Identity Governance & Administration (IGA): Berechtigungen im Griff behalten

„Warum hat das ehemalige Praktikant-Konto noch Zugriff auf unsere Produktionsdatenbank?” Diese Frage taucht bei fast jedem Sicherheits-Audit auf. Das Problem hat einen Namen: Berechtigungs-Wildwuchs (Permission Creep). Identity Governance & Administration (IGA) ist die systematische Antwort.

Das Berechtigungs-Wildwuchs-Problem

Das Muster wiederholt sich in jedem Unternehmen. Betrachten wir Mitarbeiterin Sabine, Buchhaltung, seit 2019: Bei Eintritt erhält sie Zugriff auf DATEV, E-Mail und SharePoint. 2020 kommt für ein Lagerprojekt WMS-Zugriff hinzu. 2021 wechselt sie ins Controlling - SAP CO und ein BI-Tool werden ergänzt. 2022 bekommt sie befristet CRM-Zugriff für ein Kundenprojekt. 2023 kehrt sie zur Buchhaltung zurück - der CRM-Zugriff wird nie entfernt. 2024 hilft ein IT-Admin kurz aus und trägt Sabine ins Helpdesk-Tool ein. 2025 kündigt Sabine - ihr Account bleibt drei Monate aktiv.

Das Ergebnis: Sabine, und jeder der ihr Passwort kennt, hat Zugriff auf DATEV, E-Mail, SharePoint, WMS, SAP CO, BI-Tool, CRM und das IT-Helpdesk-Tool. Das verletzt das Least-Privilege-Prinzip, schafft ein DSGVO-Risiko (Zugriff auf Daten ohne betriebliche Notwendigkeit), ein Insider-Threat-Risiko und ist ein sicheres ISO-27001-Finding im nächsten Audit.

Laut Microsoft-Studie (2023) dauert es im Schnitt 3,4 Monate bis ein Offboarding vollständig abgeschlossen ist. 58% der Unternehmen führen keine regelmäßigen Access Reviews durch. 34% aller Datenverletzungen involvieren Insider - direkt oder über kompromittierte Accounts.

IGA - Die vier Kernprozesse

1. Identity Lifecycle Management (Joiner-Mover-Leaver)

Joiner (Eintritt): Das HR-System signalisiert “Neuer Mitarbeiter Maier, IT-Abteilung, Startdatum 01.03.” - und IGA übernimmt automatisch: Active-Directory-Account nach Namenskonvention, E-Mail-Adresse, Standard-Berechtigungen für die IT-Abteilung, Laptop-Provisionierung im MDM, VPN-Zugang und Onboarding-Tickets. Kein manueller Prozess, kein vergessener Schritt.

Mover (Versetzung): “Maier wechselt zur Buchhaltung ab 01.06.” - IGA fügt neue Berechtigungen für die Buchhaltungsrolle hinzu, entfernt automatisch die IT-Abteilungsberechtigungen und startet einen Review-Workflow, in dem die Führungskräfte beider Abteilungen bestätigen. Alles wird im Audit-Log erfasst.

Leaver (Austritt): IGA steuert den Offboarding-Prozess nach festem Zeitplan:

Zeitpunkt	Aktion
T-3 Tage	Manager erhält Erinnerung
T-0 (letzter Arbeitstag)	Account deaktivieren (nicht löschen!)
T+7	Ressourcen-Übergabe prüfen
T+30	Account-Löschung nach Policy
T+90	Vollständige Entfernung aus allen Gruppen

2. Access Request Management

Mitarbeiter beantragen Zugänge über ein Self-Service-Portal selbst. Ein mehrstufiger Approval-Workflow prüft den Antrag: Manager, dann System-Owner, bei sensiblen Systemen zusätzlich der CISO. Nach Genehmigung erfolgt die Provisionierung automatisch. Zeitlich begrenzte Zugänge - “Projektantrag für 6 Monate” - laufen automatisch ab. Der vollständige Audit-Trail dokumentiert, wer wann was beantragt und wer genehmigt hat.

