Kontinuierliche Identität: Sicherung des Benutzerlebenszyklus in einer Zero-Trust-Welt

Diese Seite wurde automatisch aus dem Englischen übersetzt, um den Zugang zu erleichtern. Bei Unklarheiten empfehlen wir, die Originalversion (öffnet sich in einem neuen Tab) zurate zu ziehen.

In Kürze

Continuous Identity ist der nächste Schritt in der digitalen Sicherheit und stellt sicher, dass der Zugriff während in jeder Phase der Nutzerreise sicher und adaptiv bleibt.
Sie schließt Sicherheitslücken, die bei traditionellen login-basierten Systemen entstehen, senkt das Risiko von Sicherheitsverletzungen und verbessert die Compliance.
Zero Trust lässt sich umsetzen, indem eine zentrale Identität, Sitzungsbewusstsein und Echtzeitkontrollen eingeführt werden, die auf Verhaltensanalysen und automatisierter Reaktion auf Sicherheitsvorfälle basieren.
Continuous Identity lässt sich aufbauen, durch Schritte wie die Integration von Verhaltensanalysen, die Automatisierung von Incident Response und die Synchronisierung des Zugriffs über alle Anwendungen hinweg umgesetzt werden.

Identität gilt seit Langem als neue Sicherheitsgrenze

Mit der Einführung von Hybridarbeit, Cloud-Diensten und KI-gesteuerten Betriebsmodellen erweist sich das traditionelle Modell der statischen Authentifizierung als unzureichend.

Hier kommt Continuous Identity ins Spiel: ein dynamischer, Echtzeit-basierter Ansatz zur Zugriffskontrolle, der sich während des gesamten Sitzungszyklus an das Nutzerverhalten, den Gerätestatus und das kontextbezogene Risiko anpasst.

Was ist Continuous Identity?

Continuous Identity ist die Fähigkeit, Zugriffsentscheidungen in Echtzeit zu verifizieren, zu überwachen und anzupassen, basierend auf sich veränderndem Kontext und Verhalten. Sie basiert auf:

Sitzungsbewussten Anwendungen, die Anomalien erkennen und melden oder bei verdächtigem Verhalten reagieren können,
Richtlinienbasierten Zugriffskontrollen, die Risiken kontinuierlich anhand statischer und dynamischer Signale bewerten,
Einem zentralen Identity Broker, der Signale koordiniert und Entscheidungen durchsetzt.

Dies ermöglicht es Organisationen, Zero-Trust-Prinzipien nicht nur beim Einstiegspunkt, sondern während der gesamten Nutzerreise durchzusetzen.

Warum ist Continuous Identity wichtig?

Die Risiken sind hoch.

Laut dem IBM-Bericht „Cost of a Data Breach 2025“ belaufen sich die durchschnittlichen Kosten einer Sicherheitsverletzung durch kompromittierte Zugangsdaten auf 4,81 Millionen US-Dollar, wobei Erkennung und Eindämmung bis zu 292 Tage in Anspruch nehmen.

Identitätsbezogene Verstöße machen inzwischen 16 % aller Vorfälle aus und sind damit die häufigste Angriffsmethode.
93 % der Organisationen verzeichneten im vergangenen Jahr zwei oder mehr identitätsbezogene Sicherheitsverletzungen.

SSO und MFA: Sicherheitslücken

In einer typischen IAM-Architektur im Unternehmen ermöglicht Single Sign-On (SSO) den Nutzer:innen eine einmalige Authentifizierung für den Zugriff auf mehrere Anwendungen. Jede Anwendung verwaltet jedoch weiterhin ihre eigene Sitzung, und diese Sitzungen sind häufig langfristig aktiv und voneinander isoliert. Dies führt zu mehreren Problemen:

Fehlendes Sitzungsbewusstsein zwischen Anwendungen: Wird das Gerät eines Nutzers kompromittiert, kann nur die Anwendung reagieren, die die Anomalie erkennt. Andere bleiben ahnungslos.
Statische Zugriffskontrolle: Änderungen von Rollen oder Attributen (z. B. Entzug von Handelsrechten) erfordern ein Aus- und erneutes Einloggen, was die Durchsetzung verzögert.
Keine zentrale Verhaltens-Telemetrie: Jede Anwendung protokolliert Aktivitäten isoliert, was die Korrelation verdächtigen Verhaltens über die gesamte Umgebung hinweg erschwert.

Trotz der weitverbreiteten Nutzung von SSO und Multi-Faktor-Authentifizierung (MFA) sichern diese Tools lediglich den Moment der Anmeldung. Nach der Authentifizierung behalten Nutzer:innen oft unbegrenzt Zugriff – selbst wenn sich ihr Risikoprofil verändert. Diese Lücke soll durch Continuous Identity geschlossen werden.

Identitätslebenszyklus: eine Reise vom Eintritt bis zum Austritt

Let’s explore how Continuous Identity supports a user’s journey through an organization, from onboarding to offboarding.

