Manuelle Rechtevergabe: Der versteckte Zeitfresser im Berechtigungsmanagement
Sie sind mitten in einer Rechtevergabe. Ein neuer Mitarbeiter braucht Zugriff auf einen Netzwerkordner. Das Telefon klingelt. Unterbrechung. Sie lösen das Problem des Anrufers und das Ticket von vorhin? Liegt irgendwo offen. Halb fertig. Nicht dokumentiert. Bis nächste Woche erinnert sich niemand mehr daran.
Klingt bekannt? Dann wissen Sie, wovon ich spreche. In über 25 Jahren Beratungserfahrung im Berechtigungsmanagement begegnet mir dieses Szenario in kleinen Mittelstandsunternehmen genauso wie in Großkonzernen fast täglich. Und jedes Mal, wenn ich es sehe, denke ich dasselbe: Das darf so nicht weitergehen.
Denn was im Alltag wie eine kleine Ablenkung wirkt, ist in Wirklichkeit ein strukturelles Problem. Es kostet Unternehmen jeden Monat bares Geld, produziert Compliance-Risiken und lässt sich beheben.
Warum aus 30 Sekunden 30 Minuten werden
Ich höre diesen Satz ständig: „Eine Gruppenmitgliedschaft ist in 30 Sekunden gesetzt.“ Und ja, das stimmt sogar. Wenn alles perfekt vorbereitet ist, wenn man genau weiß, was zu tun ist, wenn niemand anruft, und wenn die Dokumentation dabei keine Rolle spielt.
Die Realität sieht aber anders aus. Ich habe mir die einzelnen Schritte einer typischen manuellen Rechtevergabe genau angeschaut und dabei wird schnell klar, wo die Zeit tatsächlich bleibt:
30 Min.
durchschnittlicher Zeitaufwand pro manueller Rechtevergabe mit Dokumentation. Davon ist die eigentliche Vergabe nur ein Bruchteil.
Der tatsächliche Ablauf – Schritt für Schritt
1. Navigation zur Ressource: Bevor ich überhaupt eine Berechtigung vergeben kann, muss ich zunächst zum richtigen Ort navigieren. Je nach Systemgröße und Verzeichnistiefe kann das allein bereits mehrere Minuten dauern. Ich muss mich durch das Active Directory hangeln, die richtige Ebene finden, mich verbinden.
2. Prüfung der Berechtigungsgruppen: Gibt es für diese Ressource überhaupt schon eine passende Berechtigungsgruppe? Wenn nicht, muss ich eine neue anlegen mit all den Überlegungen, die dazugehören: Benennung, Strukturierung, Einordnung. Das kostet Zeit, auch wenn es nach außen unsichtbar bleibt.
3. Hierarchiepfad sicherstellen: Hat der Benutzer einen durchgehenden Zugangspfad durch die Verzeichnisstruktur? Wenn nicht, muss ich auf jeder übergeordneten Ebene ebenfalls Listberechtigung setzen. Diesen Schritt vergessen viele und dann kommt zwei Tage später das nächste Ticket.
4. Die Unterbrechung: Irgendwo in diesem Prozess klingelt das Telefon, erscheint ein Kollege, oder ein dringenderes Ticket kommt rein. Ich verliere den Überblick. Auf welcher Ebene war ich gerade? Was habe ich bereits gesetzt? Was fehlt noch? Dieser Task-Switch kostet mehr Zeit als die eigentliche Arbeit.
5. Dokumentation – der Schritt, der fast immer vergessen wird: Wer hat wann welche Berechtigung vergeben, auf welcher Grundlage, für wen? Im Ticketsystem lässt sich das nachhalten, aber nur, wenn man das Ticket auch wiederfindet, wenn das System noch existiert, und wenn man nicht inzwischen auf ein anderes Tool gewechselt hat.
Mike Wiedemann, Cusatum GmbHEinzig die eigentliche Entscheidung, wem wird was vergeben, ist echte Wissensarbeit. Alles andere: das Navigieren, Anlegen, Traversierungsrechte setzen, Dokumentieren, Nachfassen ist das, was ich „Monkey Work“ nenne. Arbeit, die kein Fachwissen erfordert und die ein gut konfiguriertes Tool vollständig übernehmen könnte.
