Was ist ein IAM-Leistungsverzeichnis?
Identity & Access Management (IAM) ist die zentrale Disziplin für die sichere Verwaltung digitaler Identitäten und Zugriffsrechte in Behörden und Organisationen. Mit zunehmender Digitalisierung, Remote-Arbeit und Cloud-Nutzung ist ein professionelles IAM-System nicht mehr optional, sondern regulatorische Pflicht – gefordert durch BSI IT-Grundschutz, NIS2 und DSGVO.
Unser Muster-LV für IAM wurde aus realen Vergabeverfahren im öffentlichen Sektor entwickelt und deckt alle wesentlichen Leistungsbereiche ab: von Verzeichnisdiensten und Rollenkonzepten über Multi-Faktor-Authentifizierung und Single Sign-On bis hin zu Privileged Access Management und Audit-Logging.
Für wen geeignet?
Leistungsumfang des Muster-LV IAM
Verzeichnisdienste & Infrastruktur
Die technische Grundlage jedes IAM-Systems bilden die Verzeichnisdienste. In öffentlichen Ausschreibungen sehen wir regelmäßig, dass Anforderungen an Active Directory (AD), LDAP und deren Cloud-Äquivalente entweder fehlen oder zu vage formuliert sind – was zu inkompatiblen Angeboten führt. Unser Abschnitt A fordert daher eine präzise Spezifikation der eingesetzten Verzeichnisdienste: Active Directory on-premise, Microsoft Entra ID (Azure AD) in der Cloud oder hybride Szenarien mit Azure AD Connect. LDAP-Kompatibilität für Drittsysteme und Fachverfahren sowie eine klare Forest/Domain-Architektur sind verbindlich zu beschreiben.
Die Hochverfügbarkeit der Verzeichnisdienste ist für Behörden mit kritischen Fachverfahren ein zentrales Anforderungsmerkmal: Replikationskonzepte, Read-Only Domain Controller (RODC) für Außenstellen und Failover-Szenarien müssen vom Bieter spezifiziert werden. Anforderungen an die Anbindung vorhandener HR-Systeme für das automatisierte Provisioning und Deprovisioning von Benutzerkonten sind in unserem Leistungsverzeichnis als Pflichtanforderungen verankert.
Rollen- & Berechtigungskonzept
Ein strukturiertes Rollenkonzept nach dem Prinzip der minimalen Rechtevergabe (Least Privilege) ist die wichtigste präventive Maßnahme gegen Insider-Bedrohungen und kompromittierte Konten. In der Vergabepraxis beobachten wir, dass Behörden häufig gewachsene, undokumentierte Berechtigungsstrukturen ausschreiben, ohne klare Anforderungen an deren Bereinigung zu stellen. Unser Abschnitt B fordert deshalb eine vollständige Rollenmodellierung nach RBAC (Role-Based Access Control), die Implementierung von Segregation of Duties (SoD) für kritische Prozesse sowie einen verbindlichen Rezertifizierungszyklus für alle Benutzerkonten und Berechtigungen.
Joiner-Mover-Leaver-Prozesse – also die automatisierte Verwaltung von Zugriffsrechten bei Eintritt, Stellenwechsel und Austritt von Mitarbeitern – müssen als Kernfunktionalität beschrieben werden. Wer aktuelle Ausschreibungen zu IAM und Berechtigungsmanagement im öffentlichen Sektor recherchieren möchte, findet entsprechende Unterlagen im Vergabe-Archiv.
Authentifizierung, SSO & PAM
Moderne Authentifizierungsanforderungen gehen weit über Benutzername und Passwort hinaus. Unser Abschnitt C adressiert die gesamte Bandbreite: Multi-Faktor-Authentifizierung (MFA) mit TOTP, FIDO2/WebAuthn und Push-Benachrichtigung, Single Sign-On (SSO) auf Basis von SAML 2.0 und OpenID Connect für alle angebundenen Anwendungen sowie Privileged Access Management (PAM) für administrative Konten. Lösungen wie Microsoft Entra ID, Cisco Duo, CyberArk und BeyondTrust sind in deutschen Behördenausschreibungen regelmäßig vertreten.
PAM-spezifische Anforderungen umfassen das Vaulting privilegierter Zugangsdaten, Session-Recording für administrative Sitzungen, Just-in-Time-Zugriffsgewährung sowie die automatische Rotation von Service-Account-Passwörtern. Diese Anforderungen sind nach BSI IT-Grundschutz Baustein ORP.4 und den NIS2-Umsetzungsanforderungen für KRITIS-Betreiber verpflichtend.
Governance, Audit & Compliance
IAM-Systeme erzeugen eine Vielzahl sicherheitsrelevanter Ereignisse, die für Compliance-Nachweise, forensische Analysen und die Anbindung an SIEM-Systeme zwingend erforderlich sind. Unser Abschnitt D verankert verbindliche Anforderungen an das Audit-Logging aller Identitäts- und Zugriffsereignisse, Aufbewahrungsfristen nach DSGVO und BSI-Vorgaben sowie strukturierte Zugriffsberichte für interne Revisionen und externe Prüfer. Die Anbindung an bestehende SIEM-Plattformen über Syslog/CEF ist als Pflichtanforderung spezifiziert, da IAM-Ereignisse zu den wertvollsten Datenquellen für die Sicherheitsüberwachung zählen.
Self-Service-Portale für Passwort-Reset und Berechtigungsanfragen reduzieren den Helpdesk-Aufwand erheblich und sind in unserem Leistungsverzeichnis als Sollanforderung mit definierten Funktionsumfängen hinterlegt. Anforderungen an Barrierefreiheit (BITV 2.0) für Benutzerportale sind für öffentliche Auftraggeber gemäß BGG verpflichtend und daher ebenfalls verankert.
Quellen
- BSI: „IT-Grundschutz-Kompendium: Baustein ORP.4 – Identitäts- und Berechtigungsmanagement", Edition 2023, bsi.bund.de.
- ENISA: „NIS2 Directive – Identity and Access Management Requirements", 2024.
Technische Details
| Format | Microsoft Excel (.xlsx) |
| Umfang | mehr als 45 Leistungspositionen |
| Sprache | Deutsch |
| Vergaberecht | GWB, VgV, UVgO konform |
| Normen | BSI IT-Grundschutz ORP.4, ISO 27001, DSGVO, NIS2 |
| Stand | 2026 (regelmäßige Revision) |
| Lieferung | Innerhalb von 5 Werktagen nach Zahlung |
| Nutzungsrecht | Einfach, für eigene Organisation |
Muster-LV: IAM
- aus vergangenen Projekten entwickelt
- Öffentlicher Sektor & KRITIS
- GWB / VgV / UVgO konform
- BSI IT-Grundschutz ORP.4 konform
- Stand 2026 (regelmäßige Revision)
- E-Mail Support inklusive
