Berechtigungsmanagement: Der Weg zur automatisierten Berechtigungsvergabe

Berechtigungsmanagement beschreibt die strukturierte Vergabe, Änderung und Entziehung von Zugriffsrechten auf Systeme, Anwendungen und Daten. Im Unterschied zu allgemeinem Identity and Access Management (IAM) liegt der Fokus hier klar auf der operativen Steuerung von Berechtigungen und deren Governance, jedoch in der Regeln nur aur einem einzelnen System oder Anwendung.

IAM betrachtet die Identität auf einer höheren Ebene, daran hängen 1-n Benutzer, für welche ein Berechtigungsmanagement den Zugriff auf die entsprechenden Ressourcen regelt. Damit bildet es die operative "Mittelschicht" zwischen Identität, Rollenmodell und tatsächlicher Systemberechtigung.

In modernen IT-Landschaften umfasst Berechtigungsmanagement sowohl technische Mechanismen wie Rollen (RBAC) nach NIST, Attribute (ABAC) oder ACLs als auch organisatorische Prozesse wie Genehmigungen, Rezertifizierungen und Audit-Nachweise. Ziel ist es, jederzeit ein konsistentes, nachvollziehbares und revisionssicheres Zugriffsmodell sicherzustellen.

Für Unternehmen bedeutet das: Berechtigungsmanagement ist kein isoliertes IT-Thema, sondern ein zentraler Bestandteil von Sicherheitsarchitektur, Compliance und operativer Effizienz.

Neue Anwendungen, wechselnde Rollen und immer strengere Compliance-Anforderungen machen die Berechtigungsverwaltung zu einer echten Herausforderung. Ohne klare Prozesse und Automatisierung entsteht schnell ein unüberschaubares Geflecht aus Zugriffsrechten – ein Risiko für Sicherheit und Effizienz. Doch wie lässt sich diese Aufgabe strukturiert und zukunftssicher lösen?

Genau hier setzt eine moderne Berechtigungsverwaltung an. Denn die Verwaltung von Berechtigungen ist die Kernaufgabe in der IT und wird über ein IAM-System (Identity and Access Management) gesteuert. Dieses stellt sicher, dass Mitarbeitende die benötigten Zugriffsrechte und Ressourcen für ihre tägliche Arbeit erhalten. Gleichzeitig schützt es die Daten vor dem unerwünschten Zugriff Dritter auf sensible Informationen und folgt dabei dem "Need-To-Know" Prinzip. 

Das IAM-System übernimmt alle administrativen Aufgaben, die in Zusammenhang mit IT-Berechtigungen in einem Unternehmen anfallen. Die Aufgabe einer Berechtigungsverwaltung lässt sich in unterschiedliche Bereiche aufteilen: 

• Administration von Berechtigungen: Das Erstellen, Zuweisen, Anpassen und Bereinigen von Berechtigungsgruppen, Geschäftsrollen oder Systemrollen. Die Berechtigungslandschaft ist im ständigen Wandel, es werden neue Applikationen in Betrieb genommen oder Aufgaben von Mitarbeitenden ändern sich. Darauf muss reagiert werden. 
• Initiale Berechtigungsvergabe: Mit dem Eintritt eines neuen Mitarbeitenden werden Accounts und Zugriffsrechte benötigt, damit die tägliche Arbeit ausgeübt werden kann. Diese werden mithilfe von Rollen vergeben, die sich an den Attributen der Identität orientieren. 
• Self-Service Portal: Für Berechtigungen, die sich nicht automatisiert vergeben lassen oder Lizenzkosten verursachen, kann ein Portal genutzt werden, um Zugriffsrechte bei Bedarf zu beantragen und genehmigen zu lassen. 
• Prüfung und Anpassungen von Berechtigungszuweisungen: Regelmässige Überprüfungen stellen sicher, dass Berechtigungen noch den aktuellen Anforderungen entsprechen. Bei Bedarf werden diese angepasst. 
• Reporting und Nachvollziehbarkeit von Berechtigungen: Durch Berichte können Berechtigungsvergaben überwacht und nachvollziehbar gemacht werden. Dies schafft Transparenz und fördert die kontinuierliche Optimierung des Vergabeprozesses. 
• Einhaltung des 4-Augen Prinzip bei kritischen Zugriffsrechten: Das System stellt zudem einen Mechanismus bereit, der den Missbrauch von hoch kritischen Berechtigungen durch eine doppelte Prüfung verhindert.  
• „Reconciliation“ von angebundenen Systemen: Durch die Anpassungen von Mitarbeiter:innen-Stammdaten (HR) müssen Informationen auf den angebundenen Zielsystemen synchron gehalten werden.