Das eigentliche Problem: Dokumentation, Dokumentation, Dokumentation
Wenn ich gefragt werde, was die drei größten Zeitfresser bei der manuellen Rechtevergabe sind, lautet meine Antwort ohne zu zögern:
Mike Wiedemann, Cusatum GmbHDas klingt nach einer Übertreibung. Es ist keine. Ich erlebe es jeden Tag: Ein Admin, den ich beim Kunden besuche, sagt mir am Ende unseres Gesprächs, dass er nie wirklich nachvollziehen kann, was er manuell alles gemacht hat, weil die Dokumentation nie mitläuft. „Das mache ich später“ und aus später wird nie.
Was passiert, wenn Dokumentation fehlt? Ich kenne aus meiner Praxis drei Szenarien, und alle drei sind teuer:
- Ein Mitarbeiter geht, kommt krank zurück oder wird ersetzt. Niemand weiß, auf welche Systeme er Zugriff hatte und welche Zugänge jetzt deaktiviert werden müssen.
- Ein Sicherheitsvorfall tritt ein. Bei einem externen Hackerangriff kommt als erstes oft der Verfassungsschutz, weil man von ausländischen Angreifern ausgeht. Und dann kommt die Frage: Wer hat wann welche Berechtigung auf welches System erhalten? Wer das nicht lückenlos belegen kann, hat ein echtes Problem.
- Ein Auditor erscheint. ISO 27001, TISAX, BaFin, DSGVO verlangen nachvollziehbare, revisionssichere Rechtevergabe. Wer nicht dokumentiert hat, riskiert nicht nur ein Finding, sondern je nach Datenleck Bußgelder, die jede Softwareinvestition in den Schatten stellen.
bis 20 Mio. €
mögliche DSGVO-Bußgelder bei schwerwiegenden Dokumentationslücken und nachweisbaren Datenschutzverstößen.
Was mich dabei am meisten beunruhigt: Dokumentationslücken entstehen nicht durch bösen Willen. Sie entstehen durch Ablenkung und fehlende Werkzeuge. Ein Telefon, ein Meeting, ein dringenderes Ticket und die Dokumentation bleibt liegen. Meistens für immer.
Warum so viele Unternehmen das Problem kennen und trotzdem nichts ändern
Die Zahlen sind bekannt. Der Aufwand ist messbar. Die Risiken sind dokumentiert. Warum automatisieren dann noch so viele Unternehmen ihre Rechtevergabe nicht? Ich beschäftige mich seit über 25 Jahren mit dieser Frage. Die ehrliche Antwort ist: Es sind selten technische Gründe.
Die „Eh‘-da-Kosten“ – ein Denkfehler mit Folgen
Die Logik dahinter: IT-Mitarbeiter sind bereits bezahlt. Wenn sie Berechtigungen manuell vergeben, kostet das keinen Cent extra. Die Leute sind ja schon da. Dieses Kostenmodell ist mir erstmals bei einem deutschen Großkonzern begegnet, der mir 2008 erklärt hat, warum er kein Tool braucht. Ich begegne ihm bis heute.
Was dabei ignoriert wird: Die Stunden, die in Monkey Work fließen, fehlen anderswo. Strategische IT-Aufgaben, Sicherheitskonzepte, Digitalisierungsprojekte, all das bleibt liegen, während ich Berechtigungsgruppen anlege. Die jungen IT-Leute haben auf diese Art von Arbeit schlicht keine Lust mehr. Und ich verstehe sie.
Die deutsche Fehlerkultur
In Deutschland darf man keine Fehler machen. Das höre ich immer wieder und ich glaube, dass dieser Satz mehr erklärt als jedes technische Argument. Wer einen Account löscht, der sich seit zehn Jahren nicht eingeloggt hat, übernimmt Verantwortung. Was passiert, wenn plötzlich eine Maschine steht, weil doch jemand diesen Account genutzt hat? Wer haftet dann?
Die Konsequenz: Accounts bleiben bestehen. Rechte werden nie entzogen. Das Berechtigungssystem wächst, bis es niemand mehr versteht und bis genau das von einem Angreifer ausgenutzt wird. Dabei gäbe es technische Mittel, zu prüfen, ob ein Account überhaupt noch aktiv genutzt wird. Aber die werden nicht eingesetzt.
