Berechtigungsmanagement: Definition, Nutzen und Umsetzung im Unternehmen

Berechtigungsmanagement ist der strukturierte Prozess zur Vergabe, Steuerung und Kontrolle von Zugriffsrechten auf Systeme und Applikationen. Im Fokus stehen dabei nicht primär Daten selbst, sondern der Zugriff auf Anwendungen wie SAP, Active Directory, Microsoft 365, Fachapplikationen oder Cloud-Plattformen.

Je nach Reifegrad existieren unterschiedliche Ausprägungen: von isolierten Berechtigungen innerhalb einzelner Systeme bis hin zu einem zentralen, übergreifenden Ansatz. Genau hier setzt Identity & Access Management (IAM) an: Es legt sich als übergeordneter Layer über alle relevanten Systeme und Applikationen und ermöglicht eine konsistente, zentrale Steuerung von Berechtigungen.

Gerade in regulierten Umgebungen (z. B. nach ISO 27001, NIS2 oder DORA) ist ein nachvollziehbares und auditierbares Berechtigungsmanagement eine Grundvoraussetzung für ihre Resilienz und Sicherheit im speziellen gegenüber Regularien.

Berechtigungsmanagement beschreibt die operative und strategische Steuerung von Zugriffsrechten über den gesamten Lebenszyklus eines Benutzers hinweg. Dazu gehören insbesondere die initiale Vergabe (Joiner), Änderungen bei Rollenwechseln (Mover) und der Entzug von Rechten beim Austritt (Leaver).

Wichtig ist die klare Abgrenzung: Berechtigungsmanagement findet primär auf Ebene von Systemen und Applikationen statt, nicht auf der direkten Datenebene. Es definiert also, welche Benutzer welche Anwendungen nutzen dürfen – nicht, welche einzelnen Datensätze sichtbar sind.

Nicht gleichzusetzen ist Berechtigungsmanagement mit angrenzenden Konzepten:

• IAM (Identity & Access Management) ist der übergeordnete Steuerungsansatz über alle Systeme hinweg
• RBAC (Role-Based Access Control) ist ein Modell zur Strukturierung von Berechtigungen innerhalb dieses Rahmens
• IGA (Identity Governance & Administration) fokussiert Governance-, Audit- und Kontrollprozesse

Diese Differenzierung ist zentral für eine klare semantische Einordnung und verhindert inhaltliche Überlappungen mit angrenzenden Themenfeldern.

Das IAM-System übernimmt alle administrativen Aufgaben, die in Zusammenhang mit IT-Berechtigungen in einem Unternehmen anfallen. Die Aufgabe einer Berechtigungsverwaltung lässt sich in unterschiedliche Bereiche aufteilen: 

• Administration von Berechtigungen: Das Erstellen, Zuweisen, Anpassen und Bereinigen von Berechtigungsgruppen, Geschäftsrollen oder Systemrollen. Die Berechtigungslandschaft ist im ständigen Wandel, es werden neue Applikationen in Betrieb genommen oder Aufgaben von Mitarbeitenden ändern sich. Darauf muss reagiert werden. 
• Initiale Berechtigungsvergabe: Mit dem Eintritt eines neuen Mitarbeitenden werden Accounts und Zugriffsrechte benötigt, damit die tägliche Arbeit ausgeübt werden kann. Diese werden mithilfe von Rollen vergeben, die sich an den Attributen der Identität orientieren. 
• Self-Service Portal: Für Berechtigungen, die sich nicht automatisiert vergeben lassen oder Lizenzkosten verursachen, kann ein Portal genutzt werden, um Zugriffsrechte bei Bedarf zu beantragen und genehmigen zu lassen. 
• Prüfung und Anpassungen von Berechtigungszuweisungen: Regelmässige Rezertifizierungen von Berechtigungen stellen sicher, dass Berechtigungen noch den aktuellen Anforderungen entsprechen. Bei Bedarf werden diese angepasst. 
• Reporting und Nachvollziehbarkeit von Berechtigungen: Durch Berichte können Berechtigungsvergaben überwacht und nachvollziehbar gemacht werden. Dies schafft Transparenz und fördert die kontinuierliche Optimierung des Vergabeprozesses. 
• Einhaltung des 4-Augen Prinzip bei kritischen Zugriffsrechten: Das System stellt zudem einen Mechanismus bereit, der den Missbrauch von hoch kritischen Berechtigungen durch eine doppelte Prüfung verhindert.  
• „Reconciliation“ von angebundenen Systemen: Durch die Anpassungen von Mitarbeiter:innen-Stammdaten (HR) müssen Informationen auf den angebundenen Zielsystemen synchron gehalten werden.

