-IAM-Lösungen einander gegenüber.

Zum Download

Data Governance: nicht komplex genug

Nehmen wir an, ein Unternehmen im Midmarket-Segment entscheidet sich für eine Data-Governance-Lösung, um z.B. Berechtigungsschwierigkeiten auf Netzwerkfreigaben zu lösen. Folgendes passiert: Die Software bringt kurzfristig Ordnung in die Fileserver, allerdings hält diese Ordnung nicht lange an, weil sie lediglich die Symptome, nicht aber das Grundproblem der dezentralen Berechtigungsvergabe beseitigt.

Das liegt daran, dass Data-Governance-Lösungen für mittelständische Unternehmen nicht komplex genug sind. Sie sind nicht in der Lage dazu, Prozesse, Policies und Rollen so abzubilden, dass es tatsächlich zu einer nachhaltigen Verbesserung kommt.

Enterprise-IAM: zu komplex

Bei einer komplexen Enterprise-IAM-Suite haben wir es mit dem gegenteiligen Problem zu tun, denn Produkte dieser Art sind gar nicht darauf ausgelegt, auf Basis von Best Practices innerhalb kurzer Zeit in Betrieb genommen zu werden.

In den meisten Fällen besteht Enterprise-IAM-Software aus mehreren Einzelprodukten, deren vollständige Inbetriebnahme häufig die zeitlichen, administrativen und finanziellen Ressourcen sprengt, die der IT eines mittelständischen Unternehmens zur Verfügung stehen.

In einem solchen Fall passiert folgendes: Von der geplanten Funktionalität bleibt am Ende häufig nur ein Bruchteil übrig, weil Teile der Lösung aufgrund fehlender Ressourcen niemals fertig implementiert wurden.


Das bedeutet natürlich, dass der Aufwand für die laufende Betreuung und Wartung in keinem Verhältnis zu den tatsächlichen Vorteilen steht, die diese “Rumpflösung” für das Unternehmen erzielt. Mit anderen Worten: Sie zahlen für etwas, das Sie in der geplanten Funktionsweise gar nicht einsetzen können.

Skeletthände auf einer Tastatur.

Kundenspezifische Programmierung: Top oder Flop?

Viele Anbieter im Enterprise-Umfeld setzen auf Individualisierung durch kundenspezifische Programmierung. Das klingt zunächst einmal gut. Bei näherer Betrachtung ergeben sich jedoch Probleme. Zunächst einmal nimmt schon die Implementierung der Standardschnittstellen, ohne die reibungslose Arbeitsabläufe nicht möglich sind (z.B. die Schnittstelle zum Active Directory) enorm viel Zeit in Anspruch.

Darüber hinaus erfordert die kundenspezifische Programmierung einen beträchtlichen Anpassungsaufwand, welcher letzten Endes auch die Kosten für die laufende Wartung in die Höhe treibt. Stark spezifizierte IAM-Projekte geraten daher häufig ins Stocken und fallen im (effektiv nutzbaren) Funktionsumfang weit hinter die Erwartungen zurück.

Wie finde ich die richtige IAM Software?

Sie sollten Ihre Identity and Access Management Software nicht nach dem Hersteller auswählen, sondern danach, ob die Software für den Einsatz in Ihrem Unternehmen geeignet ist. Welche Funktionen sie bieten muss hängt nämlich ausschließlich davon ab, welche Ziele Sie erreichen möchten, und wie Ihre IT-Infrastruktur aufgebaut ist.

IAM-Software für Großkonzerne

Die meisten Großkonzerne sind strukturell sehr komplex und brauchen daher auch ein entsprechend komplexes IAM-System. Das ist wichtig, weil Großkonzerne es, anders als kleine und mittelständische Unternehmen, sehr häufig mit speziellen Vorgängen zu tun haben.

Da die Abbildung von Spezialvorgängen keine Out-of-the-Box-Funktion ist, sondern eine kundenspezifische Programmierung erfordert, brauchen Großkonzerne eine Enterprise-IAM-Lösung, die theoretisch jeden noch so speziellen Vorgang abbilden kann.

IAM Software Vergleich

IAM Software für den Mittelstand

Anders als in Großkonzernen haben wir es in den meisten mittelständischen Unternehmen zu 90 Prozent mit standardisierbaren Vorgängen zu tun, die automatisiert über IAM abgebildet werden können. Alle paar Wochen gesellt sich noch ein Spezialvorgang hinzu, der nicht standardisierbar ist (10 Prozent).

