IAM-Reifegradmodelle im Kontext moderner IT- und Security-Strategien

IAM hat sich von einer administrativen IT-Funktion zu einer zentralen Governance-Disziplin entwickelt, die Sicherheitskontrollen, regulatorische Nachweisfähigkeit und digitale Skalierbarkeit strukturell ermöglicht. In Cloud-, Hybrid- und Multi-Provider-Umgebungen bildet Identität die zentrale Kontrollinstanz für Zugriff, Sicherheit und Compliance. Konzepte wie Zero Trust, Identity-First-Security und Least Privilege setzen voraus, dass Identitäten, Berechtigungen und Zugriffskontrollen strukturiert, transparent und steuerbar sind. Bei zunehmender regulatorischer Dichte (z. B. ISO 27001, NIS2, KRITIS, DORA) sowie im Kontext von Zero-Trust-Architekturen entscheidet die Qualität des IAM über:

• Die Wirksamkeit von Sicherheitskontrollen
• Die Nachweisfähigkeit gegenüber Prüfern
• Die Beherrschbarkeit komplexer Berechtigungsstrukturen
• Die Skalierbarkeit digitaler Geschäftsmodelle

Vor diesem Hintergrund stellt sich nicht nur die Frage, ob IAM strukturiert betrieben wird, sondern auf welchem Reifegradniveau sich eine Organisation befindet und wie dieses gezielt weiterentwickelt werden kann.

Ein IAM-Reifegradmodell ist ein systematischer Bewertungsrahmen, der organisatorische, prozessuale und technische Leistungsfähigkeit messbar macht und deren Weiterentwicklung planbar strukturiert. Der Mehrwert variiert nach Projektphase und Stakeholder-Perspektive.

IAM-Reifegradmodelle erfüllen in diesem Kontext mehrere Funktionen:

• Standortbestimmung des aktuellen organisatorischen, prozessualen und technischen Reifegrades
• Orientierungs- und Steuerungsinstrument in Transformationsphasen der IAM-Umgebung
• Feststellung des eigenen Ambition Levels und des strategischen Ausbauzieles
• Priorisierung von Investitionen und Transformationsinitiativen
• Kommunikationsinstrument zur Vermittlung komplexer IAM/IAG-Strukturen bei den wesentlichen Stakeholdern
• Eine Schritt-für-Schritt Anleitung zum Ausbau ausgewählter Reifegradkategorien bis zum Erreichen des Gesamt-IAM/IAG-Zielbildes

Ein Reifegradmodell ersetzt keine Strategie, schafft jedoch die Grundlage für deren systematische Umsetzung.

Um diese Funktionen erfüllen zu können, basiert das Modell auf einer klar definierten Struktur. Ein IAM-/IAG-Reifegradmodell ist typischerweise zweidimensional aufgebaut:

In der ersten Dimension stehen die typischen Handlungsfelder des Identity- und Access-Managements – wie etwa Strategie, Organisation, IAM-Prozesse (im Zusammenhang mit den Geschäftsprozessen), Rollen (inklusive Funktionstrennung), Quell- und Zielsysteme, IAM-Infrastruktur, Rezertifizierung und Reporting, Authentisierung sowie PAM.

Diese Kategorien strukturieren die inhaltliche Breite der IAM-Funktion und stellen sicher, dass sowohl Governance-, Prozess-, Technologie- als auch Sicherheitsaspekte systematisch berücksichtigt werden.

In der zweiten Dimension werden diese Kategorien entlang definierter Reifegradstufen bewertet – typischerweise von Initial über Wiederholbar, Definiert und Managed bis Optimiert.

Jede Stufe ist durch klar beschriebene Merkmale, Kontrollausprägungen und Organisationsgrade charakterisiert. Aus der Kombination beider Dimensionen entsteht eine Bewertungsmatrix, die es ermöglicht, für jede IAM-Kategorie den aktuellen Entwicklungsstand anhand definierter Kriterien und Praxisbeispiele objektiv einzuordnen.

Auf diese Weise wird der IAM-Reifegrad eines Unternehmens nachvollziehbar, vergleichbar und steuerbar bestimmt.

