Konzept / Kapitel 06
Kapitel 06

Security Center: IAM, PAM & Zero Trust

Integriertes Security-Modul für das HAFS Self-Help Portal – On-Prem AD als primäre Identitätsquelle, IAM/PAM Add-on, SIEM Add-on und HashiCorp Vault.

Inhaltsverzeichnis
  1. Security-Philosophie
  2. Security Center Übersicht
  3. Identity & Access Management
  4. Privileged Access Management
  5. Security Incident Management
  6. Vulnerability Management
  7. Access Reviews
  8. Conditional Access Matrix
  9. Secrets Management
  10. Security Awareness
  11. Komponentenübersicht

1. Security-Philosophie

„Never trust, always verify – unabhängig von Standort, Gerät oder Netzwerk.“

1.1 Grundprinzipien

PrinzipUmsetzung
Verify explicitlyJede Authentifizierung wird überprüft (MFA, Conditional Access auf Applikationsebene)
Least privilegeMinimale Berechtigungen, zeitlich begrenzt (JIT/JEA) via IAM/PAM Add-on
Assume breachSegmentierung, Monitoring via SIEM Add-on, automatische Reaktion

2. Security Center – Übersicht

Security Center Dashboard
  ┌─────────────────────────────────────────────────────────────┐
  │                    SECURITY CENTER                           │
  │                                                              │
  │  ┌─────────────────────────────────────────────────────┐     │
  │  │              SECURITY DASHBOARD                      │     │
  │  │  Security Score │ Open Incidents │ Compliance Status │     │
  │  └─────────────────────────────────────────────────────┘     │
  │                                                              │
  │  ┌──────────┐  ┌──────────┐  ┌──────────┐  ┌──────────┐    │
  │  │   IAM    │  │   PAM    │  │ Incident │  │ Compli-  │    │
  │  │ Manage-  │  │ Manage-  │  │ Response │  │ ance     │    │
  │  │  ment    │  │  ment    │  │          │  │ Monitor  │    │
  │  └──────────┘  └──────────┘  └──────────┘  └──────────┘    │
  │                                                              │
  │  ┌──────────┐  ┌──────────┐  ┌──────────┐  ┌──────────┐    │
  │  │ Vuln.    │  │ Access   │  │ Threat   │  │ Security │    │
  │  │ Manage-  │  │ Reviews  │  │ Intel    │  │ Aware-   │    │
  │  │  ment    │  │          │  │          │  │  ness    │    │
  │  └──────────┘  └──────────┘  └──────────┘  └──────────┘    │
  │                                                              │
  │  Backend-Anbindung:                                          │
  │  ┌──────────────────────────────────────────────────────┐    │
  │  │  Security Center  ──── REST API ───►  IAM/PAM Add-on │    │
  │  │  Security Center  ──── REST API ───►  SIEM Add-on     │    │
  │  │  Security Center  ──── REST API ───►  HashiCorp Vault │    │
  │  └──────────────────────────────────────────────────────┘    │
  └─────────────────────────────────────────────────────────────┘

Das Security Center kommuniziert mit dem IAM/PAM Add-on (eigenständige Applikation auf dem K8s-Cluster, siehe Dokument 13) sowie dem SIEM Add-on (siehe Dokument 12) jeweils über dedizierte REST APIs.

portal.hafs.de/security/dashboard
Übersicht
Dashboard
Module
IAM PAM Incidents Vulnerabilities Access Reviews Compliance
Security Dashboard
Live Bericht exportieren
82
Security Score
3
Open Incidents
↑ 1 seit gestern
12
Vulnerabilities
↓ 4 seit letzter Woche
96,4%
Compliance Rate
↑ 0,8%
14 d
Nächster Review
Q1-2026 Zyklus
Compliance – Frameworks
Erfüllungsgrad je Standard
DORA 98%
BAIT 95%
ISO 27001 94%
GDPR 97%
Aktuelle Incidents
Letzte 7 Tage
IDTypSchwereStatus
SEC-0042 Brute-Force Login Hoch Analyse
SEC-0041 Phishing E-Mail Mittel Eingedämmt
SEC-0040 Anomaler Datenzugriff Mittel Gelöst
Security Center Dashboard – Zentrale Übersicht mit Security Score, Compliance-Status und aktiven Incidents

