Berechtigungskonzepte – Strukturierte Zugriffssteuerung im regulatorischen Umfeld

Executive Summary

Regulatorische Anforderungen aus BAIT, MaRisk und DSGVO verlangen ein vollständiges, transparentes Berechtigungskonzept. Grundlage sind zwei Prinzipien: Minimalprinzip (Need-to-know) und Funktionstrennung (Segregation of Duties). Das Konzept regelt persönliche und nicht-persönliche Benutzer gleichermaßen und umfasst ein rollenbasiertes Modell (RBAC), SoD-Regeln, den vollständigen Berechtigungslebenszyklus sowie privilegierte Zugriffe und Protokollierung. Ein sauber aufgesetztes Konzept reduziert langfristig den administrativen Aufwand – ein zu geringer Erstaufwand rächt sich in den Folgeprozessen. Interdisziplinäre Zusammenarbeit zwischen Fachbereichen, Systemverantwortlichen und IAM-Stelle ist dabei essenziell.

Ausgangslage

Wachsende IT-Systemlandschaften stellen Unternehmen im Bereich Identity- und Accessmanagement (IAM) vor große Herausforderungen. Die aufsichtsrechtlichen Anforderungen aus BAIT, MaRisk und DSGVO verlangen ein vollständiges und transparentes Berechtigungskonzept. Nur so ist sichergestellt, dass ausschließlich befugte Personen und Programme die korrekten Zugriffsrechte erhalten.

Dabei gelten zwei zentrale Prinzipien: Das Minimalprinzip (Need-to-know) – Rechte werden nur im erforderlichen Umfang vergeben – sowie die Funktionstrennung (Segregation of Duties), die eine Bündelung kritischer Funktionen bei Einzelpersonen verhindert.

Inhalte eines Berechtigungskonzepts

Ein vollständiges Berechtigungskonzept unterscheidet grundsätzlich zwischen persönlichen und nicht-persönlichen Benutzern und definiert für beide Kategorien klare Regelungen.

Persönliche und nicht-persönliche Benutzer

Die folgende Übersicht zeigt die zentralen Unterschiede beider Benutzertypen (siehe auch Folie 1 der beigefügten Präsentation):

 

Persönliche Benutzer

Nicht-Persönliche Benutzer

Beispiele

Mitarbeiter, externe Dienstleister, Führungskräfte, Administratoren

Technische User, Service Accounts, Schulungskonten, Testkonten, Notfallkonten…

Kennung

Individuelle, namentlich zugeordnete Benutzerkennung

Funktionale Kennung, einem Verantwortlichen zugeordnet

Authentifi-zierung

Passwort, MFA, SSO, ggf. Zertifikate

API-Keys, Zertifikate, Service-Tokens

Verantwortung

Benutzer selbst bzw. Vorgesetzter

Benannter fachlicher und technischer Verantwortlicher

Rezertifizierung

Regelmäßig durch Vorgesetzten/Fachbereich

Regelmäßig durch benannten Verantwortlichen

Weitere Kernbestandteile

Neben der Unterscheidung der Benutzertypen umfasst ein Berechtigungskonzept weitere wesentliche Elemente:

  • Kritikalitätseinstufung der Anwendungen: Klassifizierung der Systeme nach Schutzbedarf (z. B. niedrig, mittel, hoch, sehr hoch)
  • Rollenmodell (RBAC): Definition von Geschäftsrollen, IT-Rollen und Einzelberechtigungen mit klarer Zuordnungslogik (siehe Folie 2)
  • Funktionstrennung (SoD): Definition toxischer Kombinationen, die durch eine Person nicht ausgeführt werden dürfen (z. B. Anlage und Freigabe)
  • Berechtigungslebenszyklus: Onboarding, Bestellung/Genehmigung, Nutzung, Rezertifizierung und Offboarding (siehe Folie 3)
  • Privilegierte Zugriffe (PAM): Gesonderte Regelungen für administrative und hochprivilegierte Zugänge
  • Notfallzugriffe: Definierte Prozesse für Notfallberechtigungen inkl. nachgelagerter Dokumentation und Genehmigung
  • Logging & Nachvollziehbarkeit: Vollständige Protokollierung aller Berechtigungsänderungen und Zugriffe
 

Unser Lösungsansatz

Ein rollenbasiertes Berechtigungskonzept (RBAC) ermöglicht eine konsistente, einheitliche und transparente Rechtevergabe. Mitarbeitende und technische Benutzer erhalten ihre Berechtigungen ausschließlich über definierte Rollen – nie direkt. Dieses Muster bildet die Grundlage für nachgelagerte Prozesse: von der regelmäßigen Rezertifizierung bis zum rechtzeitigen Entzug beim Offboarding.

Ein sorgfältig gestaltetes Konzept reduziert den administrativen Aufwand erheblich und gewährleistet gleichzeitig die Einhaltung aller regulatorischen Vorgaben. Entscheidend ist, dass die Verantwortlichen das Konzept strukturell umfassend erstellen – ein vermeintlich geringer Erstaufwand rächt sich bei den Folgeprozessen vielfach.

Die interdisziplinäre Zusammenarbeit zwischen Fachbereichen, Systemverantwortlichen und der zentralen IAM-Stelle ist dabei essenziell. Neben den BAIT- und MaRisk-Anforderungen müssen auch die Vorgaben der DSGVO – insbesondere die Datenminimierung und Zweckbindung – konsequent berücksichtigt werden.

Fazit

Ein durchdachtes, integriertes Berechtigungskonzept fördert die Akzeptanz im Unternehmen und stellt sicher, dass Zugriffssteuerung in der Praxis verstanden und sicher umgesetzt wird. Die beigefügten Grafiken veranschaulichen die drei zentralen Dimensionen: Benutzertypen, Rollenmodell und Lebenszyklus.

Jetzt ins Gespräch kommen

Sie möchten wissen, wie tomoro Ihre Organisation konkret unterstützen kann?

Vereinbaren Sie ein unverbindliches Erstgespräch mit einem unserer Senior Manager – und erhalten Sie eine erste Einschätzung zu Ihrer Situation und möglichen Handlungspfaden.