Bei der Anwendung des Reifegradmodells handelt es sich um eine methodische Übertragung des CMMI-Prinzips auf das jeweilige IAM/IAG Handlungsfeld.

Ziel ist eine belastbare Standortbestimmung sowie die Ableitung eines steuerbaren Transformationsprogramms.

Zunächst werden die zu betrachtenden IAM/IAG-Dimensionen (Handlungsfelder) festgelegt und inhaltlich definiert. Die definierten Handlungsfelder werden im Kontext der jeweiligen Organisation präzisiert und auf spezifische regulatorische sowie interne Anforderungen abgestimmt. Dabei ist sicherzustellen, dass spezifische externe und interne Anforderungen berücksichtigt werden.

Danach werden die genannten 5 Stufen anhand von Beispielen diesen Handlungsfeldern zugeordnet. Die Bewertung erfolgt anhand klar definierter Kriterien je Reifegrad. Maßgeblich ist, ob die Ausprägung des jeweiligen Handlungsfeldes den strukturellen Anforderungen dieser Stufe entspricht. Anders gesagt, wird überprüft, ob der Inhalt des jeweiligen Handlungsfeldes bereits die definierten Anforderungen an diese Stufe trägt. Im Folgenden wird die Systematik verdeutlicht.

Legt man bspw. für die Stufe 3 – „Definiert“ folgende übergreifenden Anforderungen fest:

• Grundsätzlich werden die Geschäftsprozesse durch definierte IAM-spezifische Technologien, Prozesse und Organisationstrukturen unterstützt
• Im Bereich der IAM/IAG-Prozesse besteht eine definierte und dokumentierte Kernmenge regelungsrelevanter Prozesse
• Manuelle Aufwände sind noch signifikant; Automatisierungspotentiale sind klar erkennbar
• Grundsätzliche Nachweise und zu den Einhaltungen von Vorschriften können gesammelt und Kontrollen erbracht werden

Unterhalb von Stufe 3 sind Governance-Strukturen typischerweise nicht institutionalisiert oder nur fragmentarisch ausgeprägt. Organisationen bewegen sich in einem strukturell erhöhten Risiko- und Haftungsumfeld.

Es folgen Beispiele für einige, nicht abschließende Anforderungen in vier Handlungsfeldern zur Verdeutlichung dieser Mindestanforderungen.

Ein zu erreichendes Ziel für IAM/IAG im Unternehmen ist festgelegt (Zielbild). IAM/IAG-Richtlinien sind definiert, strukturiert und vollständig. Eine Einbettung in übergeordnete IT-Sicherheitsrichtlinien ist erfolgt. Es sind definierte Key Risk Indicators (KRI) und Key Performance Indicators (KPI) implementiert und regelmäßig ausgewertet.

Maßnahmen, Umsetzungsverantwortungen und Kontrollen sind aus geltenden Vorschriften abgeleitet, definiert und etabliert worden.

In der IAM/IAG-Organisation sind Verantwortlichkeiten und Governance-Strukturen und -Prozesse klar definiert und unternehmensweit etabliert. IAM/IAG ist organisatorisch institutionalisiert und auditfähig. Die Organisation verfügt über stabile Strukturen, jedoch noch nicht über eine vollständig datenbasierte, strategisch integrierte und kontinuierlich optimierte Steuerungsfunktion, wie sie für höhere Reifegrade charakteristisch ist. Die IAM/IAG Organisation kann neben dem Betrieb und Verankerung in der Linie auch IAM-Projekte begleiten und Ergebnisse in den Tagesbetrieb überführen.

Die Kernprozesse für neue Mitarbeiter hinsichtlich Joiner, Mover, Leaver sind definiert und automatisiert. Prozesse für technische Identitäten sind definiert, aber ggf. noch nicht effizient toolbasiert berücksichtigt. Personen- und Organisationsdaten werden verarbeitet und die wichtigsten, geschäftskritischen Anwendungen werden über ein IAM/IAG verwaltet. Genehmigungsworkflows sind vorhanden.

Es besteht eine IAM-/IAG-Infrastruktur, als zentral definierte Systemlandschaft, die wesentliche Geschäftsprozesse unterstützt und regulatorische Anforderungen grundsätzlich erfüllt. Die Infrastruktur ist strukturell stabil und auditfähig, jedoch noch nicht vollständig automatisiert oder kontinuierlich optimiert.