3. Identity & Access Management (IAM)

3.1 IAM-Architektur

IAM Architecture
  ┌─────────────────────────────────────────────────────────────┐
  │                    IAM ARCHITEKTUR                            │
  │                                                              │
  │  ┌─────────────────────────────────────────────────────┐     │
  │  │         ON-PREMISES ACTIVE DIRECTORY (Primary)      │     │
  │  │                                                     │     │
  │  │  • Single Source of Truth für alle Identitäten      │     │
  │  │  • Group Policies & RBAC-Gruppen                    │     │
  │  │  • LDAP/LDAPS-Zugriff für Applikationen             │     │
  │  │  • Kerberos-Authentifizierung für On-Prem Dienste   │     │
  │  │  • Service Accounts & Managed Service Accounts      │     │
  │  └──────────────────────┬──────────────────────────────┘     │
  │                         │ Azure AD Connect                   │
  │                         │ (Hybrid Sync → Entra ID)           │
  │  ┌──────────────────────▼──────────────────────────────┐     │
  │  │         ENTRA ID (Hybrid Sync für M365)             │     │
  │  │                                                     │     │
  │  │  • M365-Dienste (Exchange Online, Teams, SharePoint)│     │
  │  │  • Entra ID als sekundärer IdP für Cloud-Apps       │     │
  │  │  • MFA via Microsoft Authenticator / FIDO2          │     │
  │  │  • Passwordless Authentication (Cloud-Apps)         │     │
  │  └─────────────────────────────────────────────────────┘     │
  │                                                              │
  │  ┌─────────────────────────────────────────────────────┐     │
  │  │         IAM/PAM ADD-ON (Eigene App, K8s-Cluster)    │     │
  │  │                                                     │     │
  │  │  • Self-Service Berechtigungsanfragen               │     │
  │  │  • Automatisierte Provisionierung via AD/LDAP       │     │
  │  │  • Access Reviews & Rezertifizierung (AI-gestützt)  │     │
  │  │  • Lifecycle Management (Joiner/Mover/Leaver)       │     │
  │  │  • RBAC + ABAC Enforcement                          │     │
  │  │  • REST API für Portal-Integration                  │     │
  │  └─────────────────────────────────────────────────────┘     │
  │                                                              │
  │  ┌─────────────────────────────────────────────────────┐     │
  │  │         AUTHENTIFIZIERUNG & AUTORISIERUNG            │     │
  │  │                                                     │     │
  │  │  • OIDC / OAuth 2.0 für Portal & Web-Apps           │     │
  │  │  • SAML 2.0 für Legacy-Anbindung                    │     │
  │  │  • Conditional Access Policies auf Applikationsebene│     │
  │  │  • Keycloak / ADFS als Identity Broker              │     │
  │  └─────────────────────────────────────────────────────┘     │
  └─────────────────────────────────────────────────────────────┘

3.2 Self-Service IAM Workflows – Berechtigungsanfrage

Access Request Workflow
  Mitarbeiter: "Ich benötige Zugriff auf SharePoint Site X"
         │
         ▼
  ┌──────────────────┐
  │ AI-Analyse       │
  │ (IAM/PAM Add-on) │──► System: SharePoint
  │ • Was wird       │    Berechtigung: Contributor
  │   angefragt?     │    Risiko-Score: LOW
  │ • Wer fragt?     │
  │ • Ist das üblich?│
  └──────┬───────────┘
         │
         ▼
  ┌──────────────────┐
  │ Policy Check     │
  │ (IAM/PAM Add-on) │──► Abteilung berechtigt
  │ • Abteilungs-   │    Keine SoD-Verletzung
  │   richtlinie     │    Keine offenen Security Issues
  │ • SoD-Check     │
  │ • Risk Level    │
  └──────┬───────────┘
         │
         ▼
  ┌──────────────────┐
  │ Approval Flow    │
  │                  │
  │ Low Risk:        │──► Auto-Approve
  │ Medium Risk:     │──► Manager-Approval
  │ High Risk:       │──► Manager + Data Owner + Security
  │ Critical:        │──► + CISO Approval
  └──────┬───────────┘
         │ Approved
         ▼
  ┌──────────────────┐
  │ Auto-Provision   │
  │ (IAM/PAM Add-on) │──► AD-Gruppe via LDAP hinzufügen
  │ • On-Prem AD     │    SharePoint Permissions setzen
  │   (LDAP/S)       │    (Sync via Azure AD Connect)
  │ • App-spezifisch │    Audit-Log schreiben
  │ • Entra ID Sync  │    Bestätigung an User
  └──────┬───────────┘
         │
         ▼
  ┌──────────────────┐
  │ Access Review    │
  │ Scheduled        │──► Review in 90 Tagen
  │ (IAM/PAM Add-on) │    Auto-Revoke wenn nicht bestätigt
  └──────────────────┘