1. Onboarding: Vertrauensaufbau beim Eintritt

Wenn eine neue Mitarbeiterin oder ein neuer Mitarbeiter ins Unternehmen eintritt, legt das Identity-System die Grundlage für einen sicheren Zugriff.

Präzise Bereitstellung: Der Zugriff wird basierend auf Rolle, Abteilung, Standort sowie Attributen anderer Nutzer:innen und Zielressourcen gewährt. Continuous Identity stellt sicher, dass nur die notwendigen Berechtigungen vergeben werden – das reduziert das Risiko einer schleichenden Rechteausweitung.
Adaptive MFA beim ersten Login: Das System bewertet Gerätetyp, Standort und Netzwerkkontext, um die passende Authentifizierungsanforderung zu bestimmen, z. B. biometrische Verifizierung bei risikobehaftetem Zugriff.
Validierung des Gerätezustands: Vor dem Zugriff prüft das System, ob das Gerät den Compliance-Vorgaben entspricht (z. B. Antivirenprogramm oder EDR installiert, Betriebssystem aktuell, kein Jailbreak).
Initialisierung der Verhaltensbasis: Die ersten Aktivitäten der Nutzer:innen – etwa Login-Zeiten, genutzte Ressourcen und Navigationsmuster – werden erfasst, um eine Verhaltensbasis für die spätere Anomalieerkennung zu schaffen.

2. Tägliche Arbeit: Adaptive Zugriffskontrolle im Einsatz

Während die Mitarbeiterin bzw. der Mitarbeiter mit Systemen und Daten arbeitet, sorgt Continuous Identity dafür, dass der Zugriff kontextsensitiv und sicher bleibt.

Zusammenarbeit auf gemeinsamen Laufwerken: Die Person wird Teil eines funktionsübergreifenden Projekts und greift auf ein gemeinsames Laufwerk zu. Continuous Identity bewertet:

Rolle und Projektzuordnung
Gerätekonformität
Verhaltenskontext (z. B. Uhrzeit, Standort)

Der Zugriff wird dynamisch über mehrere Sitzungen hinweg gewährt – ohne erneute Authentifizierung – und bei auftretenden Risikosignalen widerrufen. So wird eine nahtlose Zusammenarbeit ermöglicht.

Verdächtiges Verhalten während der Sitzung: Die Nutzerin bzw. der Nutzer beginnt, große Datenmengen herunterzuladen – außerhalb des üblichen Musters. Das System:

Markiert die Anomalie
Sendet ein Risikosignal an andere Anwendungen
Löst eine verstärkte Authentifizierung aus oder schränkt den Zugriff ein

Diese Reaktion in Echtzeit verhindert Datenexfiltration. Continuous Identity verfolgt die Sitzungsaktivitäten über CRM-, HR- und Produktivitätstools hinweg und ermöglicht koordinierte Reaktionen auf Anomalien. In dieser Phase passt sich der Zugriff kontinuierlich an den sich entwickelnden Kontext der Nutzer:innen an – Sicherheit bleibt gewährleistet, ohne die Produktivität zu beeinträchtigen.

3. Rollenwechsel: dynamische Neubewertung von Zugriffsrechten

Wenn Mitarbeitende ihre Rolle wechseln, neuen Projekten beitreten oder die Abteilung wechseln, verändern sich ihre Zugriffsbedarfe.

Sofortige Neubewertung aktiver Sitzungen: Ändert sich die Rolle oder ein Attribut eines Nutzers (z. B. Ausschluss aus dem Finanzteam), bewertet Continuous Identity alle aktiven Sitzungen neu und passt die Zugriffsrechte unmittelbar an – ohne Abmeldung.
Feingranulare Richtlinienumsetzung: Zugriffsrichtlinien werden über Policy-as-Code-Frameworks definiert und ermöglichen eine präzise Steuerung der zugänglichen Ressourcen auf Basis aktualisierter Attribute.
Synchronisation über Anwendungen hinweg: Änderungen der Zugriffsrechte werden in allen integrierten Anwendungen übernommen, wodurch eine konsistente Umsetzung gewährleistet und Lücken vermieden werden.
Erstellung von Audit-Trails: Jede Anpassung der Zugriffsrechte wird protokolliert und liefert eine nachvollziehbare Audit-Spur für Compliance und Governance.

4. Sicherheitsvorfälle: Risikominderung in Echtzeit

Unerwartete Veränderungen im Nutzerverhalten oder Gerätezustand können auf potenzielle Bedrohungen hinweisen. Continuous Identity reagiert sofort.

Verschlechterung des Gerätezustands: Das Gerät der Nutzerin bzw. des Nutzers entspricht nicht mehr den Compliance-Vorgaben (z. B. deaktivierter Virenschutz). Das System:

Sendet ein Signal an die Identitätsschicht.
Entzieht oder beschränkt den Zugriff, bis die Compliance wiederhergestellt ist.