Das IAM-System koordiniert die Verwaltung von Berechtigungen über alle Anwendungen hinweg, die unterschiedliche Zugriffsebenen bereitstellen. Diese Ebenen bestimmen, welche Funktionen und Zugriffsrechte ein/e Benutzer:in hat, z. B. ein/e Administrator:in im Vergleich zu einem Gast.

Mit zunehmender Systemlandschaft wächst die Komplexität der Berechtigungen exponentiell. Unternehmen betreiben heute parallel Verzeichnisdienste, Cloud-Plattformen, Fachanwendungen und Collaboration-Tools. Jede dieser Applikationen bringt eigene Berechtigungslogiken mit. Frameworks wie NIST zeigen, dass die Verletzung von Least Privileges mit überprivilegierte Accounts eine der häufigsten Ursachen für Sicherheitsvorfälle sind. Gleichzeitig fordert die NIS2-Richtlinie der EU eine klare Kontrolle und Nachvollziehbarkeit von Zugriffen auf kritische Systeme. In der Praxis bedeutet das: Unternehmen müssen jederzeit beantworten können, wer Zugriff auf welche Systeme hat – und warum. Ohne zentral gesteuertes Berechtigungsmanagement ist diese Transparenz kaum herstellbar.

Ohne zentrale Steuerung entstehen typische Risiken: Benutzer akkumulieren über Zeit immer mehr Rechte, Genehmigungen sind intransparent und Berechtigungen werden manuell und inkonsistent vergeben. Ein häufiges Muster ist Permission Creep, eine schrittweise Anhäufung von Berechtigungen über Zeit hinweg, wenn alte Rechte nicht entfernt werden, was laut gängigen IAM-Frameworks zu überprivilegierten Accounts führt. Und in der Administration von Berechtigungen existieren oft parallel Excel-Listen, Ticketsysteme und Einzellösungen nebeneinander – ein „Zoo“ an Tools, der keine konsistente Steuerung mehr ermöglicht. Diese Fragmentierung führt zu Sicherheitsrisiken, erschwert Audits massiv und verursacht hohen operativen Aufwand in der IT.

Viele Unternehmen beginnen ihr Berechtigungsmanagement im Active Directory oder in Entra. Für einfache Szenarien ist das ausreichend, doch bei wachsender Systemlandschaft entstehen schnell Grenzen. Active Directory und Entra ID verwalten primär technische Gruppen und Zugriffe innerhalb des Microsoft Universums. Fachliche Rollen, systemübergreifende Berechtigungen oder Governance-Prozesse lassen sich damit nur eingeschränkt abbilden. Besonders problematisch sind die nur grundlegende vorhandenen Workflows, weitgehend fehlende Genehmigungsprozesse und mangelnde Transparenz über systemübergreifende Berechtigungen. Moderne Anforderungen lassen sich damit nur fragmentiert umsetzen.

Modernes Berechtigungsmanagement basiert auf einem zentralen prozessgetriebenen Ansatz über alle Systeme und Applikationen hinweg. Identitäten, Rollen und Berechtigungen werden in einem konsistenten Modell miteinander verknüpft.

Typischer Ablauf:

• Neue Mitarbeitende erhalten automatisiert Zugriff auf relevante Systeme (Joiner)
• Bei Rollenwechseln werden Berechtigungen angepasst (Mover)
• Beim Austritt werden alle Zugriffe systemübergreifend entzogen (Leaver)

Diese Joiner-Mover-Leaver (JML) Prozesse werden durch IAM-Plattformen orchestriert, die als übergeordneter Layer fungieren und systemübergreifende Konsistenz herstellen. Dadurch entsteht eine durchgängige Steuerung ohne Medienbrüche.