3.3 Identity Lifecycle Management

Joiner / Mover / Leaver (gesteuert via IAM/PAM Add-on)
  ┌─────────────────────────────────────────────────────────────┐
  │        IDENTITY LIFECYCLE (gesteuert via IAM/PAM Add-on)     │
  │                                                              │
  │   JOINER              MOVER              LEAVER              │
  │  (Onboarding)     (Abteilungswechsel)   (Offboarding)       │
  │                                                              │
  │  ┌──────────┐     ┌──────────┐        ┌──────────┐         │
  │  │ HR-Event │     │ HR-Event │        │ HR-Event │         │
  │  │ Trigger  │     │ Trigger  │        │ Trigger  │         │
  │  └────┬─────┘     └────┬─────┘        └────┬─────┘         │
  │       ▼                ▼                    ▼                │
  │  ┌──────────┐     ┌──────────┐        ┌──────────┐         │
  │  │ Create   │     │ Modify   │        │ Disable  │         │
  │  │ Identity │     │ Access   │        │ Account  │         │
  │  │ (via AD/ │     │ (via AD/ │        │ (sofort) │         │
  │  │  LDAP)   │     │  LDAP)   │        │          │         │
  │  │          │     │          │        │ • Revoke │         │
  │  │ • AD Acc │     │ • Remove │        │   all    │         │
  │  │ • M365   │     │   old AD │        │   Access │         │
  │  │   (Sync) │     │   Groups │        │   (AD +  │         │
  │  │ • MFA    │     │ • Add    │        │   Apps)  │         │
  │  │ • AD-    │     │   new AD │        │ • Backup │         │
  │  │   Groups │     │   Groups │        │   Data   │         │
  │  │ • Apps   │     │ • Update │        │ • Archive│         │
  │  │ • Device │     │   Profile│        │ • Delete │         │
  │  └──────────┘     └──────────┘        │   (30d)  │         │
  │                                        └──────────┘         │
  │                                                              │
  │  Provisionierung: On-Prem AD via LDAP/S                     │
  │  Cloud-Sync:      Azure AD Connect → Entra ID → M365        │
  │  Secrets:         HashiCorp Vault für Service Credentials    │
  └─────────────────────────────────────────────────────────────┘

3.4 IAM Dashboard – KPIs

KPIBeschreibungZiel
Provisioning TimeZeit von Anfrage bis Berechtigung (IAM/PAM Add-on)< 2h (auto)
Orphaned AccountsAccounts ohne zugeordneten Mitarbeiter (AD-Abgleich)0
Stale PermissionsBerechtigungen älter als 180 Tage ohne Review< 5%
SoD ViolationsSegregation of Duties Verstöße0
MFA Coverage% der User mit aktiviertem MFA100%
Access Review Completion% abgeschlossene Access Reviews (IAM/PAM Add-on)> 95%
Password Policy Compliance% der Accounts mit konformer Passwortpolitik (AD GPO)100%
AD Sync HealthErfolgsrate Azure AD Connect Synchronisation> 99,9%

