Was ist Identitätsmanagement? IAM einfach erklärt für KMU

Q: Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Authentifizierung beantwortet die Frage 'Wer sind Sie?' — sie überprüft die Identität eines Benutzers, etwa durch Passwort, Badge oder Fingerabdruck. Autorisierung beantwortet die Frage 'Was dürfen Sie?' — sie legt fest, auf welche Ressourcen und Funktionen ein authentifizierter Benutzer zugreifen darf. Beide Konzepte sind grundlegend für ein funktionierendes Identitätsmanagement.

Identitätsmanagement — im Fachjargon IAM — regelt, wer in einem Unternehmen auf welche Ressourcen zugreifen darf. Es umfasst alle Prozesse, Technologien und Richtlinien, die sicherstellen, dass nur berechtigte Personen Zugang zu Systemen, Daten und Geräten erhalten.

Für viele kleine und mittelständische Unternehmen klingt das nach einem Thema für Konzerne mit Tausenden von Mitarbeitern. Doch die Realität zeigt: Gerade KMU sind besonders anfällig für Sicherheitslücken, die durch fehlendes Identitätsmanagement entstehen. Geteilte Passwörter, offene Multifunktionsgeräte und fehlende Protokollierung sind in vielen Büros Alltag — und gleichzeitig potenzielle DSGVO-Verstöße.

Dieser Artikel erklärt die Grundlagen des Identitätsmanagements, zeigt die Unterschiede zwischen Authentifizierung und Autorisierung auf und beschreibt, wie Unternehmen jeder Größe mit einfachen Mitteln den Einstieg schaffen.

Was ist Identity and Access Management (IAM)?

Die drei Kernfragen, die IAM beantwortet

Identity and Access Management (IAM) ist ein Rahmenwerk aus Richtlinien und Technologien, das drei grundlegende Fragen beantwortet:

Identifikation: Wer ist diese Person? (Benutzerkonto, Mitarbeiter-ID)
Authentifizierung: Ist die Person wirklich die, die sie vorgibt zu sein? (Passwort, Badge, Fingerabdruck)
Autorisierung: Was darf diese Person tun? (Zugriff auf Systeme, Drucker, Ordner)

In der Praxis bedeutet das: Ein Mitarbeiter meldet sich mit seiner Identität an (z. B. per Badge am MFP), das System überprüft, ob die Identität gültig ist, und gibt anschließend genau die Funktionen frei, die diesem Mitarbeiter zugewiesen sind — nicht mehr und nicht weniger.

IAM in einem Satz: Identitätsmanagement stellt sicher, dass die richtigen Personen zur richtigen Zeit aus den richtigen Gründen auf die richtigen Ressourcen zugreifen können — und niemand sonst.

Authentifizierung vs. Autorisierung

Zwei Konzepte, die oft verwechselt werden — aber grundverschieden sind

Die Begriffe Authentifizierung und Autorisierung werden im Alltag häufig synonym verwendet. Für ein funktionierendes Identitätsmanagement ist es jedoch entscheidend, den Unterschied zu verstehen:

Kriterium	Authentifizierung	Autorisierung
Kernfrage	Wer sind Sie?	Was dürfen Sie?
Zeitpunkt	Vor dem Zugriff	Nach der Authentifizierung
Methode	Passwort, Badge, PIN, Biometrie	Rollen, Gruppen, Richtlinien
Beispiel am MFP	Mitarbeiter hält Badge an Kartenleser	MFP zeigt nur freigegebene Funktionen (z. B. Scannen ja, Farbdruck nein)
Verwaltung	Benutzerverzeichnis (Active Directory)	Berechtigungsmatrix, Gruppenrichtlinien

Beide Konzepte arbeiten zusammen: Ohne Authentifizierung weiß das System nicht, wer zugreift. Ohne Autorisierung hat jeder authentifizierte Benutzer Zugang zu allem. Erst die Kombination beider Konzepte schafft ein sicheres Identitätsmanagement.

Warum auch KMU Identitätsmanagement brauchen

Die DSGVO gilt für jedes Unternehmen — unabhängig von der Größe

Viele KMU unterschätzen die Relevanz von Identitätsmanagement. Das Argument lautet oft: „Wir sind nur 30 Mitarbeiter, wir kennen uns alle." Doch die DSGVO unterscheidet nicht nach Unternehmensgröße. Artikel 32 fordert „technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten — und das gilt für ein Unternehmen mit 10 Mitarbeitern genauso wie für einen Konzern.

