Unstrukturierte Berechtigungen für            regulierte Unternehmen

Unstrukturierte Berechtigungen sind die tickende Zeitbombe in vielen Unternehmen: Über Jahre gewachsene Zugriffe auf Dateien, SharePoint, Teams oder Cloud-Speicher führen dazu, dass oft niemand mehr verlässlich sagen kann, wer auf welche sensiblen Informationen zugreifen darf – und warum.  

Mit DORA, NIS2 und anderen Regularien wird genau diese Intransparenz zum Prüfungsgegenstand. Unternehmen, die weiterhin auf historisch gewachsene Berechtigungsstrukturen vertrauen, riskieren nicht nur Compliance-Verstöße und Sicherheitsvorfälle, sondern auch unangenehme Fragen von Aufsichtsbehörden und Auditoren. Gerade bei unstrukturierten Daten zeigt sich dabei in vielen Organisationen erheblicher Handlungsbedarf. 

Unstrukturierte Berechtigungen beschreiben Zugriffsrechte , die außerhalb klassischer Geschäftsapplikationen verwaltet werden.  

Dazu gehören beispielsweise: 

• MS teams 
• One Drive 
• File Shares 
• SharePoint-Umgebungen 
• Cloud-Speicher 
• E-Mail-Postfächer 
• Confluence   

Im Gegensatz zu strukturierten Berechtigungen in ERP-, Kernbank- oder Fachanwendungen entstehen diese Zugriffsrechte häufig dezentral, historisch gewachsen und ohne konsistente Rollen- oder Berechtigungskonzepte. Dies führt zu mangelnder Transparenz, übermäßigen Zugriffsrechten (Excessive Permissions), fehlender Nachvollziehbarkeit und erhöhten Risiken für Datenschutz, Informationssicherheit und Compliance. 

Seit Inkrafttreten von DORA und der deutschen NIS2-Umsetzung verschiebt sich der Fokus regulatorischer Prüfungen zunehmend von der Frage „Sind technische Sicherheitsmaßnahmen vorhanden?“ hin zu „Kann das Unternehmen nachweisen, wer auf kritische Informationen zugreifen kann, warum dieser Zugriff erforderlich ist und wie er regelmäßig kontrolliert wird?“. Genau hier liegen die größten Schwachstellen bei unstrukturierten Berechtigungen.

Unstrukturierte Berechtigungen werden zunehmend zum Compliance-Risiko, weil Unternehmen häufig nicht nachweisen können, wer Zugriff auf sensible Informationen besitzt und warum dieser Zugriff erforderlich ist.  

In der Praxis bedeutet dies, dass Unternehmen auch für unstrukturierte Datenbestände Transparenz über bestehende Zugriffsrechte herstellen, kritische Berechtigungen identifizieren, Verantwortlichkeiten definieren und regelmäßige Kontroll- und Rezertifizierungsprozesse etablieren müssen. Fehlende Governance über unstrukturierte Berechtigungen kann zu regulatorischen Feststellungen, Datenschutzverletzungen, erhöhten Cyberrisiken und erheblichen Compliance-Verstößen führen. Die Beherrschung unstrukturierter Berechtigungen entwickelt sich daher zunehmend zu einem zentralen Bestandteil von Identity & Access Management (IAM), Information Security Governance und Digital Operational Resilience. 

Die Bereinigung unstrukturierter Berechtigungen hat sich von einer technischen Administrationsaufgabe zu einer strategischen Management-Herausforderung entwickelt. Der Grund hierfür liegt in der zunehmenden regulatorischen Verantwortung von Unternehmensleitungen sowie in den erheblichen geschäftlichen, rechtlichen und operativen Risiken, die aus unkontrollierten Zugriffsrechten auf unstrukturierte Daten entstehen können. 

Organisationen müssen deshalb in der Lage sein: 

• Kritische Datenbestände zu identifizieren  
• Verantwortlichkeiten festzulegen  
• Zugriffe nachvollziehbar zu dokumentieren  
• Berechtigungen regelmäßig zu überprüfen  
• Unangemessene Zugriffe zeitnah zu entfernen 

Diese Entscheidungen können weder automatisiert noch ausschließlich durch die IT getroffen werden, sondern erfordern die aktive Mitwirkung von Management, Fachbereichen, Informationssicherheit, Compliance und Datenschutz. Die nachhaltige Reduzierung von Berechtigungsrisiken gelingt nur dann, wenn Management und Fachbereiche die Verantwortung für ihre Datenbestände übernehmen und entsprechende Governance-Prozesse etablieren. 

