Was ist Just-In-Time (JIT) Access?

Just-in-Time (JIT) Access ist ein zentrales Konzept moderner Sicherheitsarchitekturen im Privileged Access Management (PAM) und im Identity and Access Management (IAM). Das Ziel ist es, die Zugänge für die Zugriffe nicht dauerhaft, sondern nur für den Moment bereitzustellen, in dem sie tatsächlich gebraucht werden. Dabei wird zwischen human identities, also klassischen Benutzerkonten, und non human identities, etwa Maschinenkonten, APIs oder Bots, unterschieden. Diese Differenzierung ist entscheidend, denn in modernen IT-Landschaften agieren längst nicht mehr nur Menschen, sondern auch automatisierte Systeme mit Zugriff auf sensible Ressourcen. Gerade Letztere und administrative Zugriffe profitieren von nicht ständig aber selten genutzten Benutzerkonten auf den verschiedenen Systemen und Applikationen.

Der Gedanke hinter Just-in-Time Access ist einfach, aber wirkungsvoll: Zugänge werden dynamisch vergeben, zeitlich begrenzt und nach Ende der Nutzung automatisch entzogen. Das verringert Risiken erheblich, weil es kaum noch überflüssige oder verwaiste Berechtigungen gibt. Gleichzeitig fügt sich das Prinzip nahtlos in Zero Trust-Architekturen ein, die darauf basieren, jedem Zugriff grundsätzlich zu misstrauen, bis seine Berechtigung nachgewiesen ist.

In vielen Unternehmen hat sich über Jahre ein gefährlicher Zustand eingeschlichen: Mitarbeitende und externe Dienstleister verfügen über mehr Rechte, als sie benötigen. Dieses Phänomen, bekannt als Privilege Creep, erhöht das Risiko von Datenverlust, Missbrauch und Angriffen erheblich. Einmal erstellte Benutzerkonten und Berechtigungen bleiben bestehen, auch wenn die Aufgaben längst wechseln.

Hier setzt Just-in-Time-Zugriff an. Statt dauerhaftem Zugang werden Berechtigungen nur noch temporär gewährt. Das reduziert die Angriffsfläche dramatisch und ermöglicht eine Sicherheitsarchitektur, die auf Least Privileged Access basiert – also dem Prinzip, dass jeder nur die Rechte erhält, die er tatsächlich benötigt. Zusätzlich zum PAM Bereich kann es, wenn auch nur teilweise, auch für Privileged Identity Management (PIM) eingesetzt werden. PIM geht vom Grundsatz von persönlichen und persistenten Identitäten und Accounts aus, weshalb JITA in diesem Kontext hauptsächlich bei der Just-In-Time Zuweisung von spezifischen Berechtigungen zum Tragen kommt.

Ein weiterer Aspekt betrifft die Kosten. Dauerhafte Administratorrechte bedeuten oft auch Lizenzkosten, die sich summieren. Mit einem intelligenten JIT-Modell lassen sich diese Lizenzkosten sparen, da Lizenzen nur dann aktiviert werden, wenn sie gebraucht werden. Gleichzeitig sinkt der Aufwand für Rezertifizierungen, weil weniger Benutzerkonten und Berechtigungen existieren, die geprüft werden müssen.

Unternehmen, die JIT-Access einführen, erleben meist eine doppelte Wirkung: mehr Sicherheit bei weniger Aufwand. Die kontinuierliche Vergabe und Entziehung von Rechten schützt vor Missbrauch und erfüllt zugleich besser regulatorische Anforderungen wie DORA, NIS2, ISO 27001, TISAX, etc. Zugriffe werden automatisch dokumentiert, sodass jede Handlung nachvollziehbar bleibt – ein entscheidender Vorteil bei Audits oder Compliance-Prüfungen.

Auch aus betriebswirtschaftlicher Sicht überzeugt der Ansatz. Wie bereits erwähnt können Lizenzkosten und umfangreiche Rezertifizierungen eingespart werden. Da die Anzahl der non-human identities und privilegierten Accounts, welche nicht permanent Zugriff benötigen, klar steigend ist, kann man heute schon von rund 10% Einsparungen über alle Lizenzkosten ausgehen. In grossen Unternehmen geht dies sofort in die Millionen.

