Zugriffskontrollen sind die Richtlinien, Werkzeuge und Prozesse, die den Benutzerzugriff auf sensible Daten, Computersysteme, Standorte und andere Ressourcen steuern.
Physische Zugangskontrollen – wie Tore und verschlossene Türen – regeln den Zugang zu physischen Orten. Logische Zugriffskontrollen – wie Systeme zur Störungserkennung und -prävention – steuern den Zugang zu Computersystemen. Dieser Artikel befasst sich in erster Linie mit logischen Zugriffskontrollen.
Im Kontext des Zugriffsmanagements werden die Entitäten, die Zugriff benötigen, als „Subjekte“ bezeichnet. Zu diesen Themen gehören sowohl menschliche Benutzer als auch nichtmenschliche Identitäten, wie Bots, Apps, automatisierte Workloads und KI-Agenten.
Da diese letztere Kategorie aufgrund der zunehmenden Cloud-Infrastruktur, des Aufschwungs von DevOps und der Einführung fortschrittlicher Tools für künstliche Intelligenz explodiert, werden nicht-menschliche Benutzer zu einem Hauptschwerpunkt der Zugriffskontrolle.
Die Dinge, auf die die Subjekte zugreifen müssen – Anwendungsprogrammierschnittstellen (APIs), Betriebssystemeinstellungen, sensible Informationen in einer Cloud-Datenbank – werden als „Objekte“ bezeichnet.
Bei der Implementierung von Zugriffskontrollen in einem Unternehmensnetzwerk geht es in der Regel darum, Zugriffskontrollrichtlinien zu erstellen und durchzusetzen, die die Zugriffsrechte jeder Person innerhalb eines Systems festlegen. Zugriffsrichtlinien bestimmen, ob ein Subjekt auf ein Objekt (wie ein Dokument) zugreifen kann und welche Berechtigungen sie bezüglich dieses Objekts haben können (im Fall eines Dokuments: nur lesen, lesen und schreiben, volle administrative Kontrolle).
Zugangskontrollen sind ein Grundpfeiler der Identitätssicherheit. Zum Beispiel verlassen sich Zero-Trust-Netzwerkarchitekturen auf robuste Zugriffskontrollen, um unbefugten Zugriff zu verhindern und gleichzeitig den Zugriff für autorisierte Benutzer zu optimieren. In cloudnativen Netzwerken, in denen die Identität den neuen Perimeter bildet, sind Zugriffskontrollen für die Cybersicherheitsbemühungen im Allgemeinen von entscheidender Bedeutung.
Gleichzeitig sind Zugangskontrollen eine Schwachstelle für viele Systeme. Gebrochene Zugriffskontrollen stehen auf Platz 1 der OWASP Top 10-Liste der wichtigsten Sicherheitsrisiken für Webanwendungen. Laut IBMs X-Force Threat Intelligence Index sind identitätsbasierte Angriffe, bei denen Angreifer gültige Benutzerkonten kapern, um ihre Zugriffsrechte zu missbrauchen, für fast ein Drittel aller Sicherheitsverletzungen verantwortlich.
Obwohl die Zugriffsverwaltung eine Schlüsselrolle bei der Sicherheit eines Unternehmens spielt, deuten die verfügbaren Daten darauf hin, dass es noch Raum für Verbesserungen gibt.
Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Zugriffskontrollen basieren üblicherweise auf Richtlinien. Systemadministratoren entwerfen - gegebenenfalls in Zusammenarbeit mit anderen Stakeholdern – Richtlinien für die Zugriffskontrolle, in denen die Berechtigungen der Personen detailliert aufgeführt sind. Zugriffskontrollsysteme wie Identity and Access Management (IAM) und Privileged Access Management (PAM)-Plattformen setzen diese Sicherheitsrichtlinien automatisch durch.
Zugangskontrollsysteme verwenden einen zweistufigen Prozess der Authentifizierung und Autorisierung, um sicherzustellen, dass nur verifizierte Subjekte auf Objekte zugreifen können und diese nur auf genehmigte Weise handeln können.
Zugriffsrichtlinien bestimmen, auf welche Objekte ein Subjekt zugreifen kann: die S3-Buckets, die ein Entwickler sehen kann, die APIs, die eine Anwendung aufrufen kann, die Datensätze, die ein Large Language Model (LLM) aufnehmen kann. Sie legen außerdem – und das ist entscheidend – fest, was einzelne Benutzer mit einem Objekt tun können. Kann das LLM in den Datensatz schreiben? Kann der Entwickler die Einstellungen eines S3-Buckets ändern? Zugangsrichtlinien bestimmen die Antworten auf diese Fragen.
Obwohl die Richtlinien zwangsläufig von System zu System und von Ressourcen zu Ressourcen variieren, folgen die meisten Unternehmen einem etablierten Zugriffskontrollmodell, wie der rollenbasierten Zugriffskontrolle (RBAC) oder der attributbasierten Zugriffskontrolle (ABAC). (Weitere Informationen finden Sie unter „Arten der Zugriffskontrolle.“)
Unabhängig vom Modell folgen die Zugriffsrichtlinien vieler Unternehmen dem Prinzip der geringsten Privilegien: die Idee, dass Benutzer nur die niedrigste Stufe von Berechtigungen haben sollten, die für die Erledigung ihrer Aufgaben erforderlich ist, und dass Berechtigungen entzogen werden sollten, wenn eine Aufgabe abgeschlossen ist.
Zugriffsrichtlinien können auf verschiedene Weise in einem System „gespeichert“ werden.
Wenn eine Person auf eine durch ein Zugriffskontrollsystem geschützte Ressource zugreifen möchte, muss sie zunächst ihre Identität durch einen Authentifizierungsprozess überprüfen.
Für menschliche Nutzer beinhaltet die Authentifizierung in der Regel das Präsentieren einer Reihe von Zugangsdaten, wie z. B. eine Kombination aus Benutzernamen und Passwort. Passwörter gehören jedoch zu den schwächsten Anmeldedaten, da sie von Bedrohungsakteuren leicht erraten oder gestohlen werden können.
Die meisten Systeme stützen sich heute auf umfassendere Maßnahmen, wie Biometrie und Multifaktor-Authentifizierung (MFA). Für die MFA sind zwei oder mehr Nachweise erforderlich, um die Identität eines Benutzers zu belegen (z. B. einen Fingerabdruck-Scan und ein von einer Authentifizierungs-App generiertes Einmalpasswort).
Geräte, Workloads, KI-Agenten und andere nicht-menschliche Identitäten verwenden typischerweise Anmeldeinformationen wie Zertifikate und Verschlüsselungsschlüssel, um sich zu verifizieren. Während nichtmenschliche Personen MFA nicht nutzen können, könnenSecrets-Management-Lösungen durch Vaulting, automatische Rotation und andere Maßnahmen helfen, ihre Zugangsdaten zu schützen.
Autorisierung ist der Prozess, bei dem einer verifizierten Person die entsprechende Zugriffsebene gewährt wird.
Wie die Autorisierung erfolgt, hängt von dem vorhandenen Zugangskontrollsystem ab.
Wenn ein System zum Beispiel eine ACL verwendet, überprüft es die Liste und weist dem Betreff die dort gefundenen Berechtigungen zu.
Wenn das System eine Policy-Engine verwendet, gewährt die Engine dem Benutzer je nach Kontext der Zugriffsanfrage Rechte.
In einem System, das das OAuth -Protokoll verwendet – ein offenes Standard-Autorisierungsframework, das Anwendungen einen sicheren Zugriff auf die geschützten Ressourcen eines Endbenutzers ermöglicht – wird die Autorisierung über Tokens gewährt.
Zwar kann jedes einzelne Objekt in einem Netzwerk sein eigenes Zugangskontrollsystem haben, doch gilt dies im Allgemeinen nicht als optimale Vorgehensweise. Lücken und Diskrepanzen zwischen diesen Systemen können Schwachstellen schaffen, die Angreifer ausnutzen können – und autorisierte Benutzer daran hindern, ihre Aufgaben zu erfüllen.
Stattdessen empfehlen Organisationen wie das National Institute of Standards and Technology (NIST) und OWASP die Einführung eines zentralisierten Zugriffskontrollsystems, oft als Teil eines ganzheitlichen Identitätsgebildes.