Für Unternehmen im regulierten Umfeld ergeben sich umfangreiche Anforderungen aus nationalen und europäischen Regulierungen.  

Darüber hinaus gewinnen die Anforderungen für Betreiber Kritischer Infrastrukturen (KRITIS) und für die deutlich erweiterte Gruppe der von NIS2 erfassten wesentlichen und wichtigen Einrichtungen zunehmend an Bedeutung. 

Organisationen aus Sektoren wie Energie, Wasser, Gesundheitswesen, Finanz- und Versicherungswesen, Transport und Verkehr, Telekommunikation, digitale Infrastruktur sowie öffentliche Verwaltung müssen nachweisen, dass sie angemessene technische, organisatorische und Governance-bezogene Maßnahmen zum Schutz ihrer Informationswerte etabliert haben. Hierzu gehört insbesondere die Kontrolle und Überwachung von Zugriffsrechten auf sensible und geschäftskritische Informationen.

Die Aufsichtsbehörden fordern nicht die perfekte Berechtigungsstruktur, sondern die Fähigkeit eines Unternehmens, jederzeit nachweisen zu können, welche Personen Zugriff auf kritische Informationen besitzen, warum dieser Zugriff erforderlich ist, wer ihn genehmigt hat und wie seine fortlaufende Angemessenheit überprüft wird. Genau dieser Nachweis stellt bei unstrukturierten Berechtigungen heute die größte Herausforderung dar.  

Unternehmen müssen zunächst Transparenz über ihre unstrukturierten Datenbestände und die darauf bestehenden Zugriffsrechte herstellen.

Regulatorische Prüfungen erwarten zunehmend den Nachweis, dass Unternehmen: 

• kritische und sensible Informationsbestände identifiziert haben
• Verantwortlichkeiten für Datenbestände eindeutig festgelegt haben
• die Vergabe von Zugriffsrechten auf dokumentierten Regeln basiert
• übermäßige oder veraltete Berechtigungen regelmäßig erkennen und entfernen
• periodische Rezertifizierungen von Zugriffsrechten durchführen
• privilegierte oder besonders kritische Berechtigungen gesondert überwachen
• Änderungen an Berechtigungen revisionssicher dokumentieren
• die Wirksamkeit ihrer Berechtigungskontrollen regelmäßig überprüfen. 

Darüber hinaus müssen Unternehmen nachweisen können, dass ausgeschiedene Mitarbeitende, Rollenwechsel oder organisatorische Veränderungen zeitnah in den Berechtigungsstrukturen berücksichtigt werden. Besonders im Rahmen von DORA, NIS2 und KRITIS-Prüfungen gewinnt die Fähigkeit an Bedeutung, gegenüber Aufsichtsbehörden oder Auditoren jederzeit belastbare Auswertungen über bestehende Zugriffsrechte vorlegen zu können. 

All diese Themen sind aus dem IAM-Einführungsprojekt bekannt, das sich bisher meist auf den Umgang mit strukturierten Berechtigungen in Anwendungs- und Verzeichnissystemen beschränkt hat. Nun treten die unstrukturierten Berechtigungen vermehrt in den Fokus der Aufsichtsbehörden.  

Die ersten Fragestellungen sind daher:  

1. Kann das Unternehmen mit der vorhandenen IAM-Lösung Informationen zu den unstrukturierten Berechtigungen aus den beteiligten Systemen überhaupt technisch auslesen, d.h. wie weit reicht die Administrationstiefe der eingesetzten IAM-Lösung?  
2. Ist vielleicht eine Erweiterung der IAM-Lösung erforderlich?
3. Wie gut gelingt dann die Integration in die bereits eingeführten IAM-Prozesse? 

Die Modellierung von Business-Rollen stellt einen zentralen Ansatz zur Beherrschung unstrukturierter Berechtigungen dar, da sie die Vergabe von Zugriffsrechten von individuellen Benutzerentscheidungen auf standardisierte, fachlich begründete Rollen verlagert. Anstatt Berechtigungen direkt einzelnen Personen zuzuweisen, werden Zugriffsrechte auf Basis von Funktionen, Verantwortlichkeiten und organisatorischen Aufgaben gebündelt und über definierte Business-Rollen vergeben. 

Gerade bei unstrukturierten Daten entstehen Berechtigungsprobleme häufig durch historisch gewachsene Einzelberechtigungen, spontane Freigaben, organisatorische Veränderungen sowie fehlende Transparenz über tatsächliche Zugriffsbedarfe. Die Folge sind übermäßige Berechtigungen, inkonsistente Zugriffsstrukturen und ein hoher manueller Verwaltungsaufwand.  