Typische Risiken ohne IAM

Die folgenden Szenarien sind in vielen KMU Alltag — und gleichzeitig potenzielle Datenschutzverstöße:

Geteilte Passwörter: Mehrere Mitarbeiter nutzen dasselbe Login für den Drucker oder das Scan-System. Bei einem Vorfall lässt sich nicht feststellen, wer verantwortlich ist.
Offene MFPs: Multifunktionsgeräte sind ohne Anmeldung zugänglich. Personalakten, Gehaltsabrechnungen oder Mandantenunterlagen liegen ungeschützt im Ausgabefach.
Kein Audit-Trail: Es gibt keine Protokollierung, wer wann was gedruckt, gescannt oder kopiert hat. Bei einer Datenschutzprüfung kann kein Nachweis erbracht werden.
Fehlende Offboarding-Prozesse: Wenn ein Mitarbeiter das Unternehmen verlässt, bleibt der Zugang zu Geräten und Systemen oft aktiv.
Keine Rollentrennung: Jeder Mitarbeiter hat Zugriff auf alle Funktionen — der Praktikant kann die gleichen Dokumente drucken wie der Geschäftsführer.

Bußgeldrisiko: DSGVO-Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Selbst bei KMU wurden bereits fünfstellige Bußgelder wegen unzureichender technischer Maßnahmen verhängt.

Die vier Komponenten eines IAM-Systems

Was ein funktionierendes Identitätsmanagement ausmacht

1. Benutzerverzeichnis (Active Directory)

Das Benutzerverzeichnis ist die zentrale Datenbank aller Benutzeridentitäten. In den meisten Unternehmen übernimmt diese Rolle Microsoft Active Directory (AD). Hier werden Benutzerkonten, Gruppenzugehörigkeiten und Organisationsstrukturen gepflegt. Das AD ist die „Single Source of Truth" — alle anderen Systeme synchronisieren ihre Benutzerdaten daraus.

2. Authentifizierung

Die Authentifizierungsschicht überprüft die Identität eines Benutzers. Je nach Sicherheitsanforderung stehen verschiedene Methoden zur Verfügung:

Wissen: Passwort, PIN-Code
Besitz: NFC-Badge, Smartphone, Token
Biometrie: Fingerabdruck, Gesichtserkennung
Kombination (2FA): Badge + PIN für erhöhte Sicherheit

3. Berechtigungen (Autorisierung)

Nach erfolgreicher Authentifizierung legt das Berechtigungssystem fest, auf welche Ressourcen der Benutzer zugreifen darf. Das geschieht typischerweise über rollenbasierte Zugriffskontrolle (RBAC): Benutzer werden Rollen zugewiesen, und jede Rolle hat definierte Berechtigungen. Beispiel: Die Rolle „HR" darf Personalakten scannen, die Rolle „Marketing" nicht.

4. Protokollierung (Audit-Trail)

Ein vollständiger Audit-Trail dokumentiert alle Zugriffe: Wer hat wann an welchem Gerät welche Aktion ausgeführt? Diese Protokollierung ist nicht nur für die DSGVO-Compliance essenziell, sondern auch für die interne Transparenz. Bei einem Sicherheitsvorfall lässt sich exakt nachvollziehen, was passiert ist.

Der Einstieg: Badge-System am MFP

Identitätsmanagement beginnt am Multifunktionsgerät

Für viele Unternehmen ist das Multifunktionsgerät der ideale Einstiegspunkt in das Identitätsmanagement. Der Grund: MFPs verarbeiten täglich vertrauliche Dokumente — von Personalakten über Verträge bis hin zu Mandantenunterlagen. Gleichzeitig ist die Implementierung eines Badge-Systems am MFP vergleichsweise einfach und kosteneffizient.

So funktioniert es

Ein NFC-Kartenleser wird am Multifunktionsgerät installiert. Mitarbeiter halten ihren Firmenausweis oder eine NFC-Karte an den Leser, um sich zu authentifizieren. Nach erfolgreicher Anmeldung werden automatisch die persönlichen Scan-Profile, Druckaufträge und Berechtigungen geladen. Nicht abgeholte Druckaufträge werden automatisch gelöscht — so liegen keine vertraulichen Dokumente mehr unbeaufsichtigt im Ausgabefach.

Vorteile auf einen Blick

Sofortige Sicherheit: Kein unbefugter Zugriff auf Druck-, Scan- und Kopierfunktionen
DSGVO-Compliance: Nachvollziehbarer Audit-Trail für alle Gerätezugriffe
Kosteneffizienz: NFC-Karten kosten 2–5 Euro pro Stück, oft können bestehende Zutrittskarten genutzt werden
Benutzerfreundlichkeit: Badge vorhalten dauert weniger als eine Sekunde — schneller als jedes Passwort
Active-Directory-Integration: Benutzer und Berechtigungen werden automatisch synchronisiert

Praxistipp: Wenn Ihr Unternehmen bereits Zutrittskarten für die Gebäudesicherung nutzt, können Sie dieselben Karten für die Authentifizierung am MFP verwenden. Eine Karte für Tür, Drucker und Kantine — das vereinfacht die Verwaltung und reduziert die Kosten.

