Cloud Infrastructure Entitlement Management (CIEM) ist ein zentrales Element moderner Cloud-Sicherheitsstrategien. Es ermöglicht Unternehmen, Identitäten und deren Berechtigungen in komplexen Cloud-Umgebungen effektiv zu überwachen und zu verwalten. Doch was macht CIEM konkret – und wie unterscheidet es sich von IAM oder PAM? In diesem Beitrag klären wir die wichtigsten Unterschiede, zeigen typische Einsatzszenarien und erklären, warum CIEM kein Ersatz, sondern vielmehr eine gezielte Ergänzung bestehender Sicherheitslösungen ist. 

Bei CIEM handelt es sich um eine Sicherheitslösung, die Unternehmen dabei unterstützt, Berechtigungen in Cloud-Umgebungen zu verwalten. CIEM ermöglicht sicheren Zugriff auf Ressourcen innerhalb einer einheitlichen Infrastruktur über mehrere Cloud-Plattformen wie zum Beispiel AWS, Azure oder Google hinweg. Berechtigungen sind dabei jene Rechte, die Identitäten für den Zugriff auf Cloud-Ressourcen zugewiesen bekommen. Sie können für Benutzer, Anwendungen, Gruppen oder Rollen gewährt werden. CIEM sorgt für angemessene Berechtigungen, sodass Unternehmen in ihren Cloud-Umgebungen Transparenz, Kontrolle und Compliance gewährleisten können.  

Während sich Identity and Access Management (IAM) auf die Verwaltung von Identitäten und deren Zugriff auf Systeme in voller Breite konzentriert, bietet CIEM eine spezialisierte Lösung für die Verwaltung von Berechtigungen in Cloud-Infrastrukturen. CIEM greift dabei tiefer in die Berechtigungsstrukturen ein und überwacht auch deren Nutzung. 

Obwohl CIEM und IAM unterschiedliche Schwerpunkte setzen, existieren trotzdem starke konzeptionelle und funktionale Überschneidungen. Denn beide verfolgen das Ziel, Zugriffsrechte effektiv zu verwalten und Missbrauch zu verhindern. 

CIEM-Lösungen automatisieren den Prozess der Verwaltung von Benutzern und Benutzerberechtigungen in Cloud-Umgebungen, meist tiefer als dies IAM-Lösungen tun. Mit CIEM können somit Herausforderungen der Implementierung konsistenter Zugriffskontrollen und Zero-Trust-Richtlinien in der gesamten Multi-Cloud-Bereitstellung etwas effektiver bewältigt werden. Gerade die Kombination aus Einsicht in Cloud-Ressourcen, Benutzer und Berechtigungen erlaubt es, in Szenarien zu denken, und beispielsweise zu entscheiden, ob ein privilegierter Benutzer auf einer vulnerablen Ressource präventiv deaktiviert werden sollte, bis das Problem behoben ist. 

Nichtsdestotrotz lässt sich aber sagen, dass die gleichzeitige Nutzung von CIEM und IAM auch zu großen Problemen führen kann. Es sollte niemals dazu kommen, dass mehrere externe Akteure in die gleichen Systeme provisionieren und somit eine unklare Datenhoheit erzeugen. Dazu braucht es eine ganz klare Abgrenzung, damit sich die Systeme nicht gegenseitig aufschaukeln und die Gesamtqualität der Daten leidet.

CIEM ist kein Ersatz für Privileged Access Management (PAM), weil es andere Probleme löst: CIEM analysiert Cloud-Berechtigungen breitflächig, PAM hingegen schützt gezielt den Zugang zu besonders kritischen Benutzerkonten. PAM steuert und überwacht den Zugriff auf privilegierte Identitäten wie Admin- oder Root-Konten – oft in Echtzeit und mit Protokollierung. CIEM bietet diese Zugriffskontrolle nicht, sondern bewertet, welche Identitäten in der Cloud zu viele Berechtigungen haben und reduziert diese bei Bedarf. PAM auditiert und protokolliert üblicherweise diese administrativen Zugriffe als «Video» auf und rotiert nach abgeschlossener Nutzung die Passwörter der genutzten Accounts. CIEM und PAM sind also als Ergänzung zu verstehen. 