Angst vor dem neuen Tool
Einarbeitungszeit, Lernkurve, Komfortzonenbruch und in den letzten Jahren kommt ein neues Argument dazu: die Angst vor Jobverlust durch Automatisierung. Ich höre das jetzt häufiger, seit die Diskussion um Künstliche Intelligenz lauter geworden ist. Dabei ist das Gegenteil wahr: Wer sein Monkey Work automatisiert, bekommt endlich Zeit für die Aufgaben, die wirklich Fachwissen erfordern und auch Anerkennung bringen.
Was manuelle Rechtevergabe Ihr Unternehmen wirklich kostet
Ich nutze in Gesprächen mit IT-Leitern und CIOs gerne eine einfache Rechnung, um die versteckten Kosten greifbar zu machen:
| Parameter | Wert (Beispielrechnung)* |
|---|---|
| Fluktuation pro Monat | 10 Mitarbeiter (Eintritt + Austritt = 20 Vorgänge) |
| Zeitaufwand pro Vorgang | 30 Minuten |
| Interner Stundensatz (inkl. NK) | 50 € (konservativ; realistisch eher 75–80 €) |
| Kosten pro Monat | 20 × 30 Min. × 50 €/h. = 500 € |
| Kosten pro Jahr | 500 € × 12 = 6.000 € nur für Joiner/Mover/Leaver |
*basierend auf meiner Erfahrung aus über 200 Kundenprojekten
Nicht enthalten in dieser Rechnung sind die Aufräumarbeiten bei historisch gewachsenen Berechtigungsstrukturen, Audit-Vorbereitung, manuelle Recherchen bei Datenvorfällen und die Kosten eines einzigen Datenschutzverstoßes. Ich hatte noch nie wirklich Diskussionen wegen des Preises unserer Lösung. Denn sobald Kunden die Gegenrechnung für sich aufmachen, ist die Investitionsentscheidung schon gefallen.
Die CARO-Suite kostet je nach Unternehmensgröße zwischen 3.000 und 15.000 Euro im Jahr. Wer allein den Joiner-Mover-Leaver-Aufwand gegenrechnet, sieht in vielen Fällen, dass sich das innerhalb des ersten Jahres trägt.
Ihr persönlicher Zeitfresser-Score: Wo stehen Sie?
Ich nutze diesen Check gerne in meinen Kundengesprächen. Beantworten Sie die folgenden sieben Fragen ehrlich. Für jede Frage, die Sie mit „Nein“ beantworten müssen, vergeben Sie sich einen Punkt. Am Ende sehen Sie, wie hoch Ihr Zeitfresser-Risiko wirklich ist.
| Frage | Ja (+0 Pkt.) | Nein (+1 Pkt.) |
|---|---|---|
| Wissen Sie jetzt sofort, wie viele Berechtigungen Sie diese Woche vergeben haben? | ☐ Ja | ☐ Nein |
| Sind alle diese Vergaben vollständig dokumentiert (Zeitstempel, Bearbeiter, Grund)? | ☐ Ja | ☐ Nein |
| Können Sie für jede vergebene Berechtigung in unter 60 Sekunden die Grundlage nachweisen? | ☐ Ja | ☐ Nein |
| Werden bei einem Abteilungswechsel alte Berechtigungen automatisch oder strukturiert entzogen? | ☐ Ja | ☐ Nein |
| Werden beim Austritt eines Mitarbeiters alle Zugänge zuverlässig innerhalb von 24 Stunden deaktiviert? | ☐ Ja | ☐ Nein |
| Haben Sie alle Berechtigungsvorgaben der letzten 12 Monate revisionssicher vorliegen? | ☐ Ja | ☐ Nein |
| Wäre Ihr Berechtigungssystem bei einer unangekündigten Revision heute prüfungsbereit? | ☐ Ja | ☐ Nein |
Auswertung Ihres Scores:
| Punkte | Bewertung | Was jetzt zu tun ist |
|---|---|---|
| 0–1 | Gut aufgestellt | Ihr Berechtigungsmanagement ist solide dokumentiert. Prüfen Sie, ob Automatisierung weitere Effizienzgewinne bringt. |
| 2–3 | Verbesserungsbedarf | Es gibt konkrete Lücken, die bei einem Audit oder Vorfall problematisch werden könnten. Handeln Sie systematisch. |
| 4–5 | Hohes Risiko | Ihre Dokumentation ist lückenhaft und Ihre Prozesse angreifbar. Ein Gespräch mit einem Spezialisten lohnt sich jetzt. |
| 6–7 | Kritisch | Sie haben erhebliche Sicherheits- und Compliance-Lücken. Manuelle Prozesse kosten Sie täglich Zeit und Sicherheit. |
Der erste Schritt: Schauen, ohne anzufassen
Ich verstehe die Zurückhaltung. Viele IT-Teams haben Angst, in gewachsene Strukturen einzugreifen und diese Angst ist nicht unbegründet. Deshalb empfehle ich einen Einstieg, der das Risiko auf null reduziert: Erst schauen, dann handeln.
