Rezertifizierung von                                  Berechtigungen

Rezertifizierung beschreibt die regelmäßige Überprüfung und Beurteilung zugewiesener Berechtigungen. Es geht also um die Frage, wer was und vor allem warum darf. In einer Zeit, in der Cyberangriffe und Datenschutzverletzungen zum Geschäftsrisiko geworden sind, reicht es nicht mehr aus, Berechtigungen einmal zu vergeben und dann zu vergessen. Rezertifizierung sorgt dafür, dass Zugriffsrechte regelmäßig überprüft und angepasst werden – damit nur diejenigen Zugriff auf Informationen haben, die auch dazu berechtigt sind.

Wie sich dieser Prozess zügig und wirkungsvoll mit einer Identity- und Access-Management-Lösung (IAM) umsetzen lässt, zeigt dieser Beitrag.

Unter Rezertifizierung versteht man den systematischen Prozess, im Zuge dessen bestehende Zugriffsrechte auf Systeme, Anwendungen und Daten überprüft und bestätigt oder widerrufen werden.

Ziel ist es zu gewährleisten, dass nur autorisierte Personen weiterhin Zugang zu klassifizierten Informationen haben. Durch die Rezertifizierung werden veraltete oder unnötige Berechtigungen erkannt und entfernt, wodurch das Risiko von Missbrauch deutlich reduziert wird. Rezertifizierung folgt dabei dem «Least Privilege Prinzip», das besagt, dass nur die Berechtigungen vergeben werden, die zum Zeitpunkt der Arbeit für einen spezifischen Benutzer oder Dienst tatsächlich benötigt werden.

Regelmäßige Rezertifizierungen minimieren das Risiko, dass Mitarbeitende, die ausgetreten sind oder die Funktion gewechselt haben, ihre Berechtigungen behalten. Das bekannteste Beispiel hierfür ist der Praktikant, welcher während seiner gesamten Ausbildung in acht verschiedenen Abteilungen gearbeitet hat und dadurch mehr Berechtigungen hat als die Geschäftsleitung. Dieses Problem tritt dann auf, wenn Berechtigungen nicht bei jedem Funktionswechsel durch eine Rezertifizierung überprüft werden.

Ein weiterer Grund für Rezertifizierungen sind gesetzliche Vorgaben (z. B. DSGVO, SOX), welche die Kontrolle von Zugriffsrechten vorschreiben. Auch Sicherheitsstandards (z. B. ISO27001, TISAX, NIS2, DORA) definieren Rezertifizierungen in ihren Normen. Eine dokumentierte Rezertifizierung erleichtert zudem Audits erheblich.

Dass Rezertifizierungen in diversen Normen definiert sind, kommt nicht von ungefähr. Ungerechtfertigte Berechtigungen stellen ein erhebliches Einfallstor für Datenpannen dar. Unberechtigte Zugriffe, Datendiebstähle oder die unberechtigte Veränderung von Daten bilden Risiken, welche mit Rezertifizierung verhindert werden können.

Wieso ist eine saubere Rezertifizierungsstrategie dennoch in den meisten Firmen nicht fest verankert? Wann haben Sie zuletzt überprüft, ob eine Person tatsächlich nur über die Berechtigungen verfügt, die für ihre aktuelle Rolle erforderlich sind? Und haben Sie diese Prüfung für alle Mitarbeitenden durchgeführt?

Der Aufwand dafür ist enorm – und genau deshalb wird diese Aufgabe allzu oft vertagt. Sie gilt als lästig, arbeitsintensiv und steht selten ganz oben auf der Prioritätenliste. Doch gerade diese Vernachlässigung öffnet die Tür für Sicherheitsrisiken und Regelverstöße.

Die NIS2-Richtlinie erhöht den regulatorischen Druck auf Unternehmen, Zugriffsrechte regelmässig zu überprüfen und nachvollziehbar zu dokumentieren. Rezertifizierung wird damit nicht nur eine Best Practice, sondern eine prüfbare Sicherheitsmassnahme im Rahmen von Governance und Risikomanagement. Organisationen müssen sicherstellen, dass privilegierte und kritische Zugriffe kontinuierlich validiert und bei Abweichungen sofort entzogen werden. Insbesondere Betreiber kritischer Infrastrukturen profitieren von klar definierten Rezertifizierungsprozessen, die technische und organisatorische Massnahmen miteinander verbinden. Dadurch wird Rezertifizierung zu einem zentralen Baustein für Compliance, Auditfähigkeit und nachhaltige Sicherheitsarchitekturen.