Abbildung 1: Aufnahme der Abweichungen zu "Defined"

Nach der strukturierten Einwertung der Ist-Situation in die definierten Handlungsfelder und Reifegradstufen erfolgt die Festlegung des sogenannten Ambition Levels. Dieses beschreibt den angestrebten Zielreifegrad je Handlungsfeld und stellt damit die strategische Soll-Position der IAM/IAG-Organisation dar.

Das Ambition Level wird nicht isoliert aus dem aktuellen Status abgeleitet, sondern unter Berücksichtigung folgender Einflussfaktoren definiert:

• Geschäftsmodell und Digitalisierungsgrad
• Regulatorische Anforderungen und Prüfungsintensität
• Risikotoleranz und Schutzbedarfsklassen
• Komplexität der IT- und Applikationslandschaft
• Organisatorische Skalierungsanforderungen
• Wirtschaftlichkeit und Investitionsrahmen

Ein pauschales Streben nach maximaler Reife ist weder wirtschaftlich noch regulatorisch erforderlich. Maßgeblich ist ein risikoadäquater Zielzustand, der sowohl regulatorisch belastbar als auch wirtschaftlich vertretbar ist. Der Zielreifegrad muss auch innerhalb eines realistischen Kosten- und Ressourcenrahmens erreichbar sein.

Die wirtschaftliche Dimension wirkt dabei in zwei Richtungen: Einerseits kann der Ausbau in höhere Reifestufen – je nach Ausgangslage und Integrationsgrad – erhebliche, teilweise stark steigende Kosten verursachen. Andererseits sind Reifegradziele nur dann wirksam, wenn sie im laufenden Betrieb finanzierbar bleiben; andernfalls entsteht ein „Papierreifegrad“, der zwar konzeptionell definiert, aber organisatorisch nicht dauerhaft tragfähig ist.

Wirtschaftlichkeit im IAM/IAG-Kontext bezeichnet das Verhältnis aus Risikoabsicherung, operativem Nutzen und Gesamtaufwand (Einführung und Betrieb).

Weiterhin bildet das Ambition Level die Grundlage für die weitere Kommunikation zwischen Management, CISO, IAM-Verantwortlichen und Fachbereichen. Es schafft Klarheit über:

• Strategische Zielsetzung
• Prioritäten im Transformationsvorhaben
• Notwendige Investitionsschwerpunkte
• Zeitliche Zielbilder

Auf Basis der Differenz zwischen Ist-Reifegrad und Ziel-Reifegrad (Gap-Analyse) werden anschließend konkrete Maßnahmen abgeleitet. Diese umfassen typischerweise:

• Organisatorische Anpassungen (Rollen, Governance, Verantwortlichkeiten)
• Prozessstandardisierung und Kontrollschärfung
• Technologische Erweiterungen oder Systemintegrationen
• Automatisierungsinitiativen
• Regulatorische und dokumentarische Maßnahmen

Die Maßnahmen werden priorisiert, sequenziert und in eine mehrstufige Implementierungsplanung überführt. Diese Roadmap berücksichtigt:

• Abhängigkeiten zwischen Handlungsfeldern
• Ressourcenverfügbarkeit
• Laufende Transformationsprogramme
• Regulatorische Fristen

Die Implementierungsplanung enthält neben fachlichen Abhängigkeiten auch eine wirtschaftliche Sequenzierung: Maßnahmen mit hohem Risikohebel und vergleichsweise geringem Aufwand werden priorisiert, während kostenintensive Ausbauschritte in höhere Reifestufen erst dann erfolgen, wenn regulatorischer Bedarf, Nutzenpotenzial und Betriebsfähigkeit belastbar nachgewiesen sind. Damit wird verhindert, dass Reifegradentwicklung ohne proportionalen Risiko- oder Compliance-Gewinn verfolgt werden und das Reifegradmodell wird von einer reinen Bewertungsmethodik zu einem strategischen Steuerungsinstrument.

