Was ist Just-In-Time (JIT) Access?

Just-in-Time Access (JIT Access) bezeichnet ein Zugriffsmodell im Identity & Access Management (IAM), bei dem vorwiegend privilegierte Berechtigungen nur für einen begrenzten Zeitraum und bei konkretem Bedarf vergeben werden. Nutzer besitzen diese Rechte nicht dauerhaft, sondern erhalten sie temporär nach einer Genehmigung oder automatisierten Policy. Nach Ablauf der definierten Zeit werden die Berechtigungen automatisch wieder entzogen. Dadurch existieren privilegierte Zugriffsrechte nur dann, wenn sie tatsächlich benötigt werden. JIT Access wird häufig im Kontext von Privileged Access Management (PAM) und Zero-Trust-Architekturen eingesetzt.

Viele Organisationen vergeben privilegierte Zugriffsrechte dauerhaft, etwa für Administratoren, Entwickler oder externe Dienstleister. Diese langfristigen Berechtigungen führen häufig zu Privilege Creep, also einer schleichenden Ausweitung von Zugriffsrechten über die Zeit. Je mehr permanente Rechte existieren, desto grösser wird die potenzielle Angriffsfläche für Insider-Bedrohungen oder kompromittierte Accounts. JIT Access adressiert dieses Problem, indem privilegierte Rechte nur bei Bedarf aktiviert werden. Dadurch wird die Zahl dauerhaft privilegierter Konten deutlich reduziert.

Der wichtigste Sicherheitsvorteil von JIT Access besteht darin, dass privilegierte Rechte zeitlich stark begrenzt sind. Selbst wenn ein Benutzerkonto kompromittiert wird, stehen privilegierte Berechtigungen nur in einem sehr kleinen Zeitfenster zur Verfügung. Angreifer können daher deutlich schwerer dauerhaft erhöhte Rechte ausnutzen. Zusätzlich lassen sich JIT-Freigaben oft mit Multi-Factor Authentication, Genehmigungsprozessen und Session-Monitoring kombinieren. Dadurch entsteht eine zusätzliche Kontrolle über sensible administrative Zugriffe.

Viele regulatorische Vorgaben verlangen eine strikte Kontrolle privilegierter Zugriffe auf kritische Systeme und Daten. Dazu gehören beispielsweise Anforderungen aus ISO 27001, NIS2, SOX, TISAX, oder DORA. JIT Access unterstützt diese Vorgaben, weil privilegierte Rechte nur temporär und nachvollziehbar vergeben werden. Jede Aktivierung eines privilegierten Zugriffs kann protokolliert, genehmigt und auditierbar dokumentiert werden. Dadurch entsteht eine klare Nachvollziehbarkeit darüber, wer wann auf sensible Systeme zugegriffen hat.

Neben technischen Vorteilen verbessert JIT Access auch die Governance von Zugriffsrechten innerhalb einer Organisation. Zugriffsanfragen werden häufig über definierte Genehmigungsprozesse oder automatisierte Policies gesteuert. Dadurch wird transparent, wer wann welche Berechtigung benötigt und warum. Gleichzeitig lassen sich Rollen, Verantwortlichkeiten und Freigabeprozesse klar strukturieren. JIT Access unterstützt damit eine kontrollierte und nachvollziehbare Verwaltung privilegierter Zugriffe im gesamten Unternehmen.

Ein klassisches Beispiel ist der administrative Zugriff in Cloud- oder Produktionssystemen. Administratoren benötigen hier oft nur kurzzeitig privilegierte Zugänge, um Wartungen durchzuführen oder Systeme zu konfigurieren. Mit Just-in-Time Access erhalten sie für einen definierten Zeitpunkt ein persönliches Benutzerkonto mit den notwendigen Berechtigungen und damit den vollen Vorteil hinsichtlich Nachvollziehbarkeit. Klassische PAM-Systeme würden hierfür im Gegensatz ein bestehendes unpersönliches Benutzerkonto mit administrativen Berechtigungen für einen definierten Zeitpunkt freischalten.

Ein weiteres Szenario findet sich im DevOps-Umfeld. Dort agieren viele non human identities, wie Servicekonten oder automatisierte Deployments. Auch hier kann JIT verhindern, dass technische Benutzerkonten dauerhaft privilegiert bleiben. Stattdessen wird der Zugriff nur dann aktiviert, wenn der Prozess tatsächlich läuft, danach sogleich wieder abgeräumt.

