Executive Summary
Regulatorische Anforderungen aus BAIT, MaRisk und DSGVO verlangen ein vollständiges, transparentes Berechtigungskonzept. Grundlage sind zwei Prinzipien: Minimalprinzip (Need-to-know) und Funktionstrennung (Segregation of Duties). Das Konzept regelt persönliche und nicht-persönliche Benutzer gleichermaßen und umfasst ein rollenbasiertes Modell (RBAC), SoD-Regeln, den vollständigen Berechtigungslebenszyklus sowie privilegierte Zugriffe und Protokollierung. Ein sauber aufgesetztes Konzept reduziert langfristig den administrativen Aufwand – ein zu geringer Erstaufwand rächt sich in den Folgeprozessen. Interdisziplinäre Zusammenarbeit zwischen Fachbereichen, Systemverantwortlichen und IAM-Stelle ist dabei essenziell.
Ausgangslage
Wachsende IT-Systemlandschaften stellen Unternehmen im Bereich Identity- und Accessmanagement (IAM) vor große Herausforderungen. Die aufsichtsrechtlichen Anforderungen aus BAIT, MaRisk und DSGVO verlangen ein vollständiges und transparentes Berechtigungskonzept. Nur so ist sichergestellt, dass ausschließlich befugte Personen und Programme die korrekten Zugriffsrechte erhalten.
Dabei gelten zwei zentrale Prinzipien: Das Minimalprinzip (Need-to-know) – Rechte werden nur im erforderlichen Umfang vergeben – sowie die Funktionstrennung (Segregation of Duties), die eine Bündelung kritischer Funktionen bei Einzelpersonen verhindert.
Inhalte eines Berechtigungskonzepts
Ein vollständiges Berechtigungskonzept unterscheidet grundsätzlich zwischen persönlichen und nicht-persönlichen Benutzern und definiert für beide Kategorien klare Regelungen.
Persönliche und nicht-persönliche Benutzer
Die folgende Übersicht zeigt die zentralen Unterschiede beider Benutzertypen (siehe auch Folie 1 der beigefügten Präsentation):
Persönliche Benutzer | Nicht-Persönliche Benutzer | |
Beispiele | Mitarbeiter, externe Dienstleister, Führungskräfte, Administratoren | Technische User, Service Accounts, Schulungskonten, Testkonten, Notfallkonten… |
Kennung | Individuelle, namentlich zugeordnete Benutzerkennung | Funktionale Kennung, einem Verantwortlichen zugeordnet |
Authentifi-zierung | Passwort, MFA, SSO, ggf. Zertifikate | API-Keys, Zertifikate, Service-Tokens |
Verantwortung | Benutzer selbst bzw. Vorgesetzter | Benannter fachlicher und technischer Verantwortlicher |
Rezertifizierung | Regelmäßig durch Vorgesetzten/Fachbereich | Regelmäßig durch benannten Verantwortlichen |
Weitere Kernbestandteile
Neben der Unterscheidung der Benutzertypen umfasst ein Berechtigungskonzept weitere wesentliche Elemente:
- Kritikalitätseinstufung der Anwendungen: Klassifizierung der Systeme nach Schutzbedarf (z. B. niedrig, mittel, hoch, sehr hoch)
- Rollenmodell (RBAC): Definition von Geschäftsrollen, IT-Rollen und Einzelberechtigungen mit klarer Zuordnungslogik (siehe Folie 2)
- Funktionstrennung (SoD): Definition toxischer Kombinationen, die durch eine Person nicht ausgeführt werden dürfen (z. B. Anlage und Freigabe)
- Berechtigungslebenszyklus: Onboarding, Bestellung/Genehmigung, Nutzung, Rezertifizierung und Offboarding (siehe Folie 3)
- Privilegierte Zugriffe (PAM): Gesonderte Regelungen für administrative und hochprivilegierte Zugänge
- Notfallzugriffe: Definierte Prozesse für Notfallberechtigungen inkl. nachgelagerter Dokumentation und Genehmigung
- Logging & Nachvollziehbarkeit: Vollständige Protokollierung aller Berechtigungsänderungen und Zugriffe
Unser Lösungsansatz
Ein rollenbasiertes Berechtigungskonzept (RBAC) ermöglicht eine konsistente, einheitliche und transparente Rechtevergabe. Mitarbeitende und technische Benutzer erhalten ihre Berechtigungen ausschließlich über definierte Rollen – nie direkt. Dieses Muster bildet die Grundlage für nachgelagerte Prozesse: von der regelmäßigen Rezertifizierung bis zum rechtzeitigen Entzug beim Offboarding.
Ein sorgfältig gestaltetes Konzept reduziert den administrativen Aufwand erheblich und gewährleistet gleichzeitig die Einhaltung aller regulatorischen Vorgaben. Entscheidend ist, dass die Verantwortlichen das Konzept strukturell umfassend erstellen – ein vermeintlich geringer Erstaufwand rächt sich bei den Folgeprozessen vielfach.
Die interdisziplinäre Zusammenarbeit zwischen Fachbereichen, Systemverantwortlichen und der zentralen IAM-Stelle ist dabei essenziell. Neben den BAIT- und MaRisk-Anforderungen müssen auch die Vorgaben der DSGVO – insbesondere die Datenminimierung und Zweckbindung – konsequent berücksichtigt werden.
Fazit
Ein durchdachtes, integriertes Berechtigungskonzept fördert die Akzeptanz im Unternehmen und stellt sicher, dass Zugriffssteuerung in der Praxis verstanden und sicher umgesetzt wird. Die beigefügten Grafiken veranschaulichen die drei zentralen Dimensionen: Benutzertypen, Rollenmodell und Lebenszyklus.