Die zuvor dargestellte Einwertung des aktuellen Reifegrades sowie die Definition eines Ambition Levels beantworten die Frage, wo ein Unternehmen steht und wohin es sich entwickeln möchte. Die entscheidende Anschlussfrage lautet:

Wie erfolgt die strukturierte, risikoadäquate und wirtschaftlich sinnvolle Umsetzung dieses Zielbildes?

Die nachfolgende Grafik zeigt das von IPG entwickelte Vorgehensmodell zur sukzessiven Implementierung einer IAM/IAG-Umgebung. Es überführt das Reifegradmodell in eine konkrete, phasenorientierte Transformationslogik.

Abbildung 2: Roadmap der Implementierung

Die Darstellung erfüllt mehrere zentrale Funktionen:

• Einordnung und Soll-Definition
• Implementierungs- und Budgetplanung
• Kommunikations- und Steuerungsgrundlage
• Visualisierung des Transformationsablaufs

Die Grafik definiert eine fachlich begründete Implementierungsreihenfolge. Sie schafft Planungssicherheit, ermöglicht KPI-basierte Messbarkeit und fokussiert Investitionen auf logisch aufeinander aufbauende Maßnahmen. Das schrittweise Vorgehen ist dabei nicht nur methodisch sinnvoll, sondern auch wirtschaftlich: Übersprungene Grundlagen führen häufig zu teuren Nacharbeiten, Medienbrüchen und ineffizienten Automatisierungen.

Eine ergänzende Perspektive stellt sich noch aus regulatorischer Sicht:

In welchem Umfang führt die Implementierung bereits zur Erfüllung zentraler IAG-Grundprinzipien und damit mittelbar zu regulatorischer Wirksamkeit?

Die nachfolgende Grafik stellt diese zweite Sichtweise dar. Sie verknüpft die Implementierungsstufen mit den grundlegenden IAG-Prinzipien und macht sichtbar, ab welcher Ausbaustand welche Governance- und Compliance-Anforderungen bereits Berücksichtigung finden.

Abbildung 3: Implementierung aus Sicht der 10 IAG-Prinzipien

Die Darstellung zeigt, dass mit zunehmender Implementierung der IAM/IAG-Struktur sukzessive die wesentlichen 10 IAG-Prinzipien erfüllt werden. Diese Prinzipien stehen stellvertretend für die grundlegenden Steuerungs- und Kontrollmechanismen, die in gängigen IAM/IAG-Normen und regulatorischen Rahmenwerken gefordert werden (z. B. ISO 27001, NIS2, KRITIS, DORA, BSI-Grundschutz).

Mit der Orientierung am Reifegradmodell werden die IAG-Prinzipien nicht abstrakt adressiert, sondern operativ implementiert. Bereits frühe Reifestufen schaffen erste regulatorische Wirkmechanismen. Das Reifegradmodell wird damit zum argumentativen Nachweisrahmen gegenüber Revision, Aufsicht und Management.

Der Ausbau innerhalb einer bestimmten Reifegradstufe erfolgt nicht zur Maximierung eines theoretischen Reifeindex.

Vielmehr orientiert sich die Weiterentwicklung an:

• Minimal erforderlichen regulatorischen Anforderungen
• Risikobewertungen
• Wirtschaftlicher Angemessenheit

Das Ambition Level wird somit nicht technologisch, sondern regulatorisch und risikoadäquat begründet.

Abschließend lässt sich festhalten: Ein IAM/IAG-Reifegradmodell dient nicht nur der Bewertung des Status quo, sondern schafft eine klare Grundlage für Entscheidungen. Es hilft, den aktuellen Entwicklungsstand sachlich einzuordnen, ein realistisches Zielniveau festzulegen und die notwendigen Schritte dorthin strukturiert zu planen. Durch die Verbindung von Reifestufen, konkreten Maßnahmen und regulatorischen Prinzipien entsteht Transparenz darüber, welche Anforderungen bereits erfüllt sind und wo Handlungsbedarf besteht. Richtig angewendet unterstützt das Modell Unternehmen dabei, Risiken kontrolliert zu reduzieren, Prozesse nachvollziehbar zu gestalten und die Weiterentwicklung ihrer IAM/IAG-Strukturen gezielt und wirtschaftlich sinnvoll voranzutreiben.