In vielen Unternehmen existieren Rollen wie “Power User”, “Key User” oder “Admin Light”. Niemand weiß mehr genau, wofür sie stehen, aber sie sind da: über Jahre gewachsen, weitervererbt und selten hinterfragt.
Wenn dann ein IGA-Projekt (Identity Governance & Administration) startet, werden diese Altlasten oft einfach übernommen. Genau hier liegt das Problem: Ohne saubere Rollen und klare Verantwortung kann Identity Governance ihre Wirkung nicht entfalten.
Meine Überzeugung: IGA ist kein Ersatz für Ordnung, sie macht sie notwendig.
Rollen und Berechtigungen sind keine IT-Details
Wer Zugriff auf Systeme oder Daten hat, kann Prozesse beeinflussen, Entscheidungen vorbereiten oder Informationen verändern. Das ist keine rein technische Frage, sondern betrifft direkt die Organisation.
- Rollen beschreiben Aufgaben.
- Berechtigungen legen fest, was jemand tun darf.
Beides zusammen bildet Verantwortung ab. Wenn das unscharf ist, entstehen Risiken, ganz unabhängig davon, wie modern die eingesetzte Software ist.
Gute Rollen entstehen nicht zufällig
Eine Rolle ist nur dann sinnvoll, wenn klar ist:
- Welche Aufgaben gehören dazu?
- Welche Daten oder Systeme werden benötigt?
- Wo liegen die Grenzen?
Oft sieht man jedoch Sammelrollen, die alles Mögliche enthalten. Das macht es später schwer zu beurteilen, ob jemand wirklich noch alle Zugriffe braucht. Besonders problematisch wird das bei Prüfungen oder Rezertifizierungen, denn niemand fühlt sich wirklich zuständig.
Typische Probleme aus der Praxis
Historisch gewachsene Rechte
Systeme ändern sich, Organisationen auch, Berechtigungen bleiben. So sammeln sich über Jahre Zugriffe an, die längst nicht mehr gebraucht werden.
Vermischte Aufgaben
Wenn eine Rolle mehrere Tätigkeiten kombiniert, ist unklar, wofür sie eigentlich steht. Das erschwert Kontrolle und Pflege.
Unterschiedliche Sichtweisen
Die IT denkt in Systemrechten, Fachbereiche in Aufgaben. Wenn diese Perspektiven nicht zusammengeführt werden, entstehen Modelle, die technisch funktionieren, aber fachlich keinen Sinn ergeben.
Was erfolgreiche Unternehmen besser machen
Der Unterschied liegt selten im Tool, sondern im Umgang mit Verantwortung.
Fachliche Eigentümer benennen
Für jede Rolle und zentrale Berechtigungen gibt es feste Ansprechpartner. Diese entscheiden, ob Zugriffe noch passen und wie mit Ausnahmen umgegangen wird.
Rollen nach Aufgaben gestalten
Statt Systeme in den Mittelpunkt zu stellen, werden Rollen entlang konkreter Tätigkeiten aufgebaut. Das macht sie verständlicher und reduziert Sonderfälle.
Regelmäßig überprüfen
Rezertifizierungen sind kein Notfall vor dem Audit, sondern Teil des Alltags. So bleiben Rollen aktuell und Verantwortlichkeiten klar.
Fazit
Identity Governance funktioniert nur auf einem stabilen Fundament. Dieses Fundament sind saubere Rollen, klare Berechtigungen und eindeutig geregelte Verantwortung.
IGA kann Prozesse steuern und Transparenz schaffen. Aber sie kann nicht ersetzen, was organisatorisch fehlt. Erst wenn klar ist, wer was darf und wer dafür verantwortlich ist, wird Governance wirklich wirksam.
FAQ
Wer entscheidet eigentlich, welche Zugriffe jemand bekommt?
Idealerweise der Fachbereich, denn dort sind Aufgaben und Risiken bekannt. Die IT setzt technisch um, trägt aber nicht die fachliche Verantwortung.
Warum reichen technische Sicherheitslösungen allein nicht aus?
Weil Tools keine fachlichen Entscheidungen treffen können. Wenn Rollen unklar sind oder niemand Verantwortung übernimmt, bleibt jedes System wirkungslos.
Muss gleich alles neu aufgebaut werden?
Nein. Ein guter Start ist, kritische Rollen zuerst zu prüfen, klare Eigentümer festzulegen und das Modell Schritt für Schritt zu verbessern.