4. Privileged Access Management (PAM)

4.1 PAM-Architektur

PAM Architecture
  ┌─────────────────────────────────────────────────────────────┐
  │                    PAM ARCHITEKTUR                            │
  │                                                              │
  │  ┌─────────────────────────────────────────────────────┐     │
  │  │           PORTAL PAM LAYER (Security Center)        │     │
  │  │                                                     │     │
  │  │  • PAM Request Portal (Self-Service)                │     │
  │  │  • Just-in-Time Access (JIT)                        │     │
  │  │  • Session Monitoring & Recording                   │     │
  │  │  • Emergency Access ("Break Glass")                 │     │
  │  └──────────────────────┬──────────────────────────────┘     │
  │                         │ REST API                           │
  │  ┌──────────────────────▼──────────────────────────────┐     │
  │  │           IAM/PAM ADD-ON (Eigene App, K8s)          │     │
  │  │                                                     │     │
  │  │  ┌──────────┐  ┌──────────┐  ┌──────────────────┐  │     │
  │  │  │ Password │  │ Session  │  │ Privilege        │  │     │
  │  │  │ Vault    │  │ Manager  │  │ Elevation        │  │     │
  │  │  │          │  │          │  │                  │  │     │
  │  │  │ • Shared │  │ • RDP    │  │ • Just-in-Time   │  │     │
  │  │  │   Acc.   │  │ • SSH    │  │ • Just Enough    │  │     │
  │  │  │ • Service│  │ • Web    │  │ • Time-Limited   │  │     │
  │  │  │   Acc.   │  │ • DB     │  │ • Approval-Based │  │     │
  │  │  │ • Admin  │  │ • Record │  │                  │  │     │
  │  │  │   Acc.   │  │   (int.) │  │                  │  │     │
  │  │  └──────────┘  └──────────┘  └──────────────────┘  │     │
  │  │                                                     │     │
  │  │  Secrets Backend: HashiCorp Vault                   │     │
  │  │  Session Recording: Integriert im Add-on            │     │
  │  └─────────────────────────────────────────────────────┘     │
  │                                                              │
  │  ┌─────────────────────────────────────────────────────┐     │
  │  │           MANAGED TARGETS                            │     │
  │  │                                                     │     │
  │  │  On-Prem Server │ Datenbanken │ Network Devices     │     │
  │  │  Active Directory │ K8s Cluster │ Applikationen      │     │
  │  │  Hypervisor (VMware) │ Storage │ Backup-Systeme      │     │
  │  └─────────────────────────────────────────────────────┘     │
  └─────────────────────────────────────────────────────────────┘

4.2 PAM Self-Service Workflow

PAM Request & Session Flow
  Admin: "Ich brauche Root-Zugang zu Prod-Server-01"
         │
         ▼
  ┌──────────────────┐
  │ PAM Request Form │
  │ (Portal → Add-on)│
  │                  │
  │ • Target: Prod-  │
  │   Server-01      │
  │ • Account: root  │
  │ • Duration: 2h   │
  │ • Reason: Patch  │
  │   KB5034441      │
  │ • Ticket: HAFS-  │
  │   2026-01234     │
  └──────┬───────────┘
         │
         ▼
  ┌──────────────────┐
  │ Validation       │
  │ (IAM/PAM Add-on) │──► User ist PAM-berechtigt
  │ • User Auth      │    MFA verifiziert
  │ • MFA Check      │    Kein aktiver Security Incident
  │ • Policy Check   │    Prod-Zugang: Dual Approval
  │ • Risk Analysis  │
  └──────┬───────────┘
         │
         ▼
  ┌──────────────────┐
  │ Dual Approval    │
  │                  │
  │ 1. Team Lead     │──► Approved (15 min)
  │ 2. Security Team │──► Approved (25 min)
  └──────┬───────────┘
         │
         ▼
  ┌──────────────────┐
  │ Session Setup    │
  │ (IAM/PAM Add-on) │
  │                  │
  │ • Password       │──► Temporäres Passwort aus
  │   Checkout       │    HashiCorp Vault
  │   (Vault)        │    Session-Recording aktiviert
  │ • Session Proxy  │    (integriert im Add-on)
  │ • Recording ON   │    2h Timer gestartet
  │ • Timer Start    │    Auto-Revoke nach Ablauf
  └──────┬───────────┘
         │
         ▼
  ┌──────────────────┐
  │ Active Session   │
  │                  │
  │ RECORDING        │
  │ 1:45:23 / 2:00   │
  │                  │
  │ [Extend] [End]   │
  └──────┬───────────┘
         │ Session End
         ▼
  ┌──────────────────┐
  │ Post-Session     │
  │ (IAM/PAM Add-on) │
  │                  │
  │ • Password Rotate│──► Passwort in Vault rotiert
  │ • Access Revoke  │    Session-Recording archiviert
  │ • Log Archive    │    Event an SIEM Add-on gesendet
  │ • Compliance Log │    Compliance-Log geschrieben
  └──────────────────┘

4.3 Break Glass Procedure

Break Glass Procedure (via IAM/PAM Add-on)

Für kritische Notfälle wenn normale Approval-Prozesse nicht zeitnah möglich sind:

  ┌─────────────────────────────────────────────────────────────┐
  │              BREAK GLASS PROCEDURE                           │
  │              (via IAM/PAM Add-on)                            │
  │                                                              │
  │  1. Authentifizierung mit persönlichem MFA                   │
  │  2. Break Glass Reason eingeben                              │
  │  3. Sofortiger Zugriff wird gewährt                          │
  │     - Session wird IMMER aufgezeichnet (Add-on intern)       │
  │     - CISO wird SOFORT benachrichtigt                        │
  │     - Post-Incident Review ZWINGEND erforderlich             │
  │  4. Zugriff automatisch nach 1h beendet                      │
  │  5. Pflicht: Incident Report innerhalb von 24h               │
  │                                                              │
  │  Trigger: Security Incident | System-Ausfall | Datenverlust  │
  │                                                              │
  │  Credentials: Aus HashiCorp Vault (Sealed Emergency Path)    │
  │  Logging:     SIEM Add-on erhält sofort Break-Glass-Event    │
  └─────────────────────────────────────────────────────────────┘

4.4 PAM KPIs

KPIBeschreibungZiel
Password RotationAlle privilegierten Passwörter rotiert nach Nutzung (Vault)100%
Session RecordingAlle privilegierten Sessions aufgezeichnet (IAM/PAM Add-on)100%
JIT Compliance% der PAM-Zugriffe über JIT (nicht permanent)> 95%
Approval TimeDurchschnittliche Genehmigungszeit< 30 min
Break Glass UsageAnzahl Break Glass pro Monat< 2
Orphaned Admin AccountsAdmin-Accounts ohne zugeordneten Owner0
Vault Seal StatusHashiCorp Vault Verfügbarkeit und Seal-Status100% unsealed

5. Security Incident Management

5.1 Incident Response Workflow

Incident Response Flow
  ┌──────────┐    ┌──────────┐    ┌──────────┐    ┌──────────┐
  │ Detect   │───►│ Analyze  │───►│ Contain  │───►│ Eradicate│
  │          │    │          │    │          │    │          │
  │ • SIEM   │    │ • AI     │    │ • Auto-  │    │ • Root   │
  │   Add-on │    │   Triage │    │   Isolate│    │   Cause  │
  │ • User   │    │ • IoC    │    │ • Block  │    │ • Patch  │
  │   Report │    │   Check  │    │   Access │    │ • Harden │
  │ • Portal │    │ • Scope  │    │ • Notify │    │          │
  │ • Auto-  │    │   Assess │    │          │    │          │
  │   detect │    │          │    │          │    │          │
  └──────────┘    └──────────┘    └──────────┘    └──────────┘
                                                        │
  ┌──────────┐    ┌──────────┐                          │
  │ Lessons  │◄───│ Recover  │◄─────────────────────────┘
  │ Learned  │    │          │
  │          │    │ • Restore│
  │ • KB     │    │ • Verify │
  │ • Policy │    │ • Monitor│
  │ • Train  │    │          │
  └──────────┘    └──────────┘