Selbst im Zusammenspiel mit externen Dienstleistern zeigt sich die Stärke des Konzepts. Unternehmen können Supportpartnern gezielt Zugriff auf Systeme gewähren, ohne langfristige Risiken zu erzeugen. Die Kontrolle bleibt vollständig erhalten, die Nachvollziehbarkeit ist garantiert. Wer den Zugriff benötigt, bekommt ihn auch und erst noch mit einem personalisierten Benutzerkonto.

Mit dem Einzug von Künstlicher Intelligenz gewinnt JIT Access zwei neue Dimensionen:

• Für Zugriffe von KI Agents (IAM für KI) kann auch die Möglichkeit genutzt werden, diese nur temporär zuzulassen, so dass hochprivilegierte non-human Benutzerkonten für KI Agents aller Art nicht zuhauf auf den verschiedenen Systemen und Applikationen schlummern.
• KI kann den Kontext einer Zugriffsanfrage (KI für IAM) verstehen – etwa Zeitpunkt, Standort oder Gerät – und auf dieser Basis automatisch entscheiden, ob der Zugriff gewährt oder verweigert wird. So entsteht eine adaptive, lernfähige Zugriffskontrolle, die Sicherheit und Effizienz miteinander verbindet.

Ja, da Benutzerkonten und Berechtigungen nur temporär vergeben werden, ist je nach Applikation und System im Nachhinein nicht immer nachvollziehbar, wer wann und mit welchen Rechten eine Änderung durchgeführt hat. Damit mit dem Just-in-Time Access trotzdem sichergestellt werden kann, dass dieser Nachweis existiert, wird eine PAM- oder IAM-Lösung hinzugezogen. Diese führt ein manipulationssicheres Audit Trail durch. Es können somit regelmässige Reports generiert werden und die Vergabe temporärer Berechtigungen ist lückenlos nachvollziehbar. Neben der Überprüfung der Berechtigung kann dadurch sichergestellt werden, dass die JIT-Richtlinien wie vorgesehen funktionieren.

Die Einführung eines JIT-Modells ist ein strategischer Schritt, der sorgfältige Planung erfordert. Viele Unternehmen stehen vor der Herausforderung, bestehende Systeme und Prozesse anzupassen. Historisch gewachsene IAM-Strukturen müssen modernisiert werden, um dynamische Zugriffe überhaupt zu ermöglichen. Aus technischer Sicht passiert die Einrichtung oftmals über einen Webservice, z.B. System for Cross-Domain Identity Management (SCIM). Dies muss innert Sekunden möglich sein, damit kurz nach der Anfrage der Nutzer bereit einloggen kann.

Hinzu kommt der Faktor Mensch. Mitarbeitende müssen verstehen, dass Just-in-Time Access kein Kontrollinstrument ist, sondern eine Schutzmaßnahme, die ihnen hilft, sicherer zu arbeiten. Schulung und Kommunikation spielen hier eine entscheidende Rolle.

Apropos Rollen: Just-in-Time (JIT) Provisioning setzt auch heute noch ein Rollenmodell voraus – zumindest in einer groben Ausprägung. Bei der Echtzeit-Erstellung von Benutzerkonten müssen die passenden Berechtigungen innerhalb von Sekunden automatisch zugewiesen werden. Unternehmen, die ihre Systeme strukturiert halten und Berechtigungen konsequent bündeln, schaffen damit die Grundlage, um das Potenzial von JIT voll auszuschöpfen – in Effizienz, Sicherheit und Nachvollziehbarkeit.

Obwohl Just-in-Time Access ursprünglich aus dem Privileged Access Management (PAM) stammt, kann das Prinzip auch für nicht privilegierte Benutzerkonten sinnvoll eingesetzt werden. In vielen Unternehmen erhalten Mitarbeitende dauerhaft Zugriff auf Anwendungen, Projekte oder Daten, obwohl diese Rechte nur zeitweise benötigt werden. 

Durch JIT Access lassen sich solche Zugriffe temporär und kontextabhängig bereitstellen, beispielsweise für Projektarbeit, Supportfälle oder Datenanalysen. Nach Abschluss der Aufgabe wird der Zugriff automatisch wieder entzogen. Dadurch reduziert sich die Anzahl dauerhaft vergebener Berechtigungen und das Risiko unnötiger Datenzugriffe sinkt. Dieses Modell wird zunehmend auch im modernen Identity Governance & Administration (IGA) eingesetzt, um Zugriffsrechte dynamischer und bedarfsorientierter zu verwalten.