Hier kann der große Vorteil von CIEM in Kombination mit PAM ausgespielt werden, denn dank der Just-In-Time (JIT) Provisionierung können privilegierte Benutzer bei Anforderung («zur Laufzeit)» erstellt und nach der Nutzung wieder abgeräumt werden. Selbstverständlich bieten IAM-Lösungen ähnliche Konzepte, einfach weniger stark auf JIT ausgerichtet. Der Fakt, dass privilegierte Benutzer in Cloud-Umgebungen nicht per se vorgehalten werden, sondern bei Bedarf erstellt werden, ist aus Security-Sicht sehr vorteilhaft. Man spricht hier vom Zero-Standing-Privilege Prinzip. Ein besonderer Use Case sind privilegierte Zugriffe durch externe Lieferanten. Die Kombination von PAM (ich überwache und zeichne den Zugriff auf) und CIEM (ich erstelle den Benutzer erst, wenn benötigt) kann extrem spannend und lizenz-schonend sein. 

Cloud Infrastructure Entitlement Management (CIEM) wird von vielen Anbietern als essenzielles Werkzeug zur Absicherung moderner Cloud-Umgebungen positioniert. In der Praxis ist jedoch Vorsicht geboten, CIEM vorschnell als unverzichtbar zu betrachten. Ob ein Unternehmen tatsächlich ein dediziertes CIEM-Tool benötigt, hängt stark vom konkreten Reifegrad seiner Cloud-Nutzung, der Komplexität der Berechtigungsstrukturen sowie von der bestehenden IAM- und PAM-Architektur ab. 

Viele der Aufgaben, die CIEM übernimmt – etwa die Verwaltung von Rollen, die Umsetzung von Least-Privilege-Prinzipien oder die Analyse von Zugriffspfaden – können in weniger komplexen Umgebungen bereits mit gut konfigurierten IAM-Systemen abgedeckt werden. Diese bieten oft schon native Integrationen in Plattformen wie AWS, Azure oder Google und bringen bereits Tools zur Berechtigungsüberwachung, Rollenzuweisung und Auditierung mit. Solange die Cloud-Umgebung überschaubar ist, menschliche Nutzer im Vordergrund stehen und nur wenige privilegierte Konten verwaltet werden müssen, kann ein sauberes IAM-Konzept unter Umständen ausreichend sein. 

Auch das Zusammenspiel mit PAM-Systemen darf nicht unterschätzt werden. Gerade in hybriden Umgebungen, in denen sowohl klassische On-Prem-Systeme als auch Cloud-Plattformen betrieben werden, übernimmt PAM zentrale Aufgaben bei der Steuerung privilegierter Zugriffe. Es sorgt für Echtzeitkontrolle, Auditierbarkeit und temporäre Eskalationen. CIEM ergänzt diesen Bereich zwar auf cloud-nativer Ebene, ersetzt ihn aber keinesfalls. Wer also bereits über ein robustes PAM-Setup verfügt, sollte zunächst prüfen, wo tatsächlich Lücken bestehen, bevor ein CIEM-Tool eingeführt wird. 

Zusammenfassend lässt sich also sagen: CIEM löst kein Grundproblem, das nicht auch mit Disziplin, Governance und sauberer IAM-Architektur zu kontrollieren wäre, mal von der Überwachung tatsächlich genutzter Berechtigungen abgesehen. Oftmals ist CIEM ein Bestandteil von Produkten mit Funktionen wie Cloud Security Posture Management (CSPM), das Fehlkonfigurationen erkennt, sowie Workload Protection (CWPP) zur Absicherung laufender Cloud-Anwendungen, DSPM für Datenschutz und IaC-Scanning zur Analyse von Infrastruktur-Code. Damit eröffnet sich die Chance, Teile der CIEM-Funktionalität gezielt im Zusammenspiel mit IAM und PAM einzusetzen. 

Dieser Text wurde mit Unterstützung von KI geschrieben, Aufbau, Themenauswahl und inhaltliche Expertise sind aber durch die Autoren eingeflossen.