Rollenmodell im Mittelstand: Wie Sie Rechte, Verantwortlichkeiten und Prozesse in der IT endlich klar regeln

In vielen mittelständischen Unternehmen ist das Berechtigungsmanagement historisch gewachsen und heute kaum noch beherrschbar. Dauer-Admins, Schattenrechte und aufwendige Audits sind die Folge. Ein sauberes Rollenmodell in der IT (RBAC) schafft Klarheit: Wer darf was, warum und wie lange?

1. Alltag im Mittelstand: „Gib ihm halt Admin, sonst geht’s nicht“

Die Szene kennen viele Geschäftsführer und IT-Leiter aus Unternehmen in Südostbayern, von Mühldorf bis Waldkraiburg

• Neuer Mitarbeiter startet – die IT vergibt „erstmal Admin“, damit alles schnell läuft
• Projektmitarbeiter bekommen zusätzliche Rechte – die nach Projektende nie wieder entzogen werden
• Ein langjähriger IT-Admin verlässt das Unternehmen – und niemand weiß genau, welche Vollzugriffe er hatte

Die Folgen:

• Sicherheitsrisiken: Übermächtige Konten sind ein ideales Einfallstor für Angreifer
• DSGVO- und Compliance-Risiken: Zugriff auf personenbezogene Daten ist kaum sauber nachweisbar
• Teure Audits: Interne Revision, ISO 27001 oder Wirtschaftsprüfer machen Berechtigungen zur Detektivarbeit
• Abhängigkeit von Einzelpersonen: Wissen steckt in Köpfen, nicht in klaren Prozessen

Die gute Nachricht: Ein strukturiertes Rollenmodell (rollenbasierte Zugriffskontrolle – RBAC) reduziert Komplexität und macht Ihr Berechtigungsmanagement beherrschbar.

2. Warum Berechtigungen ohne Modell ausufern

In vielen KMU ist das Berechtigungskonzept historisch gewachsen

• Neue Systeme wurden „schnell“ angebunden
• Einzelrechte wurden direkt auf Benutzer vergeben
• Entscheidungen fielen situativ: „Der braucht das halt“

Typische Symptome:

• Dauer-Admins & Schattenrechte – ehemalige Projektrollen bleiben aktiv, lokale Adminrechte auf Clients werden nie entfernt, alte Gruppen sind noch zugewiesen
• Geteilte Konten – gemeinsame Postfächer oder „Service“-Konten, deren Passwort im Team bekannt ist
• Unübersichtliche File-Server & M365-Gruppen – Ordnerstrukturen, SharePoint-Sites und Teams wurden über Jahre erweitert, ohne Governance
• Unklare Zuständigkeiten – Fachbereich, IT, HR, Geschäftsführung – wer genehmigt eigentlich welche Zugriffe

Damit steht jedes Zero-Trust- oder KI-Vorhaben auf wackeligen Füßen: Ohne klar geregelte Rollen lässt sich Ihre IT weder sicher noch automatisiert betreiben. Warum das so ist, haben wir u. a. in unserem Beitrag „Zero Trust im Mittelstand: So gelingt die sichere IT-Zukunft 2025“ beschrieben.

3. Grundlagen: Was ist ein Rollenmodell (RBAC)?

Ein Rollenmodell in der IT ist ein strukturiertes Berechtigungskonzept, bei dem Benutzer nicht mehr direkt Rechte erhalten, sondern Rollen. Die Rollen enthalten die Rechte.

RBAC (Role-Based Access Control) funktioniert vereinfacht so

• Rolle: „IT-Helpdesk“, „HR-Standard-User“, „Finanzleiter“
• Rolle hat Rechte: Zugriffe auf Systeme, Ordner, Anwendungen, Admin-Oberflächen
• Benutzer hat Rollen: Durch Zuordnung zu Rollen erhält der Benutzer automatisch die definierten Berechtigungen

Statt eines „Rechte-Sammelsuriums“ je Benutzer entsteht eine strukturierte Rollenmatrix.