In vielen IAM- und PAM-Systemen basieren Lizenzmodelle auf der Anzahl privilegierter Benutzerkonten. Wenn Administratorrechte dauerhaft vergeben werden, steigt automatisch die Zahl lizenzpflichtiger privilegierter Accounts. Durch JIT Access können privilegierte Rechte dagegen temporär aktiviert und von mehreren Nutzern geteilt werden. Dadurch reduziert sich die Anzahl dauerhaft privilegierter Identitäten. Unternehmen können so langfristig Lizenz- und Betriebskosten im Identity-Management senken.

Die IPG hat Just-in-Time Access in mehreren Kundenprojekten erfolgreich umgesetzt und damit gezeigt, wie Theorie und Praxis perfekt zusammenspielen. Bisher war es ein Zusammenspiel zwischen IAM- und PAM-Technologien, um die notwendigen Benutzerkonten innert kürzester Zeit zu provisionieren, um danach mit PAM zu kontrollieren. Die neue Generation von PAM-Systemen erlaubt nun die zwei Schritte in einem zu vollziehen, oftmals liest man auch vom Zusatz CIEM bei den PAM-Anbietern, wie z.B. bei BeyondTrust mit JITPAM.

Auch das Thema KI gelangt nun vermehrt in die Praxis. Erste Hersteller setzen auf KI-gestützte Entscheidungslogik, um Zugriffsanfragen dynamisch zu bewerten. Das System berücksichtigt dabei sowohl technische Parameter als auch kontextuelle Faktoren. Diese intelligente Steuerung führt zu einer erheblichen Reduktion von Lizenzkosten und entlastet Sicherheits- wie IT-Teams gleichermassen.

Ein weiterer messbarer Effekt ist die Einsparung bei der Rezertifizierung. Durch die Eliminierung dauerhafter Berechtigungen entfallen viele manuelle Prüfprozesse. Das Ergebnis: mehr Sicherheit bei deutlich geringerem Aufwand – und ein Governance-Modell, das den Anforderungen moderner Unternehmen gerecht wird.

Bei Microsoft ist JIT Access ein Teil der Privileged Identity Management Lösung, welche time-based und approval-based privilegierte Zugriffe erteilt. Bei AWS spricht man hingegen von temporären Security Credentials.

Unternehmen müssen neue Anwendungen, Updates und digitale Services immer schneller bereitstellen. Starre Genehmigungsprozesse für privilegierte Zugriffe können dabei zu Verzögerungen führen. Neue Cloud-Services können mit JIT Access innert Tagen an ein IAM- oder PAM-System angebunden werden, die Zugriffe erfolgen dann automatisiert oder durch policy-basierte Freigaben. Dadurch können Teams notwendige Zugriffsrechte kurzfristig erhalten, ohne auf manuelle Rollenänderungen warten zu müssen. Gleichzeitig bleiben privilegierte Rechte zeitlich begrenzt und kontrollierbar.

Die Zukunft des Just-in-Time Access ist eng mit Automatisierung und künstlicher Intelligenz verknüpft. KI-Systeme werden in der Lage sein, auf Basis von Verhalten, Mustern und Risikoanalysen eigenständig über Zugriffsrechte zu entscheiden. Durch die Beschleunigung dieser Entscheide, müssen Benutzerkonten und Berechtigungen auch nicht mehr zwingend auf Vorrat erstellt sowie zugewiesen werden, sondern können dann Real-Time bei Bedarf eingerichtet werden.

Gleichzeitig wird der Ansatz noch stärker mit dem Zero Trust-Prinzip verschmelzen. Zugriffe werden künftig nicht auf Vorrat oder bei Bedarf nach Genehmigung erstellt, sondern z.B. auch mit ISPM kontinuierlich bewertet sowie nach Gebrauch sogleich werden entfernt – jedes Ereignis, jede Aktion wird zum Teil einer dynamischen Vertrauenskette.

Ein weiterer Entwicklungspfad betrifft die non human identities. Mit der wachsenden Zahl automatisierter Prozesse, IoT-Geräte und APIs steigt deren Bedeutung kontinuierlich. Just-in-Time Access wird hier zum zentralen Steuerungsinstrument, um auch maschinelle Akteure sicher und nachvollziehbar in digitale Ökosysteme einzubinden, immer auch mit Blick auf die Lizenzkosten.

Am Ende steht eine Vision, in der Sicherheit, Effizienz und Wirtschaftlichkeit Hand in Hand gehen. Just-in-Time Access wird nicht nur eine technologische Notwendigkeit sein, sondern ein strategisches Werkzeug – für Unternehmen, die Kosten senken, Lizenzkosten sparen, Rezertifizierung vermeiden und zugleich ihr Sicherheitsniveau auf das nächste Level heben wollen.

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.