Erkennung von Token-Diebstahl: Ein Sitzungstoken wird gestohlen und von einer anderen IP-Adresse erneut verwendet. Continuous Identity:

Erkennt die Anomalie.
Hebt die Sitzung in allen Anwendungen auf.
Fordert eine erneute Authentifizierung.

5. Offboarding: koordinierter und sicherer Austritt

Wenn eine Mitarbeiterin oder ein Mitarbeiter kündigt oder das Unternehmen verlässt, sorgt Continuous Identity für einen sicheren und reibungslosen Offboarding-Prozess.

Verhaltensüberwachung während der Kündigungsfrist: Beginnt die Person, große Datenmengen herunterzuladen oder auf sensible Systeme zuzugreifen, markiert das System das Verhalten und setzt strengere Kontrollen um. Continuous Identity:

Korrelation von HR-Signalen mit Verhaltensanomalien.
Erhöhung des Risikoscores.
Durchsetzung strengerer Kontrollen in CRM-, Finanz- und Kollaborationstools durch. Beendigung aktiver Sitzungen.

Entzug von Zugriffsrechten und Audit-Protokollierung: Alle Berechtigungen werden entzogen, und ein vollständiges Protokoll der letzten Aktivitäten der Nutzerin bzw. des Nutzers wird für Compliance und Untersuchungen erstellt.

Diese Phase stellt sicher, dass die Person das Unternehmen sicher verlässt – ohne verbleibende Zugriffsrechte oder Datenlecks.

Die Rolle von CAEP in Continuous Identity

Das Continuous Access Evaluation Profile (CAEP) ist ein zentraler Bestandteil dieses Modells. Es ermöglicht Identitätsanbietern und Anwendungen, Echtzeit-Signale zum Sitzungsstatus, Gerätezustand und Nutzerverhalten auszutauschen.

Laut CrowdStrike trägt CAEP zur Risikominimierung bei, indem es ereignisbasierte Zugriffsentscheidungen ermöglicht, etwa:

Widerruf von Sitzungen nach Rollenänderungen.
Blockierung des Zugriffs von kompromittierten Geräten.
Reaktion auf Standortanomalien (z. B. unmögliche Reisebewegungen).

Microsofts Entra-Plattform nutzt CAEP bereits, um nahezu in Echtzeit Sitzungen in Teams, SharePoint und Exchange zu widerrufen.

Zero-Trust-Einführung: eine strategische Notwendigkeit

Der Aufstieg von Continuous Identity steht im Einklang mit dem übergreifenden Wandel hin zu einer Zero-Trust-Architektur.

Aufbau des Zielzustands

Der Aufbau einer Continuous Identity kann schrittweise erfolgen:

Phase 1: Fundament schaffen

Implementierung eines zentralen Identitätsanbieters mit SSO und adaptiver MFA, Integration von Gerätezustand und Verhaltensanalytik in die Identitätsschicht sowie Definition risikobasierter Zugriffsrichtlinien mithilfe von Policy-as-Code-Frameworks (z. B. OPA, Rego).

Phase 2: Sitzungsbewusstsein aktivieren

Instrumentierung zentraler Anwendungen mit Telemetrie-SDKs für Sitzungen, Einführung CAEP-kompatibler Protokolle zur Unterstützung der Echtzeit-Sitzungskontrolle, Beginn des Streamings von Verhaltenssignalen an eine zentrale Richtlinien-Engine.

Phase 3: Automatisieren und orchestrieren

Konfiguration der Echtzeit-Richtlinienumsetzung (z. B. Sitzungswiderruf, erneute Authentifizierung), Integration mit SIEM-/SOAR-Plattformen zur automatisierten Reaktion auf Sicherheitsvorfälle, Aufbau eines signalübergreifenden Austauschs zwischen Anwendungen zur Risikokorrelation.

Phase 4: Ausweiten und optimieren

Ausweitung auf alle kritischen Anwendungen und Nutzergruppen, kontinuierliche Verfeinerung der Risikomodelle mithilfe von Machine Learning und Threat Intelligence, Einbeziehung nicht-identitätsbezogener Signale (z. B. Netzwerktelemetrie, Nutzungsmuster von Anwendungen) in die Zugriffsentscheidungen.

Identität als kontinuierlicher Zustand

Continuous Identity ist nicht nur eine Sicherheitsverbesserung, sondern auch ein strategischer Enabler für Zero Trust, hybrides Arbeiten und digitale Agilität. Durch die Ausrichtung der Identitätsprüfung auf den gesamten Nutzerlebenszyklus können Unternehmen das Risiko von Sicherheitsverletzungen senken, die Nutzererfahrung verbessern und in Echtzeit auf Bedrohungen reagieren. Wenn Sie Ihre IAM-Architektur modernisieren, machen Sie Continuous Identity zu einem zentralen Bestandteil Ihrer Roadmap – vom Eintritt eines Nutzers bis zu seinem Austritt.