3. Access Certification / Recertification

Alle Berechtigungen werden regelmäßig überprüft. Manager und System-Owner bestätigen für jeden Zugangspunkt: “Ja, wird noch benötigt” oder “Entfernen.” Das Intervall richtet sich nach dem Risiko - sensible Zugänge werden quartalsweise geprüft, Standard-Berechtigungen jährlich. Die wichtigste Regel: Wer nicht rechtzeitig reviewt, verliert den Zugang automatisch.

4. Role Engineering und RBAC

Statt 1.000 individueller Berechtigungen definiert IGA rund 50 Rollen, die die typischen Berechtigungsprofile einer Funktion bündeln. Segregation of Duties (SoD) sorgt dafür, dass konfliktierende Rollen sich gegenseitig blockieren - kein Benutzer kann gleichzeitig “Rechnungen erstellen” und “Zahlungen freigeben.” Regelbasierte Zuweisung stellt sicher, dass alle Mitarbeiter im Vertrieb automatisch die fünf Vertriebsapps bekommen.

Role Based Access Control (RBAC) und SoD

Ein konkretes RBAC-Design zeigt, wie Rollen in der Praxis aufgebaut sind:

Rolle: “Buchhaltung-Standard”

• DATEV: Buchungseingabe (gewährt)
• ERP: Kreditorenbuchhaltung read (gewährt)
• SharePoint: Finanzdokumente lesen und schreiben (gewährt)
• E-Mail, Teams, Office 365 (gewährt)
• DATEV: Admin (explizit ausgeschlossen)
• ERP: Zahlungsfreigabe (ausgeschlossen - SoD-Konflikt)

Rolle: “Buchhaltung-Teamleitung”

• Erbt alle Berechtigungen von “Buchhaltung-Standard”
• Zusätzlich: DATEV Jahresabschluss, ERP Berichtswesen, SharePoint Finanz-Reports-Archiv Admin

Segregation of Duties - kritische Konflikt-Paare:

Berechtigung A		Berechtigung B
Bestellung erstellen	KONFLIKT	Bestellung freigeben
Zahlung vorbereiten	KONFLIKT	Zahlung ausführen
User anlegen	KONFLIKT	Rechte vergeben
Audit durchführen	KONFLIKT	Auditierte Prozesse verantworten

SoD-Verletzungen werden bei der Rollenzuweisung automatisch blockiert. Ausnahmen erfordern eine Kompensationskontrolle (verstärkte Überwachung) sowie dokumentierte Management-Genehmigung.

IGA-Tools im Überblick

Open Source / Kostengünstig

Keycloak ist ein weit verbreiteter Identity Provider (OIDC/OAuth2/SAML), aber kein vollständiges IGA-System. Es bietet grundlegendes User Management, Gruppen und Rollen, jedoch keine Access Certification und kein Role Mining. Ideal als IdP in Kombination mit einem vollständigen IGA-Tool.

midPoint (Evolveum) ist eine vollständige Open-Source-IGA-Lösung mit Lifecycle-Management, automatischem Provisioning und Access Certification. Die Community-Edition ist kostenlos, die Einrichtung komplex. Gut geeignet für On-Premises-Umgebungen.

Kommerzielle IGA-Lösungen

Produkt	Stärken	Zielgruppe	Kosten
SailPoint IdentityNow	Marktführer, 2000+ Konnektoren, KI-gestütztes Role Mining	Enterprise	ab ~100.000 EUR/Jahr
Omada Identity	DACH-stark, gute M365/Azure-Integration, Deutsch-Support	Mid-Market KMU	günstiger als SailPoint
Microsoft Entra ID Governance	Nahtlos in M365, Access Reviews, PIM	M365-Kunden	Entra ID P2, ~9 EUR/User/Monat
Oracle Identity Governance / SAP Identity Governance	Tiefe ERP-Integration, SoD in SAP-Transaktionen	SAP/Oracle-Umgebungen	Enterprise-Preise

Für M365-Kunden ist Microsoft Entra ID Governance oft die logische erste Wahl - kein separates Tool nötig, nahtlose Integration.