Diese zentralisierten Systeme basieren auf Technologien und Werkzeugen wie beispielsweise:
IAM-Lösungen können die wichtigsten Aufgaben der Zugriffskontrolle rationalisieren und automatisieren. Die Funktionen können variieren, aber zu den üblichen IAM-Funktionen gehören Verzeichnisdienste, Authentifizierungs- und Autorisierungs-Workflows, Zugangsdaten-Management und Identitäts-Governance.
PAM-Tools erleichtern den sicheren Zugriff für hochprivilegierte Benutzerkonten, z. B. für Systemadministratoren. PAM-Tools nutzen Funktionen wie Credential Vaults und Just-in-Time-Zugriffsprotokolle, um diese privilegierten Konten vor versehentlichem Missbrauch, böswilligen Insiderbedrohungen und externen Bedrohungsakteuren zu schützen.
Single Sign-On (SSO) ist ein Authentifizierungsschema, das es Benutzern ermöglicht, sich einmal mit einem einzigen Satz von Anmeldedaten anzumelden und während derselben Sitzung auf mehrere Anwendungen zuzugreifen. Single Sign-on vereinfacht die Benutzerauthentifizierung, verbessert die Benutzererfahrung und erhöht bei richtiger Implementierung die Sicherheit.
Einige Unternehmen verlangen, dass sich Benutzer bei einem Unternehmens-VPN anmelden, um auf Unternehmensdaten, Software und andere Ressourcen zugreifen zu können. In diesem Fall fungiert das VPN als Zugriffskontrolle: Benutzer können nur über dieses spezielle Netzwerk auf Unternehmensobjekte zugreifen, nicht über das öffentliche Internet.
Ein ZTNA ist in gewisser Weise die Zero-Trust-Version eines VPNs. Es bietet Fernzugriff auf Anwendungen und Dienste, verbindet die Nutzer jedoch nur mit den Ressourcen, auf die sie Zugriff haben, anstatt sie mit dem gesamten Netzwerk zu verbinden.
Wie in anderen Bereichen integrieren Unternehmen generative und agentische KI-Tools in ihre Zutrittskontrollen.
Beispielsweise können Chatbots mit generativer KI verwendet werden, um Identitätsmanagementprozesse wie die Bereitstellung zu vereinfachen. Durch das Training eines LLM-Chatbots mit organisationsinternen Zugriffskontrollrichtlinien und die Verknüpfung mit geeigneter Dokumentation und Ressourcen kann eine Organisation ein sicheres Self-Service-IAM-Tool erstellen. Wenn neue Benutzer Zugriff auf ein System benötigen oder bestehende Benutzer aktualisierte Berechtigungen benötigen, können sie die Anfrage über den Chatbot stellen.
Angenommen, ein Unternehmen muss Zugriffskontrollen für eine vertrauliche Datenbank mit Kundendaten erstellen und durchsetzen.
Zunächst würden der Systemadministrator und andere relevante Stakeholder festlegen, welche Subjekte – Personen, Apps, KI-Agenten – Zugriff auf die Datenbank haben sollen. Vielleicht entscheiden sie, dass jeder, der eine Vertriebs- oder Marketingfunktion hat, Zugriff auf die Daten haben sollte, ebenso wie die CRM- und Marketingsoftware. Alle KI-Agenten, die autorisierten menschlichen Benutzern gehören, können ebenfalls Zugriff erhalten.
Als nächstes legen die Stakeholder fest, welche Aktionen jeder autorisierte Benutzer in der Datenbank durchführen darf. Möglicherweise benötigen die Vertriebsmitarbeiter Lese- und Schreibzugriff, weil sie über einen längeren Zeitraum Beziehungen zu diesen Kunden aufbauen und pflegen. In der Zwischenzeit können die Marketingfunktionen die Datenbank nur lesen, da sie die demografischen Daten der Kunden lediglich für ihre Kampagnen nutzen. Vielleicht haben alle KI-Agenten unabhängig vom Eigentümer nur Lesezugriff, um sicherzustellen, dass ein Mensch immer auf dem Laufenden bleibt, wenn die Datenbank aktualisiert wird.
Zur Durchsetzung dieser Zugriffsrichtlinie verwendet das Unternehmen eine zentralisierte Policy Engine mit einer detaillierten Zugriffskontrolllogik. Neben der Benutzeridentität berücksichtigt die Engine auch kontextuelle Faktoren bei der Entscheidung, ob eine Zugriffsanfrage genehmigt wird.
Angenommen, ein Vertriebsmitarbeiter möchte auf die Datenbank zugreifen, um die E-Mail-Adresse eines Kunden zu aktualisieren. Zunächst weist der Vertriebsmitarbeiter seine Identität nach, indem er die richtigen Authentifizierungsfaktoren angibt. Anschließend wird seine Anfrage von der Policy Engine bewertet, die Folgendes berücksichtigt:
Aufgrund dieser Faktoren wird dem Zugriffsantrag des Vertriebsmitarbeiters stattgegeben.
Unternehmen können je nach Bedarf verschiedene Arten von Zugriffskontrollmodellen implementieren. Zu den gängigen Typen gehören:
Diskretionäre Zugriffskontrollsysteme (DAC) ermöglichen es den Eigentümern von Ressourcen, Zugriffsregeln für diese Ressourcen festzulegen. Objektbesitzer können im DAC-Modell sogar Administratorrechte an andere Benutzer weitergeben. Wenn der Eigentümer eines Objekts einem anderen Benutzer Administratorrechte gewährt, kann dieser Benutzer auch Zugriffsregeln für das Objekt festlegen.
Obligatorische Zugriffskontrollsysteme (MAC) setzen zentral definierte Zugriffskontrollrichtlinien für alle Benutzer durch.
Sie arbeiten oft mit Sicherheitsfreigaben, wie in der Regierung oder beim Militär. Jedem Subjekt wird eine Sicherheitsstufe zugeordnet, und jedem Objekt ist eine entsprechende Sicherheitsbewertung oder Klassifizierungsstufe zugeordnet. Die Betroffenen haben Zugang zu allen Objekten, die ihrer Sicherheitsfreigabe entsprechen oder darunter liegen.
Während alle Zugriffskontrollen in dem Sinne obligatorisch sind, dass sich jede Person an sie halten muss, bezieht sich das „obligatorisch“ in MAC darauf, dass einzelne Benutzer Berechtigungen nicht ändern oder zuweisen können. MAC steht im Gegensatz zum diskretionären DAC-Modell, bei dem Objektbesitzer die Zugriffsregeln für ihre Objekte kontrollieren.
Bei rollenbasierter Zugriffskontrolle (RBAC) basieren die Rechte der Nutzer auf ihren Rollen innerhalb des Unternehmens.
Rollen in einem RBAC-System sind nicht dasselbe wie Berufsbezeichnungen, obwohl sie in einigen Implementierungen eins zu eins korrespondieren können. In diesem Kontext bezieht sich „Rolle“ jedoch darauf, was eine Person in der Organisation tut – und welche Berechtigungen sie benötigt, um diese Aufgaben zu erfüllen. Die Rollen im RBAC basieren auf verschiedenen Kriterien, darunter Berufsbezeichnung, Qualifikationsniveau, Verantwortlichkeiten und mehr.
Angenommen, Systemadministratoren legen Berechtigungen für eine Netzwerk-Firewall fest. Ein Vertriebsmitarbeiter hätte überhaupt keinen Zugriff. Eine Sicherheitsanalystin der unteren Ebene kann möglicherweise Firewall-Konfigurationen anzeigen, aber nicht ändern, während ein Analyst der höheren Ebene möglicherweise über Administratorzugriff verfügt. Eine API für ein integriertes Sicherheitsinformations- und Event-Management-System (SIEM) kann möglicherweise die Aktivitätsprotokolle der Firewall lesen.
RBAC ist eines der beiden von OWASP empfohlenen Zugriffskontrollmodelle.
Das zweite von OWASP empfohlene Zugriffskontrollmodell, attributbasierte Zugriffskontrolle (ABAC), verwendet eine Policy Engine, um die Attribute jeder Zugriffsanfrage in Echtzeit zu analysieren. Nur Anfragen, die die richtigen Kriterien erfüllen, werden genehmigt.
Im Großen und Ganzen sind „Attribute“ die Merkmale der Subjekte, Objekte und Aktionen, die an einer Anfrage beteiligt sind. Zu den Attributen gehören Dinge wie der Name und die Rolle eines Benutzers, der Typ einer Ressource, die Risikostufe der angeforderten Aktion und die Uhrzeit der Anfrage.
In einem ABAC-System können Benutzer beispielsweise nur während der Arbeitszeit und nur dann auf sensible Daten zugreifen, wenn sie eine bestimmte Position innehaben.
Der Unterschied zwischen RBAC und ABAC besteht darin, dass ABAC die Zugriffsberechtigungen zum Zeitpunkt jeder Anfrage auf der Grundlage mehrerer kontextueller Faktoren dynamisch bestimmt. RBAC hingegen gewährt Berechtigungen strikt nach vordefinierten Benutzerrollen.
Regelbasierte Zugriffskontrolle (RuBac) ist ein System, bei dem der Zugriff auf bedingten, kontextuellen Regeln basiert. Zum Beispiel: Wenn eine Anfrage von Person X zur Zeit Y kommt, ist sie erlaubt.
„Regelbasierte Zugriffskontrolle“ ist ein ungenauer und etwas veralteter Begriff. Oft wird es als Synonym für ABAC oder als Bezeichnung für frühere, weniger ausgefeilte Formen von ABAC verwendet. Manchmal wird der Begriff verwendet, um RBAC-Systeme zu bezeichnen, die Zugriffsanfragen durch eine zusätzliche Logikebene (Rolle + Regeln) leiten.
Zugangskontrollen sind in mehr als einer Hinsicht das Herzstück der Unternehmenssicherheit. OWASP listet sie sowohl als größtes Risiko auf, wenn sie defekt sind, als auch als beste proaktive Kontrolle, wenn sie funktionieren.
Effektive Zugriffskontrollen können dazu beitragen, Unternehmenswerte zu schützen, den vollen Wert von Unternehmensdaten auszuschöpfen und neue KI-Agenten-Technologien zu sichern und zu stärken. Fehlerhafte Zugriffskontrollen können all diese Bemühungen untergraben und Hackern die Türen weit öffnen.
Zugriffskontrollen sind die Grundlage für die Cybersicherheit selbst, denn die Identität ist heute das Herzstück der Sicherheitsbemühungen.
Das durchschnittliche Unternehmensnetzwerk beherbergt eine wachsende Anzahl menschlicher und nichtmenschlicher Benutzer an verschiedenen Standorten, die einen sicheren Zugriff auf lokale und cloudbasierte Anwendungen und Ressourcen benötigen.
Perimeterbasierte Sicherheitsmaßnahmen sind in diesen Umgebungen wirkungslos. Stattdessen konzentrieren Unternehmen ihre Sicherheitskontrollen auf einzelne Nutzer und Ressourcen – oder in Zugriffsmanagement-Begriffen auf Subjekte und Objekte.
Denken Sie zum Beispiel an den Zero-Trust-Ansatz für Netzwerksicherheit. Anstatt einen Benutzer einmal zu authentifizieren, authentifiziert Zero Trust jede einzelne Zugriffsanfrage von jedem einzelnen Benutzer. In anderen Worten: Jede Anfrage durchläuft die Steuerungsebene.
Bedenken Sie auch, wie Zugriffskontrollen die CIA-Triade der Informationssicherheit unterstützen:
Zugriffskontrollen können Unternehmen auch dabei helfen, mehr Wert aus geschützten Daten zu schöpfen und gleichzeitig die Datensicherheit zu gewährleisten.
Laut der CDO-Studie 2025 des IBM Institute for Business Value geben 78 % der CDOs an, dass die Nutzung proprietärer Daten ein strategisches Geschäftsziel ist, um ihr Unternehmen zu differenzieren. Darüber hinaus glauben 82 % der CDOs, dass Daten „ungenutzt“ bleiben, wenn Mitarbeiter sie nicht einfach nutzen können, um datenbasierte Entscheidungen zu treffen.
Und ein sicherer Datenzugriff wird umso wichtiger, je mehr KI-Agenten zur digitalen Belegschaft hinzukommen. Agenten benötigen Unternehmensdaten, um effizient und effektiv zu arbeiten.
Effektive Zugriffskontrollen helfen sowohl menschlichen Benutzern als auch KI-Agenten, für genehmigte Zwecke sicher auf Unternehmensdaten zuzugreifen. Laut der CDO-Studie verwenden CDOs von Unternehmen, die einen höheren ROI für KI- und Dateninvestitionen erzielen, häufig Sicherheitsmaßnahmen wie RBAC, um den Benutzerzugriff auf Unternehmensdaten zu regeln.
In einer Folge des IBM Podcasts Security Intelligence nannte Dave McGinnis, globaler Partner der IBM-Gruppe für Cyberthreat Management Offerings, KI-Agenten „die hilfreichsten Insider-Bedrohungen“. McGinnis bezog sich auf die Fähigkeit von Agenten, sowohl unglaubliche Vorteile als auch unglaublichen Schaden anzurichten.
Um sinnvolle Arbeit zu leisten, benötigen Agenten hochprivilegierten Zugriff auf Unternehmenssysteme und Daten. Aber auch die Akteure verhalten sich nicht deterministisch, und ohne angemessene Schutzmechanismen können sie ihren Zugriff auf neue und nicht gänzlich genehmigte Weise nutzen.
Wie Seth Glasgow, Executive Advisor bei IBMs Cyber Range, bei Security Intelligence erklärte, ist der gezielte Einsatz von Zugriffskontrollen entscheidend, um KI-Agenten zu ermöglichen und gleichzeitig das Risiko eines Privilegienmissbrauchs zu mindern:
Die Standardbereitstellung eines [KI-Agenten] ist, dass er alles sehen kann, nicht wahr? Es ist, um es mal so auszudrücken, ein Agent, der sie alle beherrscht. ... Und genau da habe ich ein extrem wertvolles Asset geschaffen. Diese App ist darauf ausgelegt, auf eine Menge sensibler Daten zuzugreifen.
Das erste, was wir aus der IAM-Perspektive tun müssen, ist, dies zu segmentieren. Wir brauchen keinen einzelnen Agenten, der all das kann. Es muss besser auf den konkreten Anwendungsfall abgestimmt sein und über Berechtigungen verfügen, die direkt mit den Aufgaben des Agenten übereinstimmen.
Drei Kernfaktoren tragen zu fehlerhaften Zugriffskontrollen bei: übermäßige Privilegierung, mangelnde Zentralisierung und Konstruktionsfehler.
Es ist üblich, dass Unternehmen ihren Mitarbeitern mehr Berechtigungen erteilen, als diese eigentlich benötigen, um sicherzustellen, dass sie bei der Arbeit auf keine Hindernisse stoßen. Überprivilegiierung ist besonders häufig bei nichtmenschlichen Identitäten, die zur Automatisierung von Workflows verwendet werden, da Unternehmen in der Regel so wenig Eingriff wie möglich benötigen.
Effektive Zugriffskontrollen – wie RBAC und ABAC – können dazu beitragen, Nutzererfahrung, Geschäftsabläufe und Sicherheitsbedürfnisse zu harmonisieren. Statt übermäßige Privilegien zu vergeben, passen Unternehmen den Zugang präzise an die Bedürfnisse jedes einzelnen Teilnehmers an – nicht mehr und nicht weniger.
In Systemen ohne zentrale Zugriffskontrolle können verschiedene Objekte über unterschiedliche Kontrollsysteme verfügen. Lücken zwischen diesen Systemen können die betroffenen Personen daran hindern, auf die benötigten Ressourcen zuzugreifen, und es braucht nur ein schwaches System, um das gesamte Netzwerk zu gefährden.
Durch die Implementierung eines ganzheitlichen Identitätsgewebes und den Einsatz von Identity Orchestration -Tools zur Integration verteilter Systeme können Unternehmen Sicherheitslücken schließen und gleichzeitig den Zugriff für autorisierte Benutzer vereinfachen.
Schließlich weist OWASP darauf hin, dass Anwendungen häufig Designfehler in ihren Zugriffskontrollsystemen aufweisen. Zu diesen Schwachstellen gehören Probleme wie die Möglichkeit, Kontrollen durch Änderung einer Seiten-URL zu umgehen, fehlende API-Kontrollen und ungesicherte JSON-Web-Token, die anfällig für Manipulationen sind.
Entwicklerschulungen, strengere Zugriffskontrollanforderungen und DevSecOps-Praktiken können Organisationen dabei helfen, Identitätssicherheit direkt in Anwendungen einzubauen.