Da sich die Anschaffung eines komplexen Enterprise-IAM allein wegen der wenigen Spezialvorgänge nicht rechnet, brauchen mittelständische Unternehmen eine Software, die die Standard-Vorgänge in kürzester Zeit und out-of-the-Box implementiert und für die wenigen Spezialvorgänge Erweiterungen bietet. Wir sprechen in diesem Zusammenhang auch von Top down vs. Bottom up.

Bottom up vs. top down

Identity and Access Management Software für den Mittelstand sollte grundsätzlich nach dem Prinzip bottom up funktionieren. Das bedeutet, dass mit dem Standardumfang zunächst die Funktionalitäten für die wichtigsten und am häufigsten durchgeführten Prozesse (die berühmten 90 Prozent) zur Verfügung stehen müssen.

Wenn die Möglichkeiten des Standardumfangs erschöpft sind, bestimmte wichtige, nicht änderbare Workflows darin aber nicht abbildbar sind, sollte die Software die Möglichkeit der Erweiterung bieten: von unten nach oben.

Rollen? Ja! Aber bitte sinnvoll

Die Rollenkonzepte sind ein wesentlicher Bestandteil von IAM-Lösungen. Ohne Rollen funktioniert die Automatisierung nicht. Trotzdem ist es wichtig, dass das Rollenkonzept nicht überhandnimmt. Wenn eine Software keine Möglichkeit bietet, neben den fix definierten Rollen auch Einzelberechtigungen zu vergeben und zu  verwalten, haben Sie es bald mit mehr Rollen als Benutzern zu tun. Und dann hat das Rollenkonzept sein Ziel verfehlt.

Benutzerfreundlichkeit

Ein IAM-Projekt ist nur dann erfolgreich, wenn die Software benutzerfreundlich ist. Können die Anwender (sowohl in der IT-Abteilung als auch in anderen Fachbereichen) nicht mit der Lösung umgehen, wird sie nicht akzeptiert und das Projekt ist zum Scheitern verurteilt. Ein wesentlicher Faktor in Sachen Benutzerfreundlichkeit ist die Konfiguration. Diese sollte möglichst einfach und auf der Benutzeroberfläche möglich sein.

IAM Software Vergleich – Fazit

Wir haben gesehen, dass Data-Governance-Lösungen sich mit Berechtigungen auf unorganisierten Daten befassen, jedoch keine Funktionen für die nachhaltige Verbesserung von Strukturen und Prozessen bieten.

IAM-Lösungen für Großkonzerne sind strukturell wiederum so komplex, dass die Implementierung mehrere Jahre in Anspruch nehmen kann, die laufende Wartung entsprechend aufwändig ist und jede noch so kleine Anpassung oder Änderung in den Einstellungen externes Expertenwissen voraussetzt.

Die Lösung? Eine IAM-Software, die ähnlich schnell implementiert ist wie Data-Governance-Lösungen, aber dem Unternehmen trotzdem jede Funktionalität bieten kann, die die jeweilige Organisationsstruktur erfordert. Diese Lösung heißt tenfold.

tenfold – die All-in-One-Lösung

Viele Anbieter vertreiben IAM Software auf Basis mehrerer eigenständiger Produkte. tenfold bietet Ihnen alle Funktionen in EINEM Produkt. Das hat folgende Vorteile:

  • Ihre Mitarbeiter benötigen nur eine einzige Schulung.

  • Eine Synchronisierung der Daten zwischen unterschiedlichen Produkten ist nicht erforderlich, wodurch wir zusätzliche Fehlerquellen vermeiden.

  • Alle Daten sind überall verfügbar und stets aktuell.

  • Die Benutzeroberfläche und sämtliche Begrifflichkeiten sind einheitlich.

  • Sie müssen lediglich die Infrastruktur für einen Application Server zur Verfügung stellen.

tenfold – Vordenker im midmarket-Segment

tenfold ist Next Generation Access Management. Das ist keine Behauptung, sondern eine Tatsache. Unsere IAM-Software “tenfold” ist speziell an die Bedürfnisse von mittelständischen Organisationen angepasst, für die Data-Governance-Lösungen nicht genügend Funktionen bieten, die aber auch nicht die Komplexität einer großen IAM-Suite benötigen.

Mit tenfold verfolgen wir einen pragmatischen Ansatz, der Komplexität in Benutzerfreundlichkeit übersetzt. Wir legen besonderen Wert darauf, dass ALLE tenfold-Nutzer, vom IT-Admin bis zur HR-Fachkraft, effizient mit der Software arbeiten können.

Warum tenfold?

tenfold ist mit Abstand die beste IAM-Software für mittelständische Unternehmen. Glauben Sie nicht?

Wir überzeugen Sie!

Warum tenfold?

tenfold ist mit Abstand die beste IAM-Software für mittelständische Unternehmen. Glauben Sie nicht?

Wir überzeugen Sie!