Audit im Berechtigungsmanagement: Wie IT-Leiter den Albtraum vermeiden
Ein kurzer Überblick über die in diesem Artikel behandelten Themen.
In 18 Jahren Audit-Beratung habe ich noch nie erlebt, dass ein IT-Leiter ohne Finding aus einem Audit kommt. Das Risiko ist nicht das Finding selbst. Es ist die fehlende Antwort auf die Standardfrage des Auditors: Wer hat hier Zugriff und warum? Wer das in 30 Sekunden zeigt, hat sein Berechtigungsmanagement für Audits im Griff.
Was das im Detail bedeutet, fasse ich zunächst in fünf Punkten zusammen.
Das Wichtigste in Kürze zum Audit im Berechtigungsmanagement
- Jeder Auditor findet etwas. Wer im Berechtigungsmanagement seine Lücken nicht erkennt, dokumentiert und die Behebung plant, gibt dem Auditor das Finding frei Haus.
- Auditoren klassifizieren ihre Findings in drei Farben. Gelb gewährt ein Jahr Frist, Orange verlangt eine harte Frist mit Hardware- oder Prozessänderungen, Rot kostet die Zertifizierung und im TISAX-Fall die Lieferberechtigung.
- Ein nicht audit-fähiges Berechtigungskonzept verursacht 50.000 Euro interne Vorbereitungskosten. Hinzu kommen 6.000 Euro bis über eine Million Euro für das externe Audit selbst.
- Jeder Wirtschaftsprüfer ist verpflichtet, HR-Prozesse und Berechtigungsmanagement-Prozesse zu überprüfen. Der Satz „Wir hatten noch kein Audit“ ist deshalb keine Entwarnung.
- Mit einem dokumentierten Berechtigungskonzept und einem Tooling wie der CARO-Suite reduziert sich die Audit-Stichprobenprüfung im Berechtigungsmanagement von zwei bis drei Tagen auf zwei bis drei Stunden.
Wie diese fünf Punkte in der Praxis aussehen, zeigt der typische Audit-Ablauf von der ersten Frage an.
Was beim Audit auf das Berechtigungsmanagement wirklich passiert
Die Vorbereitung beginnt ein Jahr vorher. Sobald der Auditor eine Schwachstelle bemerkt, bohrt er nach, bis er sie ausgeleuchtet hat. Wer den Ablauf kennt, steuert ihn. Der Ablauf folgt dabei einem Muster, das ich seit 18 Jahren immer wieder beobachte.
Wie läuft ein Audit auf das Berechtigungsmanagement typischerweise ab?
In meiner Beratungsarbeit sehe ich immer wieder denselben Verlauf. Die Vorbereitung beginnt ein Jahr vor dem eigentlichen Audit. In den ersten drei Monaten passiert wenig. Ab dem neunten Monat wird es ernst. Die internen Teams führen Pre-Audits durch und arbeiten sich durch ihre Excel-Tapeten mit teilweise tausenden Zeilen. Ihr zu ist klar: das Audit unter drei Tagen halten, denn jeder zusätzliche Tag treibt die Kosten in die Höhe.
Der Auditor steigt am Audit-Tag leise ein. Er fragt nach dem Prozess, lässt sich Dokumente zeigen, hört zu. Sobald er bemerkt, dass eine Stelle wackelt, wird er zur Dampfwalze. Drei Tage hat er Zeit, mehr nicht. Was er in dieser Zeit nicht prüft, prüft er nicht. Genau das ist Ihr Hebel: Ein audit-fähiges Berechtigungskonzept lenkt seine Aufmerksamkeit weg vom Berechtigungsmanagement, weil er hier nichts findet. Was er anschließend prüft, klassifiziert er in drei Schweregraden.
Was bedeuten die drei Audit-Farben Gelb, Orange und Rot?
Auditoren bewerten ihre Befunde oft nach einem Ampel-System. Welche Frist das auditierte Unternehmen bekommt und ob es überhaupt ein Zertifikat erhält, hängt allein von der Farbe ab. Diese Klassifizierung ist nicht in den ISO-Normen festgeschrieben. Sie hat sich in der Praxis durchgesetzt. Je nach Framework und Auditgesellschaft weichen die Bezeichnungen ab. Gelb/Orange/Rot ist das Muster, das mir in der DACH-Praxis am häufigsten begegnet.
| Audit-Farbe | Bedeutung | Frist | Konsequenz |
|---|---|---|---|
| Gelb | leichter Mangel | bis zu einem Jahr | Zertifikat wird erteilt, Behebung bis zum Folge-Audit |
| Orange | kritischer Mangel | wenige Wochen bis Monate | Zertifikat unter Vorbehalt, Hardware oder Prozess muss angepasst werden |
| Rot | schwerwiegender Mangel | typischerweise eine Woche | Kein Zertifikat, im TISAX-Fall sofortiger Lieferstopp |
Die Fristen legt immer der Auditor fest. Bei Rot habe ich Wochenfristen erlebt, die für die betroffenen Unternehmen existenzbedrohend waren. Im TISAX-Audit der Automobilindustrie bedeutet ein rotes Finding den Lieferstopp, bis Sie nachweisen, dass die Lücke geschlossen ist. Wer in diese Lage kommt, verliert nicht nur Umsatz, sondern auch Vertrauen bei seinen Großkunden. Damit es nicht so weit kommt, müssen Sie wissen, was der Auditor im Berechtigungskonzept tatsächlich sucht.