Das IAM-System koordiniert die Verwaltung von Berechtigungen über alle Anwendungen hinweg, die unterschiedliche Zugriffsebenen bereitstellen. Diese Ebenen bestimmen, welche Funktionen und Zugriffsrechte ein/e Benutzer:in hat, z. B. ein/e Administrator:in im Vergleich zu einem Gast.

Der Grossteil der Unternehmen arbeitet in Microsoft Umgebungen, denen das Active Directory als Berechtigungssystem zu Grunde liegt. Berechtigungen werden innerhalb des Active Directorys über ACL (Access Control List) abgebildet. Jedes Objekt besitzt so eine Liste und kennt damit die verbundenen Zugriffe. Für die Handhabung im Alltag ist das für den/die Administrator:in sehr aufwendig, jedes einzelne Objekt zu berechtigen. 

In der Praxis hat es sich etabliert, mit Vererbung und Benutzergruppen zu arbeiten, sishe auch AD Security Groups von Microsoft. Benutzer:innen mit dem gleichen Aufgabenbereich werden zur gleichen Organisationsgruppe hinzugefügt, welche die entsprechenden Mitgliedschaften der Berechtigung enthält. Das Problem mit direkten Berechtigungen über ACLs ist, dass diese Gruppenmitgliedschaften nicht in den Eigenschaften des Benutzers / der Benutzerin gespeichert werden, sondern nur in den Einstellungen vom Ordner. Bei einer Vielzahl von Verzeichnissen ist eine Nachvollziehbarkeit von Rechten praktisch nicht mehr gegeben.

Das Active Directory von Microsoft deckt nicht alle der oben aufgeführten Aufgaben ab und ist rein für die Administration von Accounts und Benutzergruppen ausgelegt. Jedoch tun sich in diesem Bereich Schwachstellen in Bezug auf die Sicherheit auf. Werden Benutzer:innen angelegt, erhalten sie meist die gleichen umfassenden und nicht benötigten Berechtigungen wie die Kolleg:innen. Das Kopieren von Berechtigungen ist eine gängige Praxis im Alltag und stellt ein Risiko dar, das sich Kriminelle zu Nutze machen können.

Active Directory ist in vielen Unternehmen die zentrale Instanz für Benutzer- und Gruppenverwaltung. Dennoch stösst es im Kontext eines ganzheitlichen Berechtigungsmanagements schnell an funktionale und organisatorische Grenzen.

Die Verwaltung über Gruppen und ACLs ist technisch möglich, skaliert jedoch nur begrenzt. Mit wachsender Systemlandschaft entstehen komplexe, schwer nachvollziehbare Berechtigungsstrukturen, die kaum noch transparent oder auditierbar sind. Insbesondere bei dynamischen Anforderungen wie Rollenwechseln oder projektbasierten Zugriffen fehlt eine durchgängige Automatisierung.

Ein weiterer kritischer Punkt ist die fehlende Governance: Genehmigungsprozesse, Rezertifizierungen oder Segregation-of-Duties-Prüfungen lassen sich nur eingeschränkt oder gar nicht abbilden. Dadurch entstehen Risiken in Bezug auf Compliance, insbesondere bei regulatorischen Anforderungen.