Konfigurationsbeispiel Entra Access Reviews:

Microsoft Entra ID → Identity Governance → Access Reviews → Neu

Empfohlene Einstellungen für SharePoint-Admins:

• Name: “Quartalsweise Überprüfung SharePoint-Admins”
• Häufigkeit: Vierteljährlich
• Reviewer: Gruppenbesitzer
• Dauer: 14 Tage
• Wenn nicht überprüft: “Zugang entfernen” (automatisch)
• Benachrichtigungen: E-Mail an Reviewer und CISO

IGA für Compliance

IGA ist kein reines IT-Projekt - es ist ein direkter Compliance-Nachweis für mehrere Regulatorien gleichzeitig.

ISO 27001:2022 prüft die Controls A.5.15 (Access control policy), A.5.16 (Identity management), A.5.17 (Authentication information) und A.5.18 (Access rights). IGA liefert den Audit-Trail, dokumentierte Access Reviews und die RBAC-Struktur.

DSGVO Art. 32 verlangt “Zugriffsbeschränkung” - nur wer Daten für seine Arbeit benötigt, darf zugreifen. IGA liefert das dokumentierte Need-to-know-Prinzip. Bei einem DSGVO-Audit - “Wer hat auf personenbezogene Daten zugegriffen?” - beantwortet das IGA-Audit-Log die Frage vollständig.

NIS2 Art. 21 fordert “Zugangskontrolle und Asset-Management”. IGA dient als dokumentierter Nachweis für NIS2-Compliance.

SOX (Sarbanes-Oxley) für börsennotierte Unternehmen: Der SoD-Nachweis ist zwingend erforderlich. “Niemand kann alleine Finanzreporting manipulieren” - die IGA-SoD-Matrix ist der direkte Compliance-Nachweis.

Empfohlene Mindestfrequenz für Access Reviews:

Zugangstyp	Intervall
Hochprivilegiert (Admin)	Monatlich
Sensitive Apps (ERP, CRM)	Quartalsweise
Standard-Berechtigungen	Jährlich
Ausscheidende Mitarbeiter	Sofort bei Ankündigung

Implementierungspfad

Phase 1 (Monat 1-2): Bestandsaufnahme

• Alle Systeme inventarisieren (welche haben User-Zugänge?)
• Alle bestehenden Accounts exportieren
• Orphaned Accounts identifizieren (kein HR-Eintrag mehr vorhanden)
• Over-privileged Accounts finden (Admin-Rechte wo nur User-Rechte nötig)
• Quick Win: alle inaktiven Accounts sofort sperren

Phase 2 (Monat 2-4): Grundstruktur

• HR-System als Identity Master definieren
• Joiner-Leaver-Prozess dokumentieren und automatisieren
• Erste Rollen definieren (die fünf wichtigsten Abteilungen)
• IGA-Tool auswählen und deployen (oder Entra ID Governance nutzen)

Phase 3 (Monat 4-6): Workflows

• Self-Service-Portal einrichten (Access Request)
• Approval-Workflows konfigurieren
• Automatisches Provisioning für die Top-10-Systeme
• Erste Access Certification-Kampagne starten

Phase 4 (Monat 6-12): Reife

• Role Mining: KI-gestützte Rollenoptimierung
• SoD-Regeln für kritische Finanz- und ERP-Prozesse
• Vollständige Audit-Trail-Integration ins SIEM
• Regelmäßige Berichte für Management und Auditoren

Quick Wins ohne IGA-Tool (sofort umsetzbar)

• Alle Accounts ehemaliger Mitarbeiter suchen und sperren
• Excel-Liste: wer hat Admin-Rechte? Begründung dokumentieren
• Prozess einführen: HR informiert IT bei Austritt - heute noch
• Quartalsweise: Führungskräfte bestätigen die Zugänge ihrer Teams

---

Identity Governance ist kein einmaliges Projekt, sondern ein dauerhafter Prozess. AWARE7 begleitet Unternehmen beim Aufbau pragmatischer IGA-Prozesse - von der ersten Bestandsaufnahme bis zur toolgestützten Automatisierung.

IGA-Beratung anfragen | ISO 27001 Beratung