Tool gekauft – Konzept vergessen? Der Fehler Nr. 1

Eine Software zur Benutzerverwaltung wirkt wie die schnelle Lösung: Zugriffe verwalten, Rollen vergeben, Konten anlegen. Doch ohne vorher definiertes Rollenmodell und ein Freigabeverfahren führt das in die Irre. ISO 27001 zeigt deutlich, warum erst das Konzept und dann das Tool kommen muss.

Benutzerverwaltung im Fokus: Rollen, Freigaben und Zugriffskontrolle nach ISO 27001

Warum ein Tool allein nicht genügt

Oft passiert folgendes: Man sieht ein System, das viele Funktionen verspricht „Zentrale Benutzerverwaltung“, „Self-Service-Rollenzuweisung“ oder „Workflow-Freigaben“. Und man denkt, damit sei das Problem gelöst. In der Praxis zeigt sich jedoch schnell: Ohne ein klares Fundament werden Rollen und Rechte unkontrolliert wachsen. Die Folge: zu viele Berechtigungen, fehlende Übersicht, potentielle Sicherheitslücken.
Deshalb der Ratschlag aus eurem Video: „Bevor du nicht ein Rollenmodell aufgesetzt hast und ein Freigabeverfahren definiert hast … kauf kein System zur Benutzerverwaltung.“ Dieser Schritt muss zuerst erfolgen, idealerweise in Absprache mit der Geschäftsführung, damit Verantwortung klar verteilt ist.

ISO 27001 und der normative Rahmen

In der ISO 27001 (insbesondere in Access Control / Zugriffskontrolle) ist klar verankert, dass Zugriffsrechte systematisch vergeben, dokumentiert und regelmäßig überprüft werden müssen.
Der Annex A.9 (Access Control) enthält Kontrollen zur Benutzerregistrierung, Rechtevergabe und regelmäßigen Überprüfung. 
dataguard.com
Mit der Normrevision wurde verstärkt herausgestellt, dass Zugangskontrollen und Sicherheitsprozesse operativ wirksam sein müssen – nicht nur auf dem Papier.
Ein zentraler Baustein ist der rollenbasierte Zugriff (RBAC): Rechte werden nicht einzelnen Personen willkürlich zugeordnet, sondern über vordefinierte Rollen. Das macht Verwaltung effizient und nachvollziehbar. 
Weiterhin verlangt ISO 27001, dass Zugriffe regelmäßig geprüft werden, sogenannte Access Reviews, um sicherzustellen, dass keine überflüssigen oder veralteten Rechte bestehen. 
Secureframe

Der Weg zum sauberen Berechtigungskonzept

1. Bestandsaufnahme (Ist-Zugriffe analysieren)
2. Erfassen Sie, welche Benutzer aktuell welche Rechte haben: Systeme, Datenbanken, Admin-Rechte. Ziel ist Transparenz, um Ausgangspunkte zu erkennen.
3. Rollen & Rechte definieren
4. Auf Basis von Aufgabenbereichen (z. B. Vertrieb, Support, IT, Management) werden Rollen gebildet. Jeder Rolle wird nur das gewährt, was zum Erfüllen der Funktion nötig ist – das Prinzip der minimalen Rechte.
5. Freigabe- und Genehmigungsprozess gestalten
6. Neue Zugriffe, Rollenänderungen oder Rechteanpassungen dürfen nicht einfach durchgeführt werden. Definieren Sie genau, wer Änderungen genehmigt, in welcher Form und nach welchen Kriterien.
7. Technisches System auswählen & anpassen
8. Nach dem Konzept kommt das Tool: Es muss Rollen, Workflows, Protokollierung und Reviewprozesse unterstützen. Wichtig: Es sollte flexibel sein und nicht das Konzept diktieren.
9. Regelmäßige Überprüfung & Anpassung
10. Ein einmal eingerichtetes System reicht nicht. Führen Sie regelmäßige Access Reviews durch (z. B. halbjährlich oder jährlich). Prüfen Sie inaktive Konten, überflüssige Rechte und ändern Sie Rollen, wenn Aufgaben sich verschieben. 

Beispiel: So läuft’s in der Praxis

Stellen Sie sich vor, ein neuer Mitarbeiter soll im Support starten. Zuerst wird evaluiert, welche Systeme er braucht (CRM, Ticketsystem, Kundendaten). Die Rolle „Support“ wurde bereits definiert mit genau jenem Rechteumfang. Der Antrag zur Rolle wird der Geschäftsführung oder IT-Leitung vorgelegt und formal genehmigt. Danach wird der Benutzer mit dieser Rolle im System angelegt. Nach einem halben Jahr findet ein Review statt: Bleiben alle Rechte passend oder müssen Anpassungen erfolgen?

Erweiterung: Delegierte Administration & getrennte Verantwortlichkeiten

In größeren Organisationen kann es sinnvoll sein, delegierte Administration zuzulassen, also dass bestimmte Manager oder Teamleiter in ihrem Bereich begrenzte Rechte vergeben dürfen, ohne dass die zentrale IT jede einzelne Freigabe selbst durchführt. Das entlastet die IT und fördert Effizienz. (Technisch oft über Subrollen oder Rollenhierarchien umgesetzt) 
Wikipedia
Wichtig dabei: Delegierte Rechte sollten klar eingeschränkt und protokolliert sein, damit sie keine unkontrollierbare Lücke werden.

 

Benötigen Sie dennoch Hilfe? Kein Problem!

  Jetzt Kontakt aufnehmen

Das könnte Sie auch interessieren:

• 04.08.2025: Zugriffsrechte ungeklärt? Dann wird jeder Server zum Risiko