Die DORA-Verordnung fordert von Finanzunternehmen eine lückenlose Kontrolle über Zugriffe auf kritische Systeme und Daten.
Rezertifizierung unterstützt diese Anforderungen, indem sie regelmäßig überprüft, ob Berechtigungen noch dem aktuellen Rollen- und Risikoprofil entsprechen. Besonders relevant ist die Nachvollziehbarkeit von Entscheidungen, die im Rahmen von Audits eindeutig dokumentiert werden müssen. Ein strukturierter Rezertifizierungsprozess reduziert operative Risiken und stärkt gleichzeitig die regulatorische Resilienz der Organisation. Damit wird Rezertifizierung zu einem integralen Bestandteil moderner IAM- und IGA-Strategien im Finanzumfeld.

Zero Trust basiert auf dem Grundprinzip, dass kein Zugriff per se vertrauenswürdig ist und kontinuierlich überprüft werden muss. Rezertifizierung ist ein zentraler Mechanismus, um dieses Prinzip organisatorisch und technisch umzusetzen. Durch regelmäßige Validierung von Berechtigungen wird sichergestellt, dass nur tatsächlich benötigte Zugriffe bestehen bleiben. Dies reduziert Risiken und stärkt gleichzeitig die Kontrolle über komplexe IT-Landschaften. Rezertifizierung wird damit zu einem operativen Hebel zur Umsetzung moderner Sicherheitsarchitekturen.

Insgesamt kann der Mangel an Rezertifizierungen also schnell zu einem Teufelskreis aus Sicherheitslücken, Compliance-Risiken und ineffizienten Prozessen werden.

Bei der Rezertifizierung unterscheiden wir zunächst, wer die Rollenzugehörigkeit prüft: Führungskräfte kontrollieren regelmäßig, ob ihre Mitarbeitenden noch in den ihnen zugewiesenen Rollen aktiv sein sollten – etwa nach Abteilungswechseln oder Neueinstellungen. Rollenowner übernehmen eine ähnliche Prüfung, fokussiert aber auf fachliche Passgenauigkeit: Sie verifizieren, ob die Personen tatsächlich die Aufgaben erfüllen, für die die Rolle gedacht ist. Darüber hinaus prüfen Rollenowner auch die der Rolle zugeordneten Berechtigungen und entfernen alle Privilegien, die nicht mehr benötigt werden.

Schließlich unterscheidet man zwischen wiederkehrenden, automatisierten Rezertifizierungen – beispielsweise quartalsweise – und manuellen Zertifizierungskampagnen, die punktuell bei besonderen Anlässen oder Compliance-Vorgaben gestartet werden. So entsteht ein flexibles, mehrstufiges System, das sowohl Kontinuität als auch gezielte Eingriffe ermöglicht.

Rezertifizierungen sollten nicht von der IT übernommen werden, sondern von den zuständigen Fachbereichen. Nur die Mitarbeitenden, die genau mit den täglichen Abläufen und Anforderungen vertraut sind, können beurteilen, welche Zugriffsrechte wirklich nötig sind. Daher fällt diese Aufgabe meist in den Zuständigkeitsbereich von Abteilungsleiterinnen und -leitern oder anderen Fachexpertinnen und -experten. Voraussetzung für eine fundierte Entscheidung ist dabei, dass sämtliche relevante Informationen vollständig bereitgestellt werden.

Die Frequenz der Rezertifizierung hängt stark von regulatorischen Anforderungen, Risikoprofil und Systemkritikalität ab. Kritische Systeme und privilegierte Zugriffe sollten deutlich häufiger überprüft werden als Standardberechtigungen. Viele Organisationen setzen für privilegierte Zugriffe auf quartalsweise oder halbjährliche Zyklen und bei standardberechtigungen auf jährliche Zyklen. Ergänzend können ereignisbasierte Trigger, etwa Rollenwechsel oder Systemänderungen, zusätzliche Prüfungen auslösen. Ein risikobasierter Ansatz stellt sicher, dass Rezertifizierung effizient und gleichzeitig wirksam umgesetzt wird.

Die Verbindung von Rezertifizierung und Lizenzmanagement bietet ein grosses, oft ungenutztes Optimierungspotenzial für Unternehmen.
Durch die systematische Überprüfung von Zugriffsrechten werden ungenutzte oder überdimensionierte Lizenzen sichtbar und können gezielt reduziert werden. Dies gilt insbesondere für SaaS-Anwendungen, bei denen Kosten direkt an aktive Nutzer und Rollen gekoppelt sind. Ein integrierter Ansatz ermöglicht es, Sicherheits- und Kostenperspektiven gleichzeitig zu adressieren. So wird Rezertifizierung zu einem strategischen Instrument für Transparenz, Effizienz und nachhaltige IT-Steuerung.