IAM (Identity & Access Management) beschreibt den ganzheitlichen Ansatz zur Verwaltung von Identitäten und Zugriffen über alle Systeme und Applikationen hinweg. Der Fokus liegt auf operativer Umsetzung, Provisionierung und Automatisierung, aber beinhaltet auch weitere Disziplinen wie Customer IAM oder Privileged Access Management (PAM).

IGA (Identity Governance & Administration) ist eine von Gartner geprägte Kategorie und stellt eine spezifische Ausprägung für ein Workforce IAM dar. Der Fokus verschiebt sich damit auf Governance-Themen wie Rezertifizierung, Auditierbarkeit, Segragation of Duty (SoD) Kontrollen (bei NIST genannt Separation of Duty) und Compliance für Mitarbeitende eines Unternehmens (Workforce).

In der Praxis bedeutet das: IAM beschreibt das breite Themenfeld, während IGA insbesondere im Kontext von Workforce IAM die Governance- und Kontrollperspektive stärkt. Diese Differenzierung ist entscheidend, um beide Begriffe korrekt einzuordnen und nicht synonym zu verwenden.

Automatisierung reduziert manuelle Fehler und beschleunigt die Vergabe von Zugriffen erheblich. Neue Mitarbeitende erhalten schneller Zugang zu den benötigten Systemen, während nicht mehr benötigte Berechtigungen konsequent entfernt werden. Ein zentraler Vorteil ist die Vermeidung von Medienbrüchen: Statt E-Mails, Tickets und Excel-Listen laufen Genehmigungen und Provisionierung in einem durchgängigen Workflow. Das erhöht Transparenz und reduziert Fehlerquellen. Zusätzlich verbessert sich die Auditierbarkeit, da jede Berechtigung nachvollziehbar dokumentiert und genehmigt ist.

Ein zentrales Berechtigungsmanagement wird vor allem dann relevant, wenn mehrere Systeme und Applikationen parallel betrieben werden und die Komplexität steigt.

Bei IPG Kunden zeigt sich, dass ab etwa 1000 Mitarbeitenden die manuelle Berechtigungsvergabe zunehmend ineffizient sowie fehleranfällig wird und damit der dezentrale Ansatz kaum noch beherrschbar – insbesondere bei typischen White-Collar-Strukturen.

Für kleinere Unternehmen lohnt sich ein zentraler Ansatz eher nicht oder nur unter bestimmten Bedingungen:

• hoher Mitarbeiterwechsel (Churn)
• starke regulatorische Anforderungen (z.B. DORA oder NIS2)
• als gezielte Teilumsetzung, etwa im Bereich Privileged Access Management (PAM)

Die Entscheidung hängt somit weniger von der reinen Unternehmensgröße als von Komplexität, Dynamik und regulatorischem Druck ab.

Ein effektives Berechtigungsmanagement folgt klaren Prinzipien. Dazu gehört insbesondere das Least-Privilege-Prinzip, bei dem Benutzer nur die minimal notwendigen Rechte erhalten. Regelmäßige Rezertifizierungen sind ein weiterer zentraler Bestandteil. Standards wie NIST empfehlen diese explizit, um sicherzustellen, dass Berechtigungen aktuell und korrekt bleiben. Darüber hinaus ist die klare Trennung von Rollen und Verantwortlichkeiten entscheidend, um Interessenskonflikte (Segregation of Duties) zu vermeiden und Governance sicherzustellen.

Typische Indikatoren sind fehlende Transparenz über Berechtigungen, hoher manueller Aufwand und wiederkehrende Audit-Feststellungen. Ein besonders klares Signal ist ein gewachsener „Zoo“ aus Tools, Listen und Einzellösungen, die parallel zur Steuerung von Berechtigungen genutzt werden. In solchen Strukturen ist Konsistenz faktisch nicht mehr herstellbar. Auch lange Durchlaufzeiten bei der Bereitstellung von Zugriffen oder Sicherheitsvorfälle durch überprivilegierte Accounts zeigen deutlich, dass das bestehende Berechtigungsmanagement an seine Grenzen stößt.