Was sucht der Auditor im Berechtigungskonzept konkret?
Der Auditor verlangt drei Dinge. Erstens das Logbuch, also die schriftliche Beschreibung Ihres Berechtigungsprozesses. Zweitens den Nachweis, wie Sie diesen Prozess in der Praxis umsetzen, idealerweise mit einem Tool. Drittens zwei bis drei Stichproben, an denen er den gelebten Prozess prüft.
Die Stichproben fallen immer in dieselben Kategorien des Joiner-Mover-Leaver-Prozesses. Auditoren ziehen typischerweise einen Auszubildenden heran, weil Azubis durch alle Abteilungen rotieren und ihre Berechtigungen sich entsprechend stapeln. Sie wählen einen Mitarbeiter, der die Position gewechselt hat, und einen, der zum Manager aufgestiegen ist. Der Leaver-Prozess folgt zum Schluss. Mit einem Tooling dauert diese Prüfung zwei bis drei Stunden. Ohne Tool dauert sie zwei bis drei Tage und ist der härteste Teil des Audits. Diese Härte trifft nicht nur Branchen, die offiziell zertifiziert sein müssen. Jedes Unternehmen erlebt früher oder später ein Audit.
Warum jedes Unternehmen früher oder später ein Audit erlebt
Viele IT-Leiter rechnen nicht mit einem Audit, weil ihr Unternehmen keine regulierte Branche bedient. Diese Annahme trügt. Es gibt zwei Wege, auf denen ein Audit Sie unweigerlich erreicht: über die branchenspezifischen Frameworks oder über den jährlichen Wirtschaftsprüfer. Schauen wir zuerst auf die Frameworks.
Welche Audits sind für das Berechtigungsmanagement im DACH-Raum entscheidend?
Im DACH-Markt sehe ich vier Audits, die das Berechtigungsmanagement direkt prüfen. TISAX ist der Standard der Automobilindustrie. Wer Audi, BMW oder VW beliefert, kommt daran nicht vorbei. BaFin steht für den Finanzsektor und betrifft jede Sparkasse, jede Bank, jeden Vermögensverwalter. ISO 27001 ist das international anerkannte Zertifikat für Informationssicherheit. Der BSI IT-Grundschutz ist das deutsche Pendant aus der öffentlichen Verwaltung.
Hinter diesen vier Frameworks liegen weitere regulatorische Anforderungen. Die DSGVO greift überall dort, wo personenbezogene Daten verarbeitet werden. NIS2 verpflichtet nach vollständiger nationaler Umsetzung rund 30.000 Unternehmen in Deutschland zu nachweislicher IT-Sicherheit. DORA betrifft den Finanzsektor speziell, BAIT ergänzt die bankaufsichtlichen Anforderungen. Alle diese Frameworks fordern ein dokumentiertes Berechtigungskonzept. Was viele IT-Leiter dabei übersehen: Auch Unternehmen ohne diese Zertifizierungen erleben ein Audit, denn jeder Wirtschaftsprüfer hat den gleichen Auftrag.
Warum auch der Wirtschaftsprüfer Ihr Berechtigungskonzept prüft
Jedes deutsche Unternehmen mit Bilanzpflicht bekommt alle fünf bis zehn Jahre Besuch vom Wirtschaftsprüfer. Was die wenigsten IT-Leiter wissen: Der Wirtschaftsprüfer ist verpflichtet, HR-Prozesse und Berechtigungsmanagement-Prozesse zu überprüfen. Es kommt nur darauf an, worauf er trainiert ist. Wenn er aus der Finanzecke kommt, schaut er zuerst in die Buchhaltung. Aber irgendwann landet er beim Berechtigungsmanagement, ohne Ausnahme.
Wer glaubt, das Audit-Thema treffe ihn nicht, hatte schlicht noch keinen Wirtschaftsprüfer. Unternehmen, die nach einem Breach öffentlich erklären mussten, wie der Angriff möglich war, eint eines: Sie konnten vorher nicht zeigen, wer wann auf welche Daten Zugriff hatte. Wer ein dokumentiertes Berechtigungskonzept hat, muss diese Diskussion gar nicht erst führen. Genau dieser Punkt bringt uns zur nächsten Frage: Was kostet eigentlich ein Audit ohne dokumentiertes Berechtigungskonzept?