IAM in der Praxis: Drei Szenarien

Wie Identitätsmanagement den Arbeitsalltag verändert

Szenario 1: Kanzlei mit 15 Mitarbeitern

Eine Anwaltskanzlei verarbeitet täglich Mandantenakten mit hochsensiblen Daten. Ohne IAM kann jeder Mitarbeiter am MFP jede Akte drucken oder scannen. Mit einem Badge-System sieht jeder Anwalt nur seine eigenen Scan-Profile und Druckaufträge. Die Assistenz hat Zugriff auf allgemeine Funktionen, aber nicht auf die Akten anderer Anwälte. Der Audit-Trail dokumentiert jeden Zugriff — wichtig für die Mandantenvertraulichkeit.

Szenario 2: Mittelständisches Unternehmen mit 80 Mitarbeitern

Die Personalabteilung druckt regelmäßig Gehaltsabrechnungen. Ohne IAM können diese im Ausgabefach von jedem eingesehen werden. Mit Pull-Printing werden die Gehaltsabrechnungen erst gedruckt, wenn sich der HR-Mitarbeiter persönlich am MFP authentifiziert. Zusätzlich ist Farbdruck nur für die Marketingabteilung freigegeben — das spart Tonerkosten.

Szenario 3: Behörde mit Publikumsverkehr

In einer Stadtverwaltung sind MFPs in verschiedenen Abteilungen verteilt. Ohne IAM könnte ein Besucher im Wartebereich ein unbeaufsichtigtes Gerät nutzen. Mit Zugriffskontrolle ist jedes Gerät gesperrt und wird erst nach Badge-Authentifizierung freigeschaltet. Verschiedene Abteilungen haben unterschiedliche Berechtigungen — das Standesamt kann andere Dokumente verarbeiten als das Bauamt.

Identitätsmanagement in der Praxis erleben

Docuflair Access Control und Identity bieten Badge-Authentifizierung, Pull-Printing und DSGVO-konforme Zugriffskontrolle für MFPs jeder Größe. Vereinbaren Sie eine kostenlose Demo und erleben Sie IAM im Einsatz.

Kostenlose Demo anfordern Access Control entdecken

Häufig gestellte Fragen

Antworten auf die wichtigsten Fragen zu Identitätsmanagement

Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Authentifizierung beantwortet die Frage „Wer sind Sie?" — sie überprüft die Identität eines Benutzers, etwa durch Passwort, Badge oder Fingerabdruck. Autorisierung beantwortet die Frage „Was dürfen Sie?" — sie legt fest, auf welche Ressourcen und Funktionen ein authentifizierter Benutzer zugreifen darf. Beide Konzepte sind grundlegend für ein funktionierendes Identitätsmanagement.

Brauchen auch kleine Unternehmen Identitätsmanagement?

Ja, denn die DSGVO gilt unabhängig von der Unternehmensgröße. Bereits ein offener MFP, an dem Personalakten oder Gehaltsabrechnungen ungeschützt im Ausgabefach liegen, kann einen Datenschutzverstoß darstellen. Für KMU bietet ein Badge-System am Multifunktionsgerät einen einfachen und kosteneffizienten Einstieg in das Identitätsmanagement.

Welche Risiken entstehen ohne Identitätsmanagement?

Ohne IAM entstehen erhebliche Risiken: Geteilte Passwörter machen individuelle Zugriffe nicht nachvollziehbar, offene MFPs ermöglichen unbefugten Zugriff auf vertrauliche Dokumente, und ohne Audit-Trail kann bei einer Datenschutzprüfung nicht belegt werden, wer wann auf welche Daten zugegriffen hat. Im schlimmsten Fall drohen DSGVO-Bußgelder von bis zu 20 Millionen Euro.

Wie gelingt der Einstieg in das Identitätsmanagement?

Der einfachste Einstieg ist ein Badge-System am Multifunktionsgerät. Mitarbeiter authentifizieren sich per NFC-Karte, das Gerät wird erst nach Anmeldung freigeschaltet und Druckaufträge werden erst nach Identifikation ausgegeben. So schützen Sie vertrauliche Dokumente, erhalten einen Audit-Trail und erfüllen gleichzeitig die DSGVO-Anforderungen — ohne komplexe IT-Projekte.