5.2 AI-gestützte Incident Detection

QuelleAI-AnalyseAutomatische Aktion
SIEM Add-on AlertKorrelation mit bekannten Patterns (Elasticsearch)Ticket erstellen, Team benachrichtigen
Phishing-Meldung (User)URL/Attachment Analyse, Sender-CheckAuto-Block wenn bestätigt, KB-Update
Anomale Login-AktivitätGeo-Analyse, Zeitfenster, Device-Check (AD + Add-on)Account sperren, MFA erzwingen
Datenexfiltration-VerdachtDLP-Pattern, Volumen-AnalyseZugriff einschränken, Investigation
Malware-Detection (Defender for Endpoint)Datei-Analyse, Netzwerk-TrafficGerät isolieren, Scan initiieren
portal.hafs.de/security/incidents/SEC-2026-0042
◀ SEC-2026-0042 – Brute-Force Angriff auf VPN Gateway
Schwere: Hoch Status: Untersuchung Eskalieren
Incident Timeline
Alert 10:23 – SIEM Alert ausgelöst
Brute-Force Pattern erkannt: 1.247 fehlgeschlagene Logins in 8 Minuten von 3 IP-Adressen auf VPN Gateway
AI 10:24 – AI Triage abgeschlossen
Automatische Klassifizierung: Credential Stuffing Angriff, Schwere HOCH, MITRE T1110 zugeordnet
Aktion 10:25 – Containment eingeleitet
Quell-IPs automatisch geblockt via Firewall-API, betroffene Accounts temporär gesperrt
Aktiv 10:32 – Investigation läuft
Security-Team analysiert betroffene Accounts und prüft auf kompromittierte Credentials
Betroffene Assets
AssetTypStatus
vpn-gw-01.hafs.localVPN GatewayUnter Beobachtung
fw-ext-01.hafs.localFirewallRegeln aktualisiert
ad-dc-01.hafs.localDomain ControllerKein Zugriff
5 User AccountsAD AccountsTemporär gesperrt
MITRE ATT&CK Mapping
Erkannte Techniken
T1110 – Brute Force T1021 – Remote Services T1059 – Command & Scripting T1571 – Non-Standard Port
AI-Analyse
Angriffsmuster deutet auf automatisiertes Credential Stuffing mit bekannten Leak-Datenbanken hin. Empfehlung: Passwort-Reset für alle betroffenen Accounts erzwingen, MFA-Status validieren.
Konfidenz: 94%
SOAR Playbook – Credential Attack Response
1
Alert Validierung
SIEM-Korrelation, False-Positive-Prüfung
Erledigt
2
Containment
IP-Blocking, Account-Sperrung, Netzwerk-Isolation
Erledigt
3
Investigation & Forensik
Log-Analyse, Credential-Check, Lateral Movement Prüfung
Aktiv
4
Remediation & Recovery
Passwort-Reset, MFA-Validierung, Monitoring verstärken
Ausstehend
Incident Response – Detailansicht mit Timeline, MITRE ATT&CK Mapping und SOAR Playbook-Fortschritt

6. Vulnerability Management

6.1 Portal-Integration

Vulnerability Dashboard
  ┌─────────────────────────────────────────────────────────────┐
  │              VULNERABILITY MANAGEMENT                        │
  │                                                              │
  │  ┌─────────────────────────────────────────────────────┐     │
  │  │              VULNERABILITY DASHBOARD                 │     │
  │  │                                                     │     │
  │  │  Critical: 3 │ High: 12 │ Medium: 45 │ Low: 128   │     │
  │  │  ████████████ Patch Compliance: 87%                 │     │
  │  └─────────────────────────────────────────────────────┘     │
  │                                                              │
  │  Datenquellen:                                               │
  │  ┌──────────┐  ┌──────────┐  ┌──────────────────────┐       │
  │  │ Defender │  │ Qualys / │  │ Trivy (Container     │       │
  │  │ for End- │  │ Nessus   │  │ & K8s Scanning)      │       │
  │  │ point    │  │          │  │                      │       │
  │  └────┬─────┘  └────┬─────┘  └──────────┬───────────┘       │
  │       └──────────────┼───────────────────┘                   │
  │                      ▼                                       │
  │  ┌─────────────────────────────────────────────────────┐     │
  │  │  AI Priorisierung:                                  │     │
  │  │  • Exploitability Score (CVSS + EPSS)               │     │
  │  │  • Business Impact                                  │     │
  │  │  • Internet Exposure                                │     │
  │  │  • Container Image Vulnerabilities (Trivy)          │     │
  │  │  • Auto-Ticket-Erstellung für Critical/High         │     │
  │  └─────────────────────────────────────────────────────┘     │
  └─────────────────────────────────────────────────────────────┘

6.2 Datenquellen-Übersicht

QuelleScopeIntegration
Microsoft Defender for EndpointEndgeräte (Windows, macOS, Linux)Agent-basiert, bleibt als Endpoint-Lösung
Qualys / NessusNetzwerk-Scans, Server, InfrastrukturAPI-Anbindung an Portal
TrivyContainer Images, K8s Workloads, IaCCI/CD Pipeline + regelmäßige Cluster-Scans
SIEM Add-onKorrelation von Vulnerability-EventsElasticsearch-basierte Analyse