Leitprinzipien eines guten Rollenmodells

• Least Privilege Prinzip – jeder Nutzer erhält nur die minimal notwendigen Rechte, um seine Aufgabe zu erfüllen
• Need-to-Know – Zugriff nur, wenn ein fachlicher Bedarf nachweisbar ist
• Segregation of Duties (SoD) – kritische Funktionen werden getrennt, wichtig für ISO 27001 und interne Kontrollen
• Nachvollziehbarkeit – es ist jederzeit erkennbar, wer welche rechtekritische Rolle erhalten hat, wer genehmigt hat und wann geprüft wurde

Im Unterschied zu rein technikgetriebenen Einzelentscheidungen verbindet ein Rollenmodell Governance, Prozesse und Technik – genau hier setzt ein IT-Dienstleister wie wir an.

4. Was ein Rollenmodell im Mittelstand konkret leistet

Ein praxistaugliches Rollenmodell für den Mittelstand bringt vier zentrale Vorteile

• Klarheit & Verantwortlichkeit – Rollen sind klar beschrieben und Verantwortliche für Genehmigung und Kontrolle sind definiert
• Sicherheit & Compliance – reduzierte Angriffsfläche durch weniger Vollrechte und besser nachweisbare DSGVO- und ISO-27001-Konformität
• Effizienz im Tagesgeschäft – Onboarding per Rollenzuweisung statt Einzelrechte, Rollenwechsel über befristete Zusatzrollen, Offboarding mit System
• Basis für Automatisierung & Modern Workplace – in Microsoft 365, Entra ID und Intune können Rollen direkt für automatische Bereitstellung genutzt werden

Mehr dazu in unseren Beiträgen zu Microsoft Entra ID und Microsoft Intune

5. Referenz-Rollenkatalog für KMU

Ein Auszug aus einer Rollenmatrix IT (Kurzform)

• Geschäftsführung – Strategie, Freigabe Richtlinien; typische Rechte: Leserechte auf Berichte, KPIs; Absicherung: MFA, vertrauenswürdige Geräte; Rezertifizierung: 180 Tage
• IT-Leitung – IT-Governance, Freigaben, Prozesse; typische Rechte: Verwalten von Rollen & Policies, temporäre Adminrechte; Absicherung: Admin-Konto + PAW, starke MFA, CA; Rezertifizierung: 90 Tage
• System-/Workload-Admins – Betrieb von Systemen; typische Rechte: fachlich getrennte Adminrollen; Absicherung: PAW, Just-in-Time, Protokollierung; Rezertifizierung: 90 Tage
• Helpdesk / Service-Desk – 1st/2nd-Level Support; typische Rechte: Passwort-Resets, Gerätewechsel, Basislizenzvergabe; Absicherung: MFA, limitierte Helpdesk-Rollen; Rezertifizierung: 90 Tage
• Security-Verantwortliche / ISB – Sicherheitsüberwachung, Vorfälle; typische Rechte: Leserechte auf Logs, Security-Dashboards; Absicherung: PAW, starke MFA, Monitoring; Rezertifizierung: 90 Tage
• Abteilungsadmins (HR, Finance…) – lokale Freigaben, Pflege in Fachbereichen; typische Rechte: Verwaltung eigener Teams/Ordner; Absicherung: Protokollierung, befristete Zusatzrechte; Rezertifizierung: 90 Tage
• Power User – Self-Service, Multiplikatoren; typische Rechte: erweiterte Self-Service-Funktionen; Absicherung: MFA, Monitoring; Rezertifizierung: 180 Tage
• Standard User – Tagesgeschäft; typische Rechte: Standard-Tools, keine Adminrechte; Absicherung: MFA, Geräte-Compliance; Rezertifizierung: 180 Tage
• Externe / Partner – Projektarbeit; typische Rechte: Projektgruppen, definierte Freigaben; Absicherung: Ablaufdatum, separate Policies, B2B; Rezertifizierung: 30 Tage
• Notfallkonten („Break-Glass“) – Einsatz nur im Notfall; typische Rechte: hochkritische Rechte; Absicherung: spezielle Regeln, strenge Protokolle; Rezertifizierung: 30–90 Tage inkl. Test