Modernes Berechtigungsmanagement erweitert Active Directory daher um eine übergeordnete Steuerungsschicht – typischerweise in Form eines IAM- oder IGA-Systems –, das Prozesse, Transparenz und Automatisierung integriert.

Wenn man bedenkt, wieviel Arbeitszeit ein/e Administrator:in mit der Vergabe und Anpassung von Berechtigungsgruppen und Mitgliedschaften beschäftigt ist, dann liegt es nahe eine automatisierte Berechtigungsverwaltung einzusetzen. Zudem müssen Berechtigungszuweisungen regelmässig auf ihre Korrektheit überprüft werden, weil sich die Applikationslandschaft bzw. die Anforderungen an Berechtigungen im Unternehmen ständig ändern. Diese Aufgabe kann über eine IAM-Software durchgeführt und sichergestellt werden, inklusive vollständiger Nachvollziehbarkeit.

Berechtigungs- und Rollenkonzept erstellen

Bevor mit der automatisierten Berechtigungsvergabe losgelegt werden kann, muss man sich im Vorfeld ein paar Gedanken machen. Es muss zunächst geklärt werden, wer im Unternehmen worauf Zugriff haben soll, dazu müssen Organisationen ein Berechtigungs- und Rollenkonzept erstellen. Darin gilt es festzulegen, wer welche Zugriffsrechte braucht. Als Orientierung können die vorhandenen Rechte von Benutzer:innen dienen, letztendlich geben gewachsene Strukturen aber keine klare Auskunft. Ein übersichtliches und sicheres Berechtigungs- und Rollenkonzept sollte den aktuellen Berechtigungszustand im System hinterfragen. Damit eine automatisierte Vergabe von Rechten möglich ist, muss das Konzept grundlegende Punkte adressieren. Es legt mögliche Rollentypen bzw. Rollenkandidaten fest und spezifiziert den Aufbau, deren Attribuierung und die Namensgebung.

Rollenbildung von Berechtigungen (automatisch)

Berechtigungen, die eine isolierte Funktionalität abbilden wie z.B. den Zugriff auf Citrix, können zu einer Rolle zusammengefasst werden. Sind ein angebundenes System (AD, SAP, Legacy) und die damit verbundenen Berechtigungen dem IAM-System bekannt, können diese als Basis für die Rollenbildung genutzt werden. Die entstandenen Rollenkandidaten können jetzt manuell zugewiesen oder über ein Portal beantragt werden. Für die automatisierte Vergabe bedarf es ein Regelwerk, welches durch die Berücksichtigung von HR-Attributen entsprechende Personengruppen evaluiert wie z.B. Mitarbeitende einer Abteilung oder eines Bereichs, und die entsprechenden Rollen automatisiert zuweist.

Self-Service Webshop (manuell)

Die Softwarelösungen im IAM-Umfeld verfügen über ein Web-Frontend und bieten dem/der Endanwender:in die Möglichkeit Rechte add-hoc zu beantragen. Rechte die nicht automatisch vergeben werden können, müssen über diesen Weg bereitgestellt werden. Das Problem hierbei ist, dass Administrator:innen die Anforderungen der unterschiedlichen Abteilungen nicht kennen und diese Freigabe über eine dafür zuständige Person erfolgen muss. Mithilfe von dynamischen Workflows wird die entsprechende Person ermittelt und kann die Freigabe durchführen. Das System erfasst den Vorgang und protokolliert diesen, was die Nachvollziehbarkeit sowohl zeitlich wie auch inhaltlich gewährleistet.

Berechtigungsmanagement wird häufig synonym mit Rollenmodellen oder Identity Governance and Administration (IGA) verwendet, beschreibt jedoch eine eigenständige Perspektive innerhalb der IAM-Architektur. RBAC (Role-Based Access Control) ist ein Modell zur Strukturierung von Berechtigungen über Rollen. Es definiert, welche Rechte logisch zusammengehören und vereinfacht die Zuweisung. Berechtigungsmanagement nutzt dieses Modell, geht aber darüber hinaus, indem es die operative Umsetzung, Pflege und Kontrolle dieser Rollen sicherstellt. IGA hingegen erweitert das Berechtigungsmanagement um Governance-Funktionen wie Rezertifizierungen, Audit-Reports und Compliance-Regeln. Während IGA also den regulatorischen Rahmen setzt, ist das Berechtigungsmanagement die operative Umsetzungsebene. Für die Praxis bedeutet das: RBAC strukturiert, IGA kontrolliert – und Berechtigungsmanagement verbindet beides zu einem funktionierenden Gesamtsystem.

Hat ein Unternehmen eine gewisse Grösse erreicht und ist die IT-Landschaft entsprechend komplex, dann kann das Einsparungspotential enorm sein. In der Praxis strebt man ein Verhältnis von 9:1 zwischen automatisierter und manueller Berechtigungsvergabe an.

Automatische Berechtigungsvergabe

Zur automatisierten Vergabe gehören zum einen die bereits beschriebenen Regelwerke, bei denen die Berechtigungsvergabe attributgestützt erfolgt. Zudem besteht die Möglichkeit über Import-Mechanismen Berechtigungsstrukturen und deren Zuweisungen ins IAM-System zu übertragen. Dies ist der Fall, wenn eine neue Applikation eingeführt wird, bzw. eine Migration einer bestehenden Applikation vorgenommen wird.

Manueller Aufwand für Endbenutzer:innen

Endbenutzer:innen müssen sich in der abgebildeten Struktur zurechtfinden und den gewünschten Berechtigungsantrag über den Webshop stellen. Das System übernimmt proaktiv den Vorgang und holt sich die Genehmigung bei der verantwortlichen Person ein. Bei erfolgreicher Quittierung wird das beantragte Berechtigungsobjekt zugewiesen.

Automatisiertes Berechtigungsmanagement basiert auf klar definierten Prozessen entlang des Benutzerlebenszyklus – typischerweise Joiner, Mover und Leaver. Diese steuern, wann und wie Berechtigungen vergeben, angepasst oder entzogen werden. Beim Eintritt werden auf Basis von Attributen wie Funktion, Organisationseinheit oder Standort automatisch passende Rollen zugewiesen. Bei Veränderungen werden bestehende Berechtigungen angepasst, beim Austritt vollständig entzogen. Ein zentrales IAM-System orchestriert diese Abläufe und integriert Zielsysteme wie Active Directory, SAP oder Fachanwendungen, siehe auch Top5 Fehler bei der IAM Integration von Gartner. Genehmigungsworkflows und Protokollierungen sorgen für Transparenz und Nachvollziehbarkeit. Der Vorteil liegt in der Kombination aus Effizienz und Sicherheit: Automatisierung reduziert manuelle Fehler und stellt sicher, dass Berechtigungen jederzeit dem aktuellen Bedarf entsprechen.

Für ein IAM-System mit mehreren angebundenen Systemen und Applikationen benötigt es Fachmitarbeiter:innen, Systemverantwortliche und Applikationsentwickler:innen, die sich um den Betrieb und die Bewirtschaftung wie auch um die Weiterentwicklung der Applikation kümmern. Diese Mitarbeitenden übernehmen verschiedenste Aufgaben:

Fachmitarbeiter:innen kennen die internen Prozesse des Unternehmens, sowohl technisch wie auch organisatorisch und die damit verbunden regulatorischen Anforderungen. Zudem kennen sie die Vorgaben der Revision und wissen, welche Informationen relevant sind. In Abhängigkeit der Grösse des Systems, kann hier ein grösseres, mehrköpfiges Team notwendig sein, um die Anforderungen des Unternehmens und den damit verbundenen Aufwand abzudecken.