Hochprivilegierte Zugriffe mit Just-in-Time Access lassen sich im klassischen Sinne nicht rezertifizieren, da sie nicht dauerhaft bestehen, sondern nur temporär vergeben werden. Da Berechtigungen nur für einen konkreten Zeitpunkt und Zweck aktiviert werden, fehlt die persistente Grundlage für eine periodische Überprüfung. Stattdessen verschiebt sich der Fokus von der Rezertifizierung hin zur Kontrolle der Vergabeprozesse und der tatsächlichen Nutzung dieser Zugriffe. Entscheidend ist, wer den Zugriff beantragt, auf welcher Basis er genehmigt wird und wie die Nutzung nachvollziehbar protokolliert ist. In der Praxis ersetzt daher eine Kombination aus Genehmigungs-Workflows, Echtzeit-Monitoring und Audit-Logs die klassische Rezertifizierung hochprivilegierter JIT-Zugriffe.

Künstliche Intelligenz kann Rezertifizierungsprozesse erheblich verbessern, indem sie Entscheidungsempfehlungen auf Basis von Nutzungsdaten und Mustern liefert. Statt jede Berechtigung manuell zu prüfen, erhalten Verantwortliche priorisierte Vorschläge für Genehmigung oder Entzug von Zugriffen. Dies reduziert den operativen Aufwand und erhöht gleichzeitig die Konsistenz von Entscheidungen. Wichtig ist jedoch, dass KI-gestützte Empfehlungen transparent und nachvollziehbar bleiben. So entsteht eine Kombination aus Automatisierung und Governance, die Rezertifizierung skalierbar und auditfähig macht.

Diese Frage wird unter IAM-Experten aktuell intensiv diskutiert, ohne dass sich bislang eine eindeutige oder allgemein akzeptierte Position durchgesetzt hat. Klassische Rezertifizierungskampagnen gelten zunehmend als ineffizient, da sie periodisch, manuell und oft ohne aktuellen Nutzungskontext durchgeführt werden. Gleichzeitig ermöglichen moderne, attributbasierte Zugriffskonzepte in Kombination mit KI-gestützter Echtzeitbewertung eine deutlich dynamischere und risikoorientierte Steuerung von Zugriffen. Dennoch erfüllen diese Ansätze bisher nicht vollständig die regulatorischen Anforderungen an Nachvollziehbarkeit, Auditierbarkeit und dokumentierte Entscheidungsprozesse. In der Praxis zeichnet sich daher kein vollständiger Ersatz, sondern vielmehr ein hybrides Modell ab, bei dem kontinuierliche Bewertung und gezielte Rezertifizierungsimpulse sinnvoll miteinander kombiniert werden.

Wir als IPG entwickeln maßgeschneiderte Rezertifizierungsstrategien, die sich eng an den organisatorischen und regulatorischen Anforderungen unserer Kunden orientieren. Ziel ist es, die Verwaltung von Benutzerrechten nicht nur sicherer, sondern auch effizienter und revisionssicher zu gestalten:

• Gemeinsam mit Ihren Datenverantwortlichen entwickeln wir ein Rollen- und Prüfungsmodell, das Ihre Unternehmensstruktur passgenau abbildet.
• Ein zentrales Dashboard verschafft allen Fachbereichsleitern sofortigen Einblick in anstehende sowie laufende Rezertifizierungszyklen.
• Die Intervalle lassen sich flexibel festlegen – von regelmäßigen Quartals- und Halbjahresprüfungen bis hin zu risikobasierten Reviews.
• Sie definieren genau, welche Elemente (Rollenprofile, Service-Accounts, Fileserver, Cloud-Anwendungen etc.) in den Rezertifizierungsprozess einbezogen werden.
• Das System versendet automatisch Erinnerungen und aktiviert bei ausbleibender Rückmeldung voreingestellte Eskalations- oder Backup-Prozesse.
• Die Rezertifizierer arbeiten in einer übersichtlichen Benutzeroberfläche, in der sie Berechtigungen mit wenigen Klicks bestätigen oder entziehen.
• Dank vorkonfigurierter Module ist die Lösung sofort einsatzbereit und erfordert nur minimalen Konfigurationsaufwand.
• Über Schnittstellen zu HR-Systemen, CMDB und Privileged-Access-Management werden On-/Offboarding-Daten automatisch synchronisiert und revisionssichere Audit-Logs sowie Compliance-Reports erzeugt.