Business-Rollen schaffen hier einen standardisierten Ordnungsrahmen, der sowohl die Nachvollziehbarkeit als auch die Steuerbarkeit von Zugriffsrechten verbessert. Oft genügen in einem standardisierten Modell pro abzusicherndem Datenbereich (Shares auf File Server, Sharepoint-Sites, Confluence-Bereiche) zwei bis drei Rollen, die die Zugriffe steuern, beispielsweise:

Alternativ kann per Role Mining die vorhandene Berechtigungsstruktur eines Datenbereichs auf Gemeinsamkeiten hin analysiert werden. Dies kann zu einer besseren, schlankeren Rollenstruktur führen, bspw. wenn Mitarbeitende eines Fachbereichs für ihre tägliche Arbeit Zugriff auf mehrere Datenbereiche benötigen. In diesem Fall werden die nötigen Berechtigungen in eine einzelne Business-Rolle gebündelt, anstatt granular pro Datenbereich Business-Rollen zu modellieren. 

Die technische Einführung eines Rollenmodells ist häufig einfacher als die organisatorische Umsetzung. Wichtig ist, dass die abzusichernden Datenbereiche keine nach Verantwortung, Informationseigentum und Schutzklasse gemischten Daten enthalten. Hier ist ggf. eine inhaltliche Neustrukturierung voranzuschalten. 

Die Business-Rollenmodellierung löst das Problem unstrukturierter Berechtigungen nicht automatisch. Eine besondere Herausforderung besteht darin, dass in den gängigen IT-Systemen der Owner eines Datenbereichs sehr umfangreiche Möglichkeiten zur eigenständigen Berechtigungsvergabe hat. Gleichzeitig stammt der Owner meist nicht aus der IT, sondern ist eine verantwortliche Person aus einem Fachbereich. Diese Flexibilität der eingetragenen Owner ist in Organisationen oft gewünscht.  

Mit der Einführung einer Berechtigungsvergabe auf Rollenbasis über das IAM-System muss den Kolleg:innen aus den Fachbereichen die – technische – Ownership entzogen und auf eine technische Identität übertragen werden, mit der das IAM-System agiert. Nur so ist sichergestellt, dass Berechtigungen ausschließlich über das vorgesehene Rollenmodell und über das IAM-System verteilt werden können.  

Da die Bereinigung unstrukturierter Berechtigungen häufig etablierte Arbeitsweisen verändert, muss sie durch ein Veränderungsmanagement begleitet werden, um Akzeptanz, Transparenz und Mitwirkung der Betroffenen zu fördern. 

Die Governance unstrukturierter Berechtigungen ist längst kein Randthema der IT mehr. Unstrukturierte Berechtigungen entwickeln sich von einem technischen Administrationsproblem zu einer Management- und Governance-Aufgabe. 

DORA, NIS2, DSGVO und weitere regulatorische Anforderungen erhöhen den Druck auf Unternehmen, Transparenz über ihre Informationsbestände und Zugriffsrechte herzustellen. Gleichzeitig bieten sie die Chance, historisch gewachsene Berechtigungsstrukturen zu modernisieren und nachhaltige Governance-Prozesse zu etablieren. 

Unternehmen, die Transparenz, Business-Rollenmodellierung, Data Ownership, Rezertifizierung und Automatisierung miteinander verbinden, reduzieren nicht nur regulatorische Risiken, operativen Aufwand und Komplexität. Sie schaffen zugleich die Grundlage für ein zukunftsfähiges Identity & Access Management, eine höhere Informationssicherheit und eine bessere Operational Resilience. 

Die IPG unterstützt regulierte Unternehmen dabei, unstrukturierte Berechtigungen transparent zu machen, regulatorische Risiken zu bewerten und tragfähige Governance- sowie Access-Governance-Modelle zu etablieren. Der Austausch über den individuellen Reifegrad und mögliche Handlungsfelder kann dabei einen wertvollen Ausgangspunkt für die Entwicklung einer nachhaltigen IAM- und Datenzugriffsstrategie bilden. 

Verwaltung unstrukturierter Berechtigungen ist die Basis für eine sichere IT-Landschaft. Wir unterstützen Sie dabei, historisch gewachsene Berechtigungsstrukturen zu modernisieren, Ownership-Modelle zu etablieren und Ihre Verwaltungsprozesse zukunftsfähig zu machen. Lassen Sie uns gemeinsam schauen, wie Sie Ihr Berechtigungsmanagement effizient und regelkonform gestalten können. Buchen Sie jetzt Ihren Beratungstermin!

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.