7. Access Reviews (Rezertifizierung)

7.1 Review-Prozess

Quartalsweiser Review-Prozess (IAM/PAM Add-on)
  ┌──────────────────┐
  │ Scheduler        │
  │ (Quartalsweise)  │
  │ IAM/PAM Add-on   │
  └──────┬───────────┘
         │
         ▼
  ┌──────────────────┐
  │ AI Pre-Analysis  │
  │ (IAM/PAM Add-on) │
  │                  │
  │ • Unused Access  │──► Markiert als "Empfehlung: Entziehen"
  │   Detection      │
  │ • Anomaly Flag   │──► Markiert als "Ungewöhnlich"
  │ • Risk Score     │──► Priorisierung der Reviews
  │ • AI-Empfehlung  │──► Basierend auf Peer-Group-Analyse
  └──────┬───────────┘
         │
         ▼
  ┌──────────────────┐
  │ Review Portal    │
  │                  │
  │ Manager sieht:  │
  │ • Mitarbeiter    │
  │ • Berechtigungen │
  │   (AD-Gruppen,   │
  │    App-Rollen)   │
  │ • AI-Empfehlung  │
  │ • Last Used Date │
  │                  │
  │ Aktionen:        │
  │ [Bestätigen]     │
  │ [Entziehen]      │
  │ [Delegieren]     │
  └──────┬───────────┘
         │
         ▼
  ┌──────────────────┐
  │ Auto-Execution   │
  │ (IAM/PAM Add-on) │
  │                  │──► Entzogene Berechtigungen
  │ • AD-Gruppe      │    automatisch umgesetzt
  │   entfernen      │    (AD via LDAP + App-Rollen)
  │   (LDAP)         │    Audit-Log geschrieben
  │ • App-Rolle      │    Event an SIEM Add-on
  │   revoken        │
  └──────────────────┘
portal.hafs.de/security/access-reviews/Q1-2026
Access Review – Q1 2026
72% abgeschlossen Review abschließen
AI-Empfehlung
Basierend auf Nutzungsanalyse und Peer-Group-Vergleich: 89% behalten, 8% entziehen, 3% manuell prüfen. 12 Berechtigungen wurden seit über 90 Tagen nicht genutzt.
Konfidenz: 91%
Alle (48) AI: Entziehen (4) AI: Prüfen (2) Abgeschlossen (34) Offen (14)
Benutzer Berechtigung System Letzter Zugriff AI-Empfehlung Aktion
M. Schneider
Fund Administration		 Portfolio Viewer SimCorp Dimension 08.02.2026 Behalten Bestätigen Entziehen
K. Weber
Risk Management		 Admin Full Access SAP Treasury 15.11.2025 Entziehen Bestätigen Entziehen
L. Fischer
IT Operations		 DB Read/Write Oracle FLEXCUBE 06.02.2026 Behalten Bestätigen Entziehen
T. Braun
Compliance		 Report Generator SIEM Add-on 03.02.2026 Behalten Bestätigen Entziehen
S. Müller
Fund Accounting		 Privileged SSH Linux Prod-Cluster 22.09.2025 Entziehen Bestätigen Entziehen
Access Review – Quartalsweise Rezertifizierung mit AI-gestützten Empfehlungen und Nutzungsanalyse

8. Conditional Access Matrix

Conditional Access wird auf Applikationsebene via OIDC/OAuth 2.0 durchgesetzt. Die Policies werden im IAM/PAM Add-on zentral konfiguriert und über den Identity Broker (Keycloak/ADFS) erzwungen.

SzenarioBedingungAktion
Internes Netzwerk + Managed DeviceLow RiskMFA optional, voller Zugriff
Internes Netzwerk + Unmanaged DeviceMedium RiskMFA erforderlich, eingeschränkter Zugriff
Externes Netzwerk + Managed DeviceMedium RiskMFA erforderlich, voller Zugriff
Externes Netzwerk + Unmanaged DeviceHigh RiskMFA + Compliant Device erforderlich
Anomale LocationHigh RiskMFA + Admin-Approval + Session-Limit
Privilegierter ZugriffAlways HighMFA + JIT via IAM/PAM Add-on + Session Recording
Break GlassCriticalMFA + Sofort-Notification + Review

8.1 Enforcement-Architektur

Conditional Access Enforcement
  ┌─────────────────────────────────────────────────────────────┐
  │              CONDITIONAL ACCESS ENFORCEMENT                   │
  │                                                              │
  │  ┌──────────────┐    ┌──────────────┐    ┌──────────────┐   │
  │  │ User Request │───►│ Identity     │───►│ IAM/PAM      │   │
  │  │ (Browser /   │    │ Broker       │    │ Add-on       │   │
  │  │  App)        │    │ (Keycloak /  │    │ Policy Engine│   │
  │  │              │    │  ADFS)       │    │              │   │
  │  └──────────────┘    └──────┬───────┘    └──────┬───────┘   │
  │                             │                    │           │
  │                      ┌──────▼────────────────────▼──────┐   │
  │                      │  Policy-Entscheidung:            │   │
  │                      │  • Netzwerk-Kontext (IP-Range)   │   │
  │                      │  • Device-Compliance (MDM)       │   │
  │                      │  • User-Risk-Score               │   │
  │                      │  • Ressource-Klassifizierung     │   │
  │                      │  → MFA erzwingen?                │   │
  │                      │  → Session-Limit?                │   │
  │                      │  → Zugriff verweigern?           │   │
  │                      └──────────────────────────────────┘   │
  │                                                              │
  │  On-Prem AD: Kerberos + GPO für interne Dienste             │
  │  OIDC/OAuth: Für Portal, Web-Apps, APIs                      │
  │  SAML 2.0:   Für Legacy-Applikationen                        │
  └─────────────────────────────────────────────────────────────┘

9. Secrets Management

9.1 HashiCorp Vault Integration

BereichVault-Nutzung
Service AccountsDynamische Credentials für Datenbanken, APIs
PAM PasswordsPrivilegierte Passwörter werden in Vault gespeichert und rotiert
TLS-ZertifikatePKI Secrets Engine für interne Zertifikate
API KeysZentrale Verwaltung externer API-Schlüssel
Encryption KeysTransit Engine für Data-at-Rest-Verschlüsselung
K8s SecretsVault Agent Injector für Pod-Secrets
HashiCorp Vault (On-Prem, HA-Cluster)
  ┌─────────────────────────────────────────────────────────────┐
  │              HASHICORP VAULT (On-Prem, HA-Cluster)           │
  │                                                              │
  │  ┌──────────┐  ┌──────────┐  ┌──────────┐  ┌──────────┐    │
  │  │ KV v2    │  │ PKI      │  │ Transit  │  │ Database │    │
  │  │ Engine   │  │ Engine   │  │ Engine   │  │ Engine   │    │
  │  │          │  │          │  │          │  │          │    │
  │  │ Static   │  │ TLS Cert │  │ Encrypt/ │  │ Dynamic  │    │
  │  │ Secrets  │  │ Mgmt     │  │ Decrypt  │  │ DB Creds │    │
  │  └──────────┘  └──────────┘  └──────────┘  └──────────┘    │
  │                                                              │
  │  Auth Methods:  Kubernetes │ LDAP (AD) │ AppRole │ Token     │
  │  Audit:         Alle Zugriffe werden geloggt → SIEM Add-on  │
  │  HA:            Raft Storage Backend, 3-Node Cluster         │
  └─────────────────────────────────────────────────────────────┘

10. Security Awareness Integration

FeatureBeschreibung
Phishing SimulationRegelmäßige Phishing-Tests mit Portal-Meldung
Security TipsAI-generierte Sicherheitstipps im Portal
Incident LearningsAnonymisierte Learnings aus echten Incidents
Compliance TrainingPflichtschulungen mit Tracking im Portal
Security Score (persönlich)Gamification: Persönlicher Security Score
Report SuspiciousEin-Klick-Meldung für verdächtige E-Mails/Aktivitäten

11. Komponentenübersicht

KomponenteFunktionTechnologie
On-Prem Active DirectoryPrimäre Identitätsquelle, Gruppen, GPOsWindows Server AD DS
Azure AD ConnectHybrid Sync On-Prem AD → Entra IDMicrosoft Azure AD Connect
Entra IDCloud-Identity für M365-DiensteMicrosoft Entra ID
IAM/PAM Add-onIAM Workflows, PAM, Session Recording, Access ReviewsEigene App (K8s), REST API (Dokument 13)
SIEM Add-onSecurity Events, Incident Correlation, AlertingEigene App (Elasticsearch-basiert, Dokument 12)
HashiCorp VaultSecrets Management, Password Rotation, PKIHashiCorp Vault (HA, On-Prem)
Keycloak / ADFSIdentity Broker, OIDC/OAuth 2.0, SAML 2.0Open Source / Microsoft
Defender for EndpointEndpoint Protection, EDRMicrosoft Defender (Agent)
Qualys / NessusVulnerability Scanning (Netzwerk, Server)SaaS / On-Prem
TrivyContainer & K8s Vulnerability ScanningOpen Source
← ZurückAI Services