Die regulatorischen Vorgaben aus BSIG und NIS2 sind eindeutig: Identity & Access Management ist ein zentraler Bestandteil der IT-Sicherheit von KRITIS-Betreibern.Rollen, Berechtigungen, Genehmigungen, Rezertifizierungen, privilegierte Zugänge und Multi-Faktor-Authentifizierung sind keine Best Practices – sie sind verpflichtend, dokumentationspflichtig und auditrelevant.Ohne ein strukturiertes, technisch durchgesetztes Identity Management lassen sich weder „Stand der Technik“ noch Nachweisfähigkeit gegenüber dem BSI sicherstellen.

Mit der zunehmenden Cloud- und Hybrid-Transformation – insbesondere im SAP-Umfeld – steigen Komplexität und Risiko zusätzlich. Identitäten müssen systemübergreifend konsistent, regelbasiert und revisionssicher gesteuert werden. Welche konkreten IdM-Pflichten ergeben sich aus dem BSIG?

Regulatorische Verankerung von Identity Management

Die Anforderungen an Identity & Access Management ergeben sich nicht indirekt, sondern explizit aus dem regulatorischen Rahmen von BSIG und NIS2. § 8a BSIG verpflichtet KRITIS-Betreiber, angemessene organisatorische und technische Vorkehrungen nach dem „Stand der Technik“ umzusetzen und diese regelmäßig gegenüber dem BSI nachzuweisen. Die Orientierungshilfe des BSI konkretisiert diese Vorgaben – insbesondere im Bereich Identitäts- und Berechtigungsmanagement (IDM-01 bis IDM-13).

Entscheidend ist, dass die Vergabe, Änderung, Überprüfung und Entziehung von Berechtigungen nachweisbar regelkonform erfolgt. Für KRITIS-Betreiber bedeutet das:  Identity Management muss so gestaltet sein, dass regulatorische Anforderungen systemseitig durchgesetzt werden – nicht nur organisatorisch beschrieben sind.

Governance & Rollenmodell – Fundament der regulatorischen Compliance (IDM-01, IDM-03, IDM-05, IDM-10)

Das BSI verlangt ein dokumentiertes, geschäftsprozessorientiertes Rollen- und Rechtekonzept. Berechtigungen müssen regelbasiert vergeben und technisch kontrolliert werden. Besonders im Fokus steht die Vermeidung unzulässiger Berechtigungskombinationen.

• Vergabe nach Least Privilege und Need-to-Know
• Durchgesetzte Separation of Duties
• Formale Genehmigung vor Einrichtung von Zugriffsrechten
• Mindestens jährliche Überprüfung und Rezertifizierung
• Nachvollziehbare Dokumentation aller Entscheidungen
• Systemseitige Zugriffskontrollen für Informationen und Anwendungen

IAM wird zur Governance-Instanz: Nur technisch kontrollierte und auditierbare Rollenmodelle erfüllen die regulatorischen Vorgaben.

Identitätslebenszyklus und Berechtigungssteuerung (IDM-02, IDM-03, IDM-04)

Der gesamte Lebenszyklus einer Identität muss formal geregelt und technisch abgesichert sein. Jede Person erhält eine eindeutige Benutzerkennung und jede Berechtigungsänderung ist genehmigungspflichtig.

• Formale Benutzerregistrierung mit eindeutiger Identität
• Genehmigungsbasierte Provisionierung
• Zeitnahe Anpassung oder Entzug bei Rollenwechsel oder Austritt (max. 30 Tage)
• Vollständige Deaktivierung bei Beendigung

Der Joiner-Mover-Leaver-Prozess wird damit zu einem verpflichtenden Sicherheitsmechanismus mit klaren Fristen und Dokumentationsanforderungen.

Privilegierte Zugriffe, Notfallbenutzer und Authentifizierung (IDM-06, IDM-07, IDM-08, IDM-09, IDM-11, IDM-12, IDM-13)

Administrative Konten, Notfallzugänge und Authentifizierungsverfahren unterliegen verschärften regulatorischen Vorgaben. Hier adressiert das BSI die höchsten Risikobereiche.

• Personalisierte Vergabe administrativer Rechte
• Vermeidung kritischer Berechtigungskombinationen
• Dokumentierte, zeitlich begrenzte Notfallzugänge mit revisionssicherer Protokollierung
• Verpflichtende Multi-Faktor-Authentifizierung für privilegierte Zugriffe
• Technisch erzwungene Passwort- und Zugriffskontrollrichtlinien
• Restriktiver Zugriff auf administrative Werkzeuge und Quellcode

Wichtig: Sicherheit muss hier technisch implementiert und nicht nur organisatorisch definiert sein.

Fazit und Ausblick

Die Anforderungen des BSI an das Identity Management sind hoch, aber sie bilden das notwendige Fundament für eine resiliente Infrastruktur. Wer NIS2 und das BSIG ernst nimmt, muss IAM als zentrale Governance-Instanz begreifen, die weit über das bloße Anlegen von Benutzern hinausgeht. Es ist die technische Antwort auf die regulatorische Forderung nach „Sicherheit nach Stand der Technik“.

Doch wie lässt sich dieser massive Anforderungskatalog (IDM-01 bis IDM-13) konkret in einer modernen SAP-Landschaft umsetzen? Wie bringt man die strengen KRITIS-Vorgaben mit der Dynamik der SAP Business Technology Platform (BTP), der SAP Cloud Identity Services und bestehenden On-Premise-Systemen in Einklang, ohne den Betrieb durch bürokratische Prozesse zu lähmen?

Genau darum geht es im nächsten Teil dieser Reihe. Im dritten Artikel zeige ich Ihnen die technische Referenzarchitektur für hybride SAP-Landschaften. Wir schauen uns an, wie Sie mit Tools wie dem SAP Cloud Identity Access Governance (IAG) und den SAP Cloud Identity Services eine Architektur bauen, die nicht nur den Prüfern standhält, sondern auch Ihren Cloud-Betrieb zukunftssicher macht.

Über den Autor

Leonard Nordheim ist SAP Consultant bei OREXES und spezialisiert auf Identity & Access Management (IAM) sowie Lösungs- und Sicherheitsarchitekturen in SAP-Cloud- und BTP-Umgebungen. Sein Schwerpunkt liegt auf der Konzeption und Umsetzung technisch robuster Identitäts- und Zugriffsarchitekturen sowie der Integration sicherer Lösungen in komplexe hybride Systemlandschaften.