«IAM ist die Grundlage für vertrauenswürdige digitale Zusammenarbeit»

HR Today: Frau Speidel, Herr Richter, was verstehen Sie unter «Identity & Access Management» (IAM) – insbesondere im Kontext von HR-Prozessen?

Kathrin Speidel: Wer heute in HR über reibungslose Onboardings, transparente Rollen und Datenschutz spricht, spricht über IAM – oft ohne es zu wissen. IAM ist aus HR-Sicht weit mehr als IT-Infrastruktur. Es ist das, was digitale Mitarbeitendenprozesse sicher, nachvollziehbar und effizient macht.

Julian Richter: Ganz genau – IAM ist weit mehr als ein technisches System. Es ist die Grundlage für vertrauenswürdige digitale Zusammenarbeit. Aus technischer Sicht geht es darum, digitale Identitäten und deren Zugriffsrechte über den gesamten Mitarbeitendenlebenszyklus hinweg automatisiert zu steuern – etwa beim Eintritt, Rollenwechsel oder Austritt. Dabei spielt ein moderner Sicherheitsansatz wie Zero Trust eine zentrale Rolle: Es gilt nicht mehr das Prinzip «Einmal drin, immer drin», sondern «Never trust. Always verify». IAM sorgt dafür, dass der Zugriff jederzeit zur Person, zur Rolle und zur Situation passt – regelbasiert, nachvollziehbar und sicher. Das ist besonders dort relevant, wo HR-Prozesse digitale Identitäten erzeugen und verändern – also genau an der Schnittstelle zwischen HR und IT.

Welche typischen Herausforderungen erleben Sie bei der Umsetzung von IAM-Systemen mit HR-Bezug?

Richter: Ich sehe häufig, dass IAM-Projekte zu technisch gedacht und allein in der IT verankert sind. Dabei ist IAM ein strategisches Thema – es prägt, wie sicher, effizient und «compliant» ein Unternehmen arbeitet. Ohne klares Zielbild, durchgängige Prozesse und echte Zusammenarbeit mit HR und anderen Fachbereichen bleibt IAM oft auf halber Strecke stehen.

Speidel: Diese strategische Einbettung fehlt tatsächlich oft – und auch die Rollenklärung wird zur Hürde. Wer ist im Unternehmen für was zuständig? Was bedeutet «Teamleitung» konkret in Bezug auf Zugriffsrechte? Wenn diese Fragen offen bleiben, bremst das jedes IAM-Projekt. HR ist betroffen – wird aber noch zu selten aktiv eingebunden.

Welche Rolle spielt die HR-Abteilung konkret bei der Einführung und Pflege eines IAM-Systems?

Speidel: Eine sehr zentrale. HR liefert die Daten, auf denen das IAM aufbaut – Personalstammdaten, Rolleninformationen, Beschäftigungsstatus. Je klarer und aktueller diese sind, desto besser funktioniert IAM. Zudem kennt das HR-Abteilung die Prozesse und Veränderungen im Mitarbeitendenlebens­zyklus – und ist damit Schlüsselakteurin bei der Umsetzung.

Richter: Aus technischer Sicht steht und fällt IAM mit der Qualität dieser Daten. Probleme entstehen oft bei der Übersetzung von HR-Logik in technische Rollenmodelle. Deshalb ist die Zusammenarbeit essenziell – besonders zu Beginn, aber auch im Betrieb. IAM lebt von Dynamik, nicht von einmaligen Projekten.

Wie lassen sich Onboarding und Offboarding durch IAM aus HR-Sicht effizienter und sicherer gestalten?

Speidel: Onboarding ist für HR ein emotionaler Moment: Es geht um Willkommenskultur, um den ersten Eindruck. Wenn Systeme und Zugänge ab dem ersten Tag bereitstehen, signalisiert das Professionalität. IAM automatisiert genau diesen Moment – angepasst an Rolle, Standort oder Abteilung.

Richter: Und im Offboarding liegt das wohl grössere Risiko. Wenn Mitarbeitende das Unternehmen verlassen, aber Zugriffe bestehen bleiben – sei es auf E-Mail, CRM oder HR-Systeme –, wird es kritisch. Häufig passiert dies durch lückenhafte oder manuelle Prozesse. IAM entzieht Rechte automatisch zum Austrittsdatum. Es schützt nicht nur Daten, sondern auch die Organisation vor Missbrauch und Reputationsschäden. Auch interne Rollenwechsel lassen sich damit sicher und nachvollziehbar abbilden – ein oft unterschätzter Anwendungsfall.

Welche Bedeutung hat IAM im Kontext von Remote Work, hybriden Arbeitsmodellen und externen Mitarbeitenden?

Speidel: Die Arbeitswelt ist vielfältiger geworden. HR-Abteilungen koordinieren heute Festangestellte, Freelancerinnen, Praktikanten, Projektpartnerinnen – teils über Landesgrenzen hinweg. IAM hilft, dieser Vielfalt Struktur zu geben: Wer arbeitet wo, wie lange, mit welchen Rechten? Die Zeiten, in denen «Zugangslisten» in Excel gepflegt wurden, sollten eigentlich vorbei sein.

Richter: Meine Kollegin bringt es auf den Punkt: Die heutige Arbeitswelt ist vielfältig – mit wechselnden Rollen, Standorten und Beschäftigungsformen. IAM sorgt dafür, dass jede Person genau die Zugriffsrechte erhält, die sie braucht – und nur für den notwendigen Zeitraum. Als technologische Grundlage des Zero-Trust-Ansatzes ermöglicht IAM, Identitäten ortsunabhängig zu überprüfen und Zugriffe gezielt zu steuern. So bleibt Zusammenarbeit flexibel, ohne dass Sicherheit oder Transparenz auf der Strecke bleiben. Mit unseren IAM-Lösungen bei Consulteer InCyber begleiten wir Unternehmen genau auf diesem Weg – weg von manueller Rechtevergabe, hin zu einer intelligenten, automatisierten Zugriffskontrolle, die mit den Anforderungen moderner Arbeitsmodelle mitwächst.

Welche IAM-Funktionen sind besonders relevant für den Schutz sensibler Personaldaten?

Richter: Sensible HR-Daten benötigen besondere Schutzmechanismen – sowohl beim Zugriff als auch bei der Speicherung. Neben rollen- und attributbasierter Zugriffskontrolle braucht es starke Authentisierungsmethoden wie Multi-Faktor-Verfahren oder moderne Alternativen wie Passkeys. Plattformen wie «cidaas» kombinieren das mit Single Sign-on, Self-Service-Portalen, granularer Berechtigungssteuerung oder Consent Management – ein Zusammenspiel von Sicherheit, Nutzerfreundlichkeit und Datenschutz.

Speidel: Als HR-Verantwortliche tragen wir Verantwortung für genau diese Daten: Lohn, Bewertungen, Krankheitstage. IAM hilft uns, diese Informationen nur den wirklich Berech­tigten zugänglich zu machen – nachvollziehbar und revisionssicher. Das ist keine Komfortfunktion, sondern ein Muss für den verantwortungsvollen Umgang mit Personaldaten.

Wie unterstützt IAM die Einhaltung von gesetzlichen Vorgaben wie dem revidierten Datenschutzgesetz (DSG) und dem Arbeitsrecht?

Speidel: IAM hilft, Datenschutz- und Arbeitsrechtsprinzipien tatsächlich umzusetzen, beispielsweise das Prinzip der Datenminimierung oder die Pflicht zur Löschung bei Austritt. Statt manueller Routinen können diese Prozesse automatisiert und dokumentiert werden – effizient und rechtskonform. Gleichzeitig hilft IAM, arbeitsrechtliche Grundsätze wie Verhältnismässigkeit zu wahren, etwa durch rollenbasierten Zugriff nur für befugte HR-Mitarbeitende. So wird Rechtssicherheit nicht nur gewährleistet, sondern technisch verankert.

Richter: IAM schafft Nachvollziehbarkeit. Wer hat wann worauf zugegriffen? Welche Rechte wurden wann vergeben? Das ist nicht nur für Audits wichtig, sondern stärkt auch intern das Vertrauen in digitale HR-Systeme. «Privacy by Default» ist nicht nur ein Konzept – IAM macht es real. 

Wie können HR und IT optimal zusammenarbeiten, um IAM-Projekte erfolgreich umzusetzen?

Speidel: Erfolgreiche IAM-Projekte starten nicht mit Technologie, sondern mit gemeinsamer Planung. HR kennt die Rollen und Lebenszyklen, IT die Systeme und Schnittstellen. Wenn beide Seiten früh zusammenkommen, entstehen Lösungen, die funktionieren – und langfristig tragen.

Richter: IAM ist keine Insel. Wer IAM erfolgreich einführt, schafft eine Schnittstelle zwischen Menschen, Prozessen und Technologie. Das geht nur gemeinsam – mit Governance, klaren Verantwortlichkeiten und regelmässigem Austausch. Die erfolgreichsten Projekte, die ich begleitet habe, waren immer cross-funktional aufgestellt, von Beginn an.

Was sind Ihre Empfehlungen für HR-Professionals, die den IAM-Reifegrad im Unternehmen erhöhen möchten?

Speidel: Beginnen Sie mit einem Perspektivenwechsel: Sehen Sie IAM nicht als technisches Projekt, sondern als Teil Ihrer strategischen HR-Arbeit. Schaffen Sie Klarheit in Ihren Rollenmodellen und Prozessen. Und suchen Sie bewusst den Schulterschluss mit der IT – auf Augenhöhe.

Richter: Kleine Schritte machen den Unterschied: automatisiertes Onboarding, klare Rollenstrukturen, strukturierte Zugriffsprozesse. Der Reifegrad steigt nicht durch ein grosses Projekt, sondern durch konsequente Weiterentwicklung. Holen Sie gezielt externe Expertise dazu, um den Status quo zu analysieren und praxistaugliche Verbesserungen zu identifizieren. Nutzen Sie bestehende Standards und vermeiden Sie individuelle Einzellösungen wo möglich.