Der Vorteil, dass administrative Benutzerkonten und Zugänge externer Dienstleister nicht mehr dauerhaft in Systemen und Applikationen bestehen, bringt zugleich eine gewisse Kehrseite mit sich. Die Just-in-Time-Access-Funktionalität selbst muss hochverfügbar und zuverlässig sein – denn fällt sie aus, besteht die Gefahr, dass berechtigte Nutzer vom eigenen System ausgeschlossen werden, unabhängig ob On-Prem oder Coud. Hier sind definierte und erprobte Notfallprozesse entscheidend, um im Ernstfall schnell zur normalen Betriebsfähigkeit zurückkehren zu können.

Ein klassisches Beispiel ist der administrative Zugriff in Cloud- oder Produktionssystemen. Administratoren benötigen hier oft nur kurzzeitig privilegierte Zugänge, um Wartungen durchzuführen oder Systeme zu konfigurieren. Mit Just-in-Time Access erhalten sie für einen definierten Zeitpunkt ein persönliches Benutzerkonto mit den notwendigen Berechtigungen und damit den vollen Vorteil hinsichtlich Nachvollziehbarkeit. Klassische PAM-Systeme würden hierfür im Gegensatz ein bestehendes unpersönliches Benutzerkonto mit administrativen Berechtigungen für einen definierten Zeitpunkt freischalten.

Ein weiteres Szenario findet sich im DevOps-Umfeld. Dort agieren viele non human identities, wie Servicekonten oder automatisierte Deployments. Auch hier kann JIT verhindern, dass technische Benutzerkonten dauerhaft privilegiert bleiben. Stattdessen wird der Zugriff nur dann aktiviert, wenn der Prozess tatsächlich läuft, danach sogleich wieder abgeräumt.

Selbst im Zusammenspiel mit externen Dienstleistern zeigt sich die Stärke des Konzepts. Unternehmen können Supportpartnern gezielt Zugriff auf Systeme gewähren, ohne langfristige Risiken zu erzeugen. Die Kontrolle bleibt vollständig erhalten, die Nachvollziehbarkeit ist garantiert. Wer den Zugriff benötigt, bekommt ihn auch und erst noch mit einem personalisierten Benutzerkonto.

Mit dem Einzug von Künstlicher Intelligenz gewinnt JIT Access zwei neue Dimensionen:

• Für Zugriffe von KI Agents (IAM für KI) kann auch die Möglichkeit genutzt werden, diese nur temporär zuzulassen, so dass hochprivilegierte non-human Benutzerkonten für KI Agents aller Art nicht zuhauf auf den verschiedenen Systemen und Applikationen schlummern.
• KI kann den Kontext einer Zugriffsanfrage (KI für IAM) verstehen – etwa Zeitpunkt, Standort oder Gerät – und auf dieser Basis automatisch entscheiden, ob der Zugriff gewährt oder verweigert wird. So entsteht eine adaptive, lernfähige Zugriffskontrolle, die Sicherheit und Effizienz miteinander verbindet.

Da Benutzerkonten und Berechtigungen nur temporär vergeben werden, ist je nach Applikation und System im Nachhinein nicht immer nachvollziehbar, wer wann und mit welchen Rechten eine Änderung durchgeführt hat. Damit mit dem Just-in-Time Access trotzdem sichergestellt werden kann, dass dieser Nachweis existiert, wird eine PAM- oder IAM-Lösung hinzugezogen. Diese führt ein manipulationssicheres Audit Trail durch. Es können somit regelmässige Reports generiert werden und die Vergabe temporärer Berechtigungen ist lückenlos nachvollziehbar. Neben der Überprüfung der Berechtigung kann dadurch sichergestellt werden, dass die JIT-Richtlinien wie vorgesehen funktionieren.

Die Einführung eines JIT-Modells ist ein strategischer Schritt, der sorgfältige Planung erfordert. Viele Unternehmen stehen vor der Herausforderung, bestehende Systeme und Prozesse anzupassen. Historisch gewachsene IAM-Strukturen müssen modernisiert werden, um dynamische Zugriffe überhaupt zu ermöglichen. Aus technischer Sicht passiert die Einrichtung oftmals über einen Webservice, z.B. System for Cross-Domain Identity Management (SCIM). Dies muss innert Sekunden möglich sein, damit kurz nach der Anfrage der Nutzer bereit einloggen kann.

Hinzu kommt der Faktor Mensch. Mitarbeitende müssen verstehen, dass Just-in-Time Access kein Kontrollinstrument ist, sondern eine Schutzmaßnahme, die ihnen hilft, sicherer zu arbeiten. Schulung und Kommunikation spielen hier eine entscheidende Rolle.

Apropos Rollen: Just-in-Time (JIT) Provisioning setzt auch heute noch ein Rollenmodell voraus – zumindest in einer groben Ausprägung. Bei der Echtzeit-Erstellung von Benutzerkonten müssen die passenden Berechtigungen innerhalb von Sekunden automatisch zugewiesen werden. Unternehmen, die ihre Systeme strukturiert halten und Berechtigungen konsequent bündeln, schaffen damit die Grundlage, um das Potenzial von JIT voll auszuschöpfen – in Effizienz, Sicherheit und Nachvollziehbarkeit.

Die IPG hat Just-in-Time Access in mehreren Kundenprojekten erfolgreich umgesetzt und damit gezeigt, wie Theorie und Praxis perfekt zusammenspielen. Bisher war es ein Zusammenspiel zwischen IAM- und PAM-Technologien, um die notwendigen Benutzerkonten innert kürzester Zeit zu provisionieren, um danach mit PAM zu kontrollieren. Die neue Generation von PAM-Systemen erlaubt nun die zwei Schritte in einem zu vollziehen, oftmals liest man auch vom Zusatz CIEM bei den PAM-Anbietern.

Auch das Thema KI gelangt nun vermehrt in die Praxis. Erste Hersteller setzen auf KI-gestützte Entscheidungslogik, um Zugriffsanfragen dynamisch zu bewerten. Das System berücksichtigt dabei sowohl technische Parameter als auch kontextuelle Faktoren. Diese intelligente Steuerung führt zu einer erheblichen Reduktion von Lizenzkosten und entlastet Sicherheits- wie IT-Teams gleichermassen.

Ein weiterer messbarer Effekt ist die Einsparung bei der Rezertifizierung. Durch die Eliminierung dauerhafter Berechtigungen entfallen viele manuelle Prüfprozesse. Das Ergebnis: mehr Sicherheit bei deutlich geringerem Aufwand – und ein Governance-Modell, das den Anforderungen moderner Unternehmen gerecht wird.

Die Zukunft des Just-in-Time Access ist eng mit Automatisierung und künstlicher Intelligenz verknüpft. KI-Systeme werden in der Lage sein, auf Basis von Verhalten, Mustern und Risikoanalysen eigenständig über Zugriffsrechte zu entscheiden. Durch die Beschleunigung dieser Entscheide, müssen Benutzerkonten und Berechtigungen auch nicht mehr zwingend auf Vorrat erstellt sowie zugewiesen werden, sondern können dann Real-Time bei Bedarf eingerichtet werden.

Gleichzeitig wird der Ansatz noch stärker mit dem Zero Trust-Prinzip verschmelzen. Zugriffe werden künftig nicht auf Vorrat oder bei Bedarf nach Genehmigung erstellt, sondern z.B. auch mit ISPM kontinuierlich bewertet sowie nach Gebrauch sogleich werden entfernt – jedes Ereignis, jede Aktion wird zum Teil einer dynamischen Vertrauenskette.

Ein weiterer Entwicklungspfad betrifft die non human identities. Mit der wachsenden Zahl automatisierter Prozesse, IoT-Geräte und APIs steigt deren Bedeutung kontinuierlich. Just-in-Time Access wird hier zum zentralen Steuerungsinstrument, um auch maschinelle Akteure sicher und nachvollziehbar in digitale Ökosysteme einzubinden, immer auch mit Blick auf die Lizenzkosten.

Am Ende steht eine Vision, in der Sicherheit, Effizienz und Wirtschaftlichkeit Hand in Hand gehen. Just-in-Time Access wird nicht nur eine technologische Notwendigkeit sein, sondern ein strategisches Werkzeug – für Unternehmen, die Kosten senken, Lizenzkosten sparen, Rezertifizierung vermeiden und zugleich ihr Sicherheitsniveau auf das nächste Level heben wollen.

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.