Was ein Audit ohne Berechtigungskonzept wirklich kostet
Audit-Kosten verteilen sich auf drei Phasen: Vorbereitung, Durchführung und Nachbereitung. Wer alle drei zusammenrechnet, kommt auf Summen, die jedes Tool-Investment relativieren. Die folgenden Beträge stammen aus meiner Beratungspraxis und sortieren das Bild nach Phase und Größenordnung.
Welche Kosten entstehen vor, während und nach einem Audit ohne Berechtigungskonzept?
Die interne Vorbereitung kostet bei einem Erst-Audit eine Vollzeitkraft über drei Monate. Bei einem internen Stundensatz von 75 Euro liegt allein das bei rund 50.000 Euro, ohne dass ein einziger Auditor das Haus betreten hat. Hinzu kommen die Auditkosten selbst.
| Kostenart | Beispielrahmen | Meine Beobachtung aus der Praxis |
|---|---|---|
| Interne Vorbereitung | rund 50.000 Euro pro Audit-Zyklus | Durch eine Person, drei Monate vollzeitbeschäftigt |
| Audit-Durchführung extern | Mittelstand (200–2.000 MA): etwa 15.000–80.000 Euro | hängt vom gewählten Scope ab |
| ISO-Zertifizierung | bis zu 80.000 Euro pro Jahr | Mit der CARO-Suite im tiefen fünfstelligen Bereich |
| Altlasten-Bereinigung | 50 Mitarbeiter Vollzeit | In einem Finanzinstitut mit 100.000 Mitarbeitern |
| Migrationsprojekt | mehr als zweieinhalb Jahre | Im Healthcare-Sektor; immer noch nicht abgeschlossen |
Mike Wiedemann, Cusatum Service GmbHVom Audit-Albtraum zum Berechtigungskonzept mit Sternchen
Ein Audit mit der Note Eins mit Sternchen habe ich in 18 Jahren genau einmal erlebt: bei einem kleinen Fußballverein in Mainz, in dessen achtem Audit-Zyklus. Der Auditor selbst sagte, er habe das in 20 Jahren noch nie erlebt. Diese Note ist also ein realistischer Idealzustand, aber kein Zufallsergebnis. Sie ist das Resultat konsequenter Dokumentation. Was Sie konkret zeigen müssen, fasse ich in zwei Punkten zusammen.
Was muss ich dem Auditor in 30 Sekunden zeigen können?
Der Auditor stellt im Berechtigungsmanagement eine einzige Schlüsselfrage: Wer hat auf diesen Ordner Zugriff und warum? Wer das in 30 Sekunden beantwortet, ist durch. Wer das nicht zeigt, hat sein Audit verloren, bevor es richtig begonnen hat.
Ein Beispiel aus meiner Beratungspraxis: Bei einem 6.000-Mitarbeiter-Unternehmen aus der Flugsicherung haben wir unsere Software in 30 Minuten installiert. Der IT-Leiter hatte vorher gewettet, wir würden nichts finden. Im ersten Dashboard-Aufruf zeigte sich, dass alle 6.000 Mitarbeiter auf die persönlichen Verzeichnisse des IT-Leiters Zugriff hatten. Er hat in dem Moment gekauft, weil er wusste: Wenn das ein Auditor sieht, ist alles vorbei. Solche Situationen sind kein Einzelfall. Ich erlebe sie regelmäßig in der Erstberatung. Die Frage ist nur, ob Sie die Lücke vor oder nach dem Auditor sehen. Genau hier setzt die richtige Software an.
Wie macht eine Berechtigungsmanagement-Software wie die CARO-Suite das Audit zur Routine?
In einem Finanzinstitut haben wir erlebt, dass der Auditor nach 90 Minuten aufgehört hat, Berechtigungen zu prüfen. Warum? Weil er in der Software alles sofort fand und bewertete. Dahinter steckt ein einfaches Prinzip: Ein gutes Tool ändert die Prozesse nicht, es dokumentiert sie.
Bei der CARO-Suite verlieren Sie nicht die Kontrolle über Ihr Berechtigungsmanagement. Sie behalten Ihre Prozesse, sie werden nur dokumentiert. Das ist der entscheidende Unterschied zu vielen anderen Tools, die ihren Nutzern die Steuerung aus der Hand nehmen.
Im Audit-Fall öffnen Sie dem Auditor das Tool oder geben ihm einen eigenen Lesezugriff. Er wählt seine Stichproben selbst aus, prüft den Joiner-Mover-Leaver-Prozess und sieht in zwei Klicks, wer wann welche Berechtigung erhalten hat und auf welcher Grundlage. Was vorher zwei bis drei Tage dauerte, läuft mit der CARO-Suite in zwei bis drei Stunden ab. Der Auditor wendet sich nach kurzer Zeit anderen Bereichen zu, weil er hier nichts findet. Die größte Wirkung dieses Vorgehens ist nicht die Zeitersparnis, sondern die Gelassenheit, mit der Sie jeden Audit-Termin sehen. Ob Sie heute schon so weit sind, prüfen Sie am besten in der folgenden Checkliste.
Checkliste: Ist Ihr Berechtigungskonzept audit-fähig?
Beantworten Sie jede der folgenden Fragen ehrlich mit Ja oder Nein. Sechs oder mehr Ja-Antworten sind ein solides Ausgangsniveau. Weniger sind ein Handlungsauftrag.
☐ Können Sie in unter 30 Sekunden zeigen, wer auf einen beliebigen Ordner Zugriff hat und auf welcher Grundlage?
☐ Liegt Ihr Berechtigungskonzept schriftlich vor und beschreibt es den Joiner-Mover-Leaver-Prozess vollständig?
☐ Werden bei jedem Abteilungswechsel die alten Berechtigungen automatisch entzogen, ohne dass jemand manuell eingreifen muss?
☐ Entsteht Ihre Dokumentation automatisch beim Vergeben einer Berechtigung, ohne nachträgliche Pflege?
☐ Können Sie Stichproben für Auszubildende, Versetzungen, Manager-Aufstiege und Leaver in Echtzeit ziehen?
☐ Protokolliert Ihr Tooling jede Änderung mit Zeitstempel, Auftraggeber und Begründung?
☐ Haben Sie im letzten Jahr mindestens ein internes Pre-Audit durchgeführt und dokumentiert?
☐ Könnte ein Auditor das System morgen früh selbst öffnen und seine Stichproben in unter zwei Stunden durchgehen?
Wer hier weniger als sechs Mal „Ja“ angekreuzt hat, sollte das Thema Audit Berechtigungsmanagement priorisieren. Die häufigsten Fragen, die mir IT-Leiter dazu stellen, beantworte ich gern hier.
FAQ zum Berechtigungskonzept im Audit
Frage 1: Was ist ein Berechtigungskonzept und warum verlangt der Auditor es?
Ein Berechtigungskonzept ist die schriftliche Beschreibung Ihres Berechtigungsmanagement-Prozesses. Es legt fest, wer welche Zugriffsrechte erhält und auf welcher Grundlage. Auditoren verlangen es, weil sie ohne dieses Dokument keine Stichprobe durchführen können. Ohne Konzept gibt es kein Logbuch, ohne Logbuch keinen Beleg für gelebte Compliance.
Frage 2: Wie lange dauert die Vorbereitung eines Erst-Audits im Berechtigungsmanagement?
Bei einem Erst-Audit rechnen Sie mit einem Jahr Vorbereitungszeit, in größeren Konstellationen mit zwei Jahren. Eine Vollzeitkraft beschäftigt sich in dieser Zeit ausschließlich mit der Audit-Vorbereitung. Wer schon einmal ein Audit hatte, kommt mit drei Monaten pro Folge-Audit aus. Die Excel-Tapeten der internen Pre-Audits sind die zeitintensivste Hürde.
Frage 3: Was passiert bei einem roten Finding im TISAX- oder BaFin-Audit?
Ein rotes Finding bedeutet im TISAX-Fall sofortigen Lieferstopp, bis Sie die Lücke geschlossen und die Behebung dokumentiert haben. Bei BaFin sind die Konsequenzen ähnlich, abhängig vom betroffenen Bereich. Die Frist legt der Auditor fest. Eine Woche ist typisch.
Frage 4: Reicht eine Excel-Tabelle als Berechtigungskonzept im Audit?
Excel reicht für eine Erstdokumentation, aber nicht für ein gelebtes Berechtigungskonzept. Auditoren erkennen sofort, ob die Tabelle den realen Stand abbildet oder nur Wunschdenken ist. In über 90 Prozent der Fälle weicht die Excel-Datei vom Ist-Zustand ab. Ein Audit-Tooling mit automatischem Protokoll ist die einzige verlässliche Lösung.
Frage 5: Welche Compliance-Frameworks verlangen ein Berechtigungskonzept?
Im DACH-Markt fordern TISAX, BaFin, ISO 27001 und der BSI IT-Grundschutz ein dokumentiertes Berechtigungskonzept. Hinzu kommen DSGVO, NIS2, DORA und BAIT als regulatorische Rahmen. Wer in der Automobilzulieferkette oder im Finanzsektor arbeitet, kommt um TISAX oder BaFin nicht herum. Auch außerhalb dieser Branchen prüft der Wirtschaftsprüfer das Berechtigungsmanagement.
Artikel teilen
Ein kurzer Überblick über die in diesem Artikel behandelten Themen.