Berechtigungsmanagement

• Verwaltung von Berechtigungsobjekten und Zuweisung von Rollen und Zugriffsrechten für Benutzer
• Regelmässige Überprüfung und Aktualisierung von Benutzerrollen und Zugriffsrechten, um sicherzustellen, dass die Zugriffsrechte stets aktuell und konform sind

Produktpflege

• Bewirtschaftung der Berechtigungsobjekte im IAM-System (z.B. Webshop)
• Pflege von Beschreibungen, Übersetzungen und Anleitungen

Applikationsmanagement

• Aufschalten bzw. Rückbau von Anwendungen im IAM-System in Abstimmung mit Applikations- und Systemverantwortlichen
• Verwaltung der Integration und Migration neuer Anwendungen, inklusive Import und Zuordnung von Berechtigungen

Änderungsanträge

• Einholen von Feedback zu den durchgeführten Änderungsanträgen, um mögliche Verbesserungen oder Optimierungen zu identifizieren
• Mitarbeit am Change-Management-Prozess für zukünftige Änderungsanträge im IAM-System

Die IT-Landschaft ist im ständigen Wandel und so muss auch ein IAM-System regelmässig erweitert, angepasst und aktualisiert werden. Dazu benötigt es Applikationsentwickler:innen, die sich um Themen wie Customizing und Weiterentwicklung der Applikation befassen. Die Abstimmung mit der IT-Abteilung und den Fachbereichen ist dabei eine zentrale Aufgabe, um alle Stakeholder abzuholen und eine effiziente Lösung anzustreben.

Anpassung und Weiterentwicklung

• Anpassung der IAM-Plattform an die spezifischen Anforderungen des Unternehmens (Customizing)
• Entwicklung neuer Funktionen und Erweiterungen, um den sich ändernden Anforderungen an das Identitäts- und Zugriffsmanagement gerecht zu werden
• Entwicklung und Pflege von Schnittstellen zu angebundenen Systemen und Anwendungen

Automatisierung von Prozessen

• Entwicklung und Implementierung automatisierter Workflows für die Zuweisung und den Entzug von Berechtigungen
• Unterstützung bei der Automatisierung für Lifecycle-Management Prozesse

Fehlerbehebung und Wartung

• Analyse und Behebung technischer Probleme im IAM-System
• Wartung und Optimierung der Applikation

Zusammenarbeit mit anderen Teams

• Enge Zusammenarbeit mit Systemadministrator:innen, Sicherheits- und Compliance-Teams sowie den Verantwortlichen für angebundene Applikationen
• Abstimmung mit Fachbereichen, um sicherzustellen, dass die IAM-Lösungen den geschäftlichen Anforderungen entsprechen

Ein professionelles Berechtigungsmanagement lohnt sich, sobald eine gewisse organisatorische oder regulatorische Komplexität erreicht ist. In der Praxis zeigt sich: Ab etwa 800 bis 1’000 Mitarbeitenden wird manuelle Berechtigungsvergabe zunehmend ineffizient und fehleranfällig. Ein klarer Treiber ist zudem ein hoher personeller Durchsatz, etwa im Gesundheitswesen, Retail oder in der Produktion. Viele Ein- und Austritte sowie Rollenwechsel führen ohne Automatisierung zu hohem manuellen Aufwand. Auch regulatorische Anforderungen spielen eine zentrale Rolle. Unternehmen mit Auditpflichten benötigen nachvollziehbare Genehmigungen, Rezertifizierungen und klare Verantwortlichkeiten. Typische Warnsignale sind fehlende Transparenz über Zugriffe, lange Bearbeitungszeiten oder unkontrollierter Wildwuchs an Berechtigungen. In solchen Fällen schafft ein professionelles Berechtigungsmanagement die notwendige Skalierbarkeit und Sicherheit.