Ich habe bei einem neuen Kunden die CARO-Suite in weniger als zehn Minuten zum Laufen gebracht und konnte sofort die ersten Erkenntnisse sehen, ohne irgendetwas angefasst zu haben. Das ist der erste Schritt: Verbinden, schauen, verstehen. Was ist im System? Welche Berechtigungen existieren? Wo sind historisch gewachsene Strukturen, die längst bereinigt werden sollten? Keine Änderungen, keine Risiken. Nur Sichtbarkeit.
Schritt zwei: automatische Dokumentation. Auch wer noch nicht bereit ist, die Vergabe zu automatisieren, kann sofort damit beginnen, alle Vorgänge automatisch zu protokollieren. Das allein ist schon ein enormer Gewinn: für Audits, für Vorfälle, für die eigene Ruhe. Und aus meiner Erfahrung ist das auch das, was Revisoren und Auditoren am stärksten honorieren: nicht perfekte Prozesse, sondern lückenlose Nachvollziehbarkeit.
< 1 Monat
so lange dauert es nach meiner Erfahrung, bis IT-Teams nach vollständiger Einführung der CARO-Suite spürbar weniger Zeit für Berechtigungsvergaben aufwenden.
Wohin es in Zukunft geht: Zugriffsrechte, die mitdenken
Ich habe einen Traum für das Berechtigungsmanagement der Zukunft: Man verlässt abends das Büro und alle Berechtigungen werden automatisch entzogen. Am nächsten Morgen erkennt das System anhand von Arbeitskontext und Nutzungsverhalten, auf welche Ressourcen man tatsächlich zugreifen muss, und stellt genau diese Rechte bereit.
Das „Need-to-Know“-Prinzip nicht als manuelle Checkliste, sondern als intelligenter, automatisierter Prozess. Ein System, das weiß, wer welche Daten wirklich braucht und das nur diese freigibt. Kein frustrierter Ex-Mitarbeiter, der nachts noch auf Firmensysteme zugreifen kann. Keine Ransomware, die sich durch akkumulierte Altrechte frisst.
Ich weiß: Bis dahin liegt noch ein gutes Stück Arbeit vor uns. Aber ich bin überzeugt davon: Wer heute mit automatischer Dokumentation beginnt, legt den Grundstein für genau diese Zukunft. Der Weg dorthin beginnt mit ersten wichtigen Schritten und er ist heute schon möglich.
Mike Wiedemann, Cusatum GmbHFazit: 30 Minuten, die Sie sich nicht leisten können
Manuelle Rechtevergabe ist kein kleines Ärgernis. Sie ist ein strukturelles Problem, das IT-Teams täglich Stunden kostet, Compliance-Risiken produziert und Unternehmen bei Audits und Sicherheitsvorfällen angreifbar macht. Ich sehe das seit 25 Jahren und ich sehe auch, wie schnell sich das ändern lässt.
Der erste Schritt ist einfacher als die meisten denken. Nicht das große Transformationsprojekt, nicht die vollständige Migration. Sondern: Schauen. Verstehen. Dokumentieren.
Artikel teilen
Ein kurzer Überblick über die in diesem Artikel behandelten Themen.
