Souveränität in der Cloud? Auch eine Frage des IAM

Digitale Souveränität wird oft fälschlicherweise mit «Cloud-Bashing» gleichgesetzt. In Wahrheit geht es um die bewusste Steuerung von Abhängigkeiten – insbesondere bei der Identität und dem Zugriff auf Daten und Anwendungen. Wir haben bereits zu verwandten Themen rund um Digitale Souveränität berichtet: mehr dazu im Blogpost zu Souveränität als Führungsaufgabe.

Ein Identity & Access Management (IAM) System spielt dabei eine zentrale Rolle: Wer die Kontrolle über IAM verliert, verliert auch den Zugriff auf kritische Systeme und Daten.

Microsoft Entra ID ist in vielen Unternehmen nach dem Einsatz von M365 unverzichtbar. Entscheidend ist jedoch, wie tief Entra ID integriert wird: Übernimmt es die gesamte Identity Governance und Administration, steigt die Abhängigkeit. Wird Authentisierung sauber von Governance getrennt, lassen sich die Vorteile der Microsoft-Integration nutzen, ohne die Kontrolle über Identitäten und Berechtigungen zu verlieren – ein zentraler Baustein für echte digitale Souveränität.

Souveräne IAM-Architektur

Im Folgenden beleuchten wir, wie eine souveräne IAM-Architektur aussieht und was sie kennzeichnet:

• Die Cloud bleibt ein zentraler Architekturbaustein. Es werden diejenigen Elemente eingesetzt, die Sinn machen, ohne Kontrolle zu verlieren.
• Datenresidenz ist wichtig, ersetzt aber keine Identitäts- und Governance-Strategie.
• Ohne souveränes IAM keine digitale Souveränität, da man ohne IAM keinen Zugriff auf Systeme und Daten mehr hat. Dann helfen auch alle anderen Massnahmen hinsichtlich digitaler Souveränität wenig. Hier entscheidet sich Portabilität vs. Lock-in.
• Souveränität entsteht durch die Trennung von Authentisierung (Run-time) und Governance (Admin-time).

Digitale Souveränität bedeutet: Daten, Technologien und Prozesse können selbstbestimmt gesteuert werden, inklusive dem bewussten Entscheid, wo Abhängigkeiten in Kauf genommen werden. Durch die geopolitischen Veränderungen wird in der Schweiz und Europa digitale Souveränität zunehmend strategisch.

Wichtig dabei: Digitale Souveränität entsteht nicht nur durch den Standort von Rechenzentren. Sie entsteht vor allem durch die Wahl von:

• Architektur
• Betriebsmodell
• Auditierbarkeit
• Interoperabilität
• Exit-Fähigkeit

Initiativen wie Daten-Boundaries können helfen, aber sie beantworten nicht automatisch regulatorische Fragen wie: «Warum hat Person X Zugriff?» oder «Wie rezertifizieren wir Berechtigungen?» oder «Wie flexibel kommen wir aus einem IAM-Stack wieder heraus?» Weshalb man um ein souveränes IAM nicht herumkommt.

Trennung von Run- und Admin-time für ein souveränes IAM

Statt IAM als monolithisches Thema zu sehen, hilft eine einfache Trennung:

Run-time: Zugriff auf Daten und Anwendungen steuern zum Zeitpunkt des Aufrufs 

Wenn Identitäten (Menschen, Maschinen, AI-Agenten) auf Daten und Anwendungen zugreifen sollen, müssen sie sich authentisieren, zum Beispiel an einem Identity Provider (IdP), und über die notwendigen Berechtigungen verfügen (Autorisierung). Oft entscheidet die konkrete Anwendung, welcher IdP zum Einsatz kommt.

Folgende Aspekte sind wesentlich für den Run-time Zugriff:

• Authentisierung & Single Sign-On (SSO)
• Policies/Conditional Access/MFA
• User Experience und Security zur Login-Zeit
• von der Anwendung unterstützer Identity Provider (IdP)

Admin-time: Identitäten verwalten und kontrollieren

Identitäten sind nicht statisch, sie verändern sich über die Zeit. Im Kontext eines Unternehmens treten Mitarbeitende ein, wechseln die Rolle innerhalb der Organisation, werden befördert oder verlassen die Firma. Damit verbunden sind Berechtigungen. Beides, der Lifecycle (Joiner, Mover, Leaver) als auch die Berechtigungen müssen effizient verwaltet sein. Dies geschieht zu einem anderen Zeitpunkt, zur Admin-time. Typischerweise geschieht dies in einem IGA-System (Identity Governance and Administration).

Wesentliche Aspekte der Admin-time:

• Joiner/Mover/Leaver 
• Rollenmodelle und Entitlements 
• Access Reviews/Rezertifizierungen
• Audit-Nachweise (Warum hatte Person x Zugriff?)
• Self-Service: Berechtigungen und Accounts können selbständig beantragt werden mit einem Freigabeprozess unterstützt, Passwörter selbstständig zurückgesetzt werden
• Automatisierung: Automatische Zuteilung von Berechtigungen und Accounts
• Identity Governance and Administration (IGA-System)

Das effektive IAM-Wissen liegt in der Admin-time, das heisst im IGA. Für ein souveränes IAM ist es wesentlich, die Kontrolle über dieses Wissen zu behalten. Der Grundsatz für ein souveränes, Cloud-fähiges IAM System ist simpel:

Warum das wirkt:

• Die Integrationsstärke von Entra ID ins Microsoft und SaaS-Ökosystem kann genutzt werden (z.B. M365, SaaS, Conditional Access, MFA, etc).
• Die Identitäten und Berechtigungen werden zentral in einem eigenen System verwaltet (IGA) und in die spezifischen IdPs bei Bedarf bereitgestellt.

Ein Vendor Lock-In wird dort reduziert, wo es am schmerzhaftesten ist, bei der Kontrolle über die Identitäten und deren Zugriff.

Referenzarchitektur eines souveränen IAM-Systems

Ein souveränes IAM-System kann grob in vier Schichten unterteilt werden (siehe Abbildung):

1. Identity Source Layer: Hier liegt der Ursprung der Identitäten, d.h. die Basisdaten der Identität. Am Beispiel von Mitarbeitenden ist dies das Unternehmens-HR-System.
2. Governance Layer: Hier findet die Verwaltung und Kontrolle der Identitäten statt. Die notwendigen Daten werden aus dem Identity Source Layer bezogen. Hier befindet sich das IGA-System.
3. Access Layer: Der Access Layer stellt den Zugriff auf Anwendungen durch Identitäten sicher. Er authentisiert die Identitäten, setzt die Authentisierungsstärke durch (z.B. MFA) und übersetzt die Berechtigungen des IGA-Systems in anwendungsspezifische Berechtigungen. Hier befinden sich Identity Provider (IdP), Active Directory für Legacy Anwendungen sowie Entra ID. Identitäten und ihre Berechtigungen werden aus dem IGA in die IdPs provisioniert.
4. Application Layer: Diese Schicht fasst die Anwendungen zusammen, deren Zugriff kontrolliert werden soll. Sie sind mit den für sie passenden Authentisierungssystem (IdP, AD, Entra ID, etc.) verbunden.

Das nachfolgende Bild illustriert den Zusammenhang am Beispiel von einem IAM-System für Mitarbeitende.

Messbarkeit von Souveränität im IAM-Kontext

Der Souveränitätsgrad eines IAM-Systems lässt sich sehr gut messen und dadurch bewusst bewerten. Typische Kriterien sind:

• Kontrolle über Identitätsdaten (Identity Source Layer)
• Trennung Run-time und Admin-time Systeme
• Kontrolle über das IGA-System
• Verwendung von Standards statt proprietäre Integrationen
• Kontrolle über Code und Betrieb
• Data Residency (wichtig, aber nicht ausreichend)

IAM: Warum du für deine Souveränität nicht auf die Cloud verzichten musst

Digitale Souveränität im IAM heisst: Cloud-Vorteile nutzen und gleichzeitig die Kontrolle über Identitäten bewusst behalten.

Entra ID ist für viele Organisationen unvermeidbar und als IdP oft die beste Wahl, besonders für M365 und SaaS. Der souveräne Hebel liegt darin, Governance-Wissen, Provisionierung und Auditfähigkeit in einem entkoppelten IGA-System zu verankern.

Auf diese Weise kann beides gleichzeitig erreicht werden:

• Speed und Integration im Microsoft- und Cloud-Ökosystem
• Portabilität und Kontrolle über dein Identitätsmodell

Wenn du wissen willst, wie souverän deine heutige IAM-Architektur wirklich ist, lohnt sich ein kurzer Reality-Check: IDP ≠ IGA und offene Standards als Leitplanke. Ich unterstütze dich dabei gerne.

Genau hier setzt unser Souveränitäts-Workshop an.