In wachsenden Firmen sind Benutzerkonten oft schneller angelegt als Prozesse sie wieder abbauen. Stark steigende Nutzung neuer Tools, Zuständigkeitswechsel im Team, Externe, die Zugänge erhalten, beendete Projekte, die liegenbleiben, und schon hat sich ein Flickenteppich aus Accounts, Gruppen und Sonderrechten gebildet. Das ist kein reines IT Ärgernis. Es ist ein Kostenfaktor und ein Risiko, weil falsche Berechtigungen direkt auf Daten und Systeme und Abläufe schlagen.
Wo Account Chaos entsteht und sich verselbständigt
Die meisten Probleme entstehen an drei Stellen. Beim Onboarding: Rechte werden nach Bauchgefühl vergeben, oft nach Jobtitel, nicht nach Aufgabe. Beim Rollenwechsel im Unternehmen bleiben alte Rechte bestehen, weil niemand den Abgleich macht. Beim Offboarding sind Konten zwar deaktiviert, werden aber nicht konsequent gelöscht, es bleiben API Keys, Gruppenmitgliedschaften und geteilte Postfächer bestehen.
Dazu kommt Tool Sprawl. CRM, Ticketing, Cloud Storage, Analytics, HR Systeme, Spezialsoftware, die alle haben ihre eigene Nutzerverwaltung, jede Plattform hat eigene Gruppenlogik. Wenn niemand mehr steuert, dann wächst die Komplexität ins Unendliche. An diesem Punkt wird eine saubere Benutzerverwaltung im Identity und Access Management zur Schaltstelle, weil sie Rollen, Lebenszyklen und Berechtigungen als System abbildet und nicht als Sammlung von Ausnahmeregelungen.
Kosten verursachen nicht nur Security Vorfälle. Ein Helpdesk, der überlastet ist, lange Onboardings, immer wiederkehrende Zugriffsprobleme und Audits, die mangels belastbarer Nachweise nicht funktionieren, sind messbare Produktivitätsverluste.
Die häufigsten „teuren“ Fehlerbilder
Der Klassiker: verwaiste Accounts. Externe Dienstleister haben noch Zugang, obwohl das Projekt längst vorbei ist. Oder interne Konten bleiben aktiv, wenn Mitarbeitende das Unternehmen verlassen, weil ihre Prozesse nicht sauber gekoppelt sind. Der zweite Klassiker: zu viele privilegierte Rechte. Admin Rechte werden vergeben, weil es so schnell geht. Danach wird das nicht mehr korrigiert.
Und Schatten IT. Teams legen sich selbst die Konten an, weil es schneller ist. Die IT erfährt davon erst, wenn ein Passwort nicht mehr da ist oder wenn ein Tool bezahlt werden muss. Dazu kommen noch die doppelten Identitäten: Nutzer registrieren sich mit privaten Mails in den SaaS Tools. Governance wird damit kaum möglich. Ein drittes Fehlerbild ist fehlende Nachvollziehbarkeit: Wer hatte wann Zugriff auf welche Ressource? Ist diese Frage nicht beantwortbar, wird jede Compliance Prüfung zum Hürdenlauf und jedes Incident Ticket zur Suche im Nebel.
Der Weg raus: Rollen, Lebenszyklen, Kontrollen
Wer Zugriffe dauerhaft stabilisieren will, braucht ein Modell, das sich im Alltag durchhalten lässt. Drei Prinzipien sind dafür zentral.
Erstens Rollen statt Einzelrechte. Rollenbasierte Zugriffskontrolle heißt, dass Berechtigungen an Funktionen hängen, nicht an Personen. Eine Rolle hat definierte Rechte, eine Person hat eine oder mehrere Rollen. Das reduziert den Dschungel der Sonderfälle. Es macht auch Änderungen leichter, weil Rollen einfach angepasst werden, nicht hunderte Nutzer einzeln.
Zweitens Least Privilege als Standard. Jede Rolle soll nur die Rechte erhalten, die zur Erledigung ihrer Aufgabe nötig sind. Das klingt theoretisch, ist aber ein klares Designkriterium in der Praxis. Wer eine Rolle nicht klein genug hält, erzeugt über kurz oder lang Admin Inflation. Das rächt sich in Phishing, in Malware, in Fehlbedienung.
Drittens ein sauberer Joiner Mover Leaver Prozess. Joiner ist Eintritt, Mover ist Rollenwechsel, Leaver ist Austritt. Jeder dieser Schritte muss eine definierte Kette haben. Auslöser ist bestenfalls ein HR Ereignis. Ergebnis ist ein nachweisbarer Zustand in allen Zielsystemen. Wer in HR und IT getrennt arbeitet, hat beim Offboarding meist große Lücken.
Rezertifizierung und Logging als Realitätstest
Selbst die besten Rollenmodelle kippen, wenn sie nicht geprüft werden. Rezertifizierung ist der Realitätstest. Verantwortliche bestätigen in festen Intervallen, dass ein Zugriff noch nötig ist. Das ist kein Selbstzweck. Es ist die einzige Methode, die schleichende Rechteakkumulation systematisch zu beenden.
Und dazu braucht es Logging, das nicht nur da ist, sondern auch wahrgenommen wird. Zentral wichtig sind Anmeldungen, Privileg Änderungen, Gruppenänderungen, Zugriff auf sensible Daten. Fehlende Signale dieser Art machen Security reaktiv.
Praktisch hilft es auch, sich eine Kennzahlensicht aufzubauen. Wie viele Admin Konten gibt es? Wie viele Konten sind länger als 90 Tage inaktiv? Wie lange dauert Onboarding bis zum Vollzugriff? Wie viele Zugriffs Tickets entstehen pro Monat? Diese Zahlen zeigen, wo es Probleme gibt.