6. Passende Policies & Kontrollen zum Rollenmodell

Ein Rollenmodell ohne flankierende Policies bleibt theoretisch. Typische Kontrollmechanismen:

• Zugriff nur bei erfüllten Mindestbedingungen – MFA für alle Konten, Conditional-Access-Regeln, Risiko-basierte Zugriffe
• Trennung von Admin- und Arbeitskonten – jeder Admin hat ein normales Benutzerkonto und ein separates Adminkonto!
• Protokollierung & Alarmierung – Aktivitäten von Adminrollen werden zentral geloggt und es gibt Alerts bei ungewöhnlichen Aktionen
• Standardlaufzeiten & automatische Entzüge – Projekt- oder Sonderrollen haben ein Ablaufdatum und Rezertifizierungen erinnern Verantwortliche an fällige Prüfungen

Für Sonderrollen lohnt sich eine Kombination mit DLP-Regeln, wie im Beitrag Data-Loss-Prevention mit Microsoft Purview beschrieben.

7. Prozesse: Onboarding, Rollenwechsel, Offboarding, Rezertifizierung

Ein Rollenmodell entfaltet seinen Nutzen erst mit klaren Prozessen

Onboarding

• HR erfasst neue Mitarbeiter mit Eintrittsdatum und Funktion
• Fachbereich legt fest, welche Standardrollen benötigt werden
• IT ordnet die Rollen im Identitätssystem (z. B. Entra ID, DC) zu
• Workflows erstellen Postfach, Teams, SharePoint-Zugriffe, Applikationszugänge

Rollenwechsel

• Zusätzliche Rolle wird beantragt
• Fachvorgesetzter und ggf. IT-Leitung genehmigen
• Rolle wird mit Ablaufdatum vergeben

Offboarding

• HR meldet Austritt oder Wechsel
• IT entzieht alle Rollen, sperrt Konten und regelt Datenübernahme/Archivierung
• Sonderkonten, Adminrechte und externe Zugänge werden explizit überprüft

Rezertifizierung

• In definierten Intervallen wird geprüft ob Benutzer noch die richtigen Rollen haben
• Temporäre Rollen werden auf Ablauf geprüft
• Rollen ohne eindeutigen Verantwortlichen werden identifiziert

Ein durchgängiger, sauber dokumentierter Prozess ist für IT-Compliance und Audits entscheidend – hier unterstützen wir Unternehmen dabei, die richtigen Schnittstellen zwischen IT, HR, Fachbereichen und Geschäftsführung zu definieren.

8. Technische Bausteine: Microsoft 365, Entra ID & Co.

• Zentrale Identität (Entra ID/AD) – Single Source of Truth für Benutzer, Gruppen und Rollen
• Gruppen als Rollenträger – konsistente Namenskonventionen wie ROL_IT-Admin_Exchange oder ROL_HR-User
• Protokollierung & Monitoring – Microsoft Defender, M365-Audit-Logs und Reporting zur Überwachung
• Admin-Arbeitsplätze (PAW) – getrennte, gehärtete Admin-Umgebungen für kritische Rollen

Details zu Entra ID finden Sie in Microsoft Entra ID: Zukunftssicheres Identitätsmanagement für moderne Unternehmen

9. Kennzahlen zur Steuerung & kontinuierlichen Verbesserung

Bewährte KPIs sind

• Anteil von zeitlich befristeten Rechten im Vergleich zu Dauerrechten
• Durchschnittliche Dauer von Rechte-Elevation (Beantragung → Genehmigung → Vergabe)
• Quote fristgerecht rezertifizierter Rollen und Sonderrechte
• Zeit vom Austritt bis zum vollständigen Offboarding
• Anzahl und Schwere von Audit-Feststellungen im Bereich Berechtigungen
• Veränderungen bei Sicherheitsvorfällen mit Bezug auf Berechtigungen

Diese Kennzahlen lassen sich mit Bordmitteln von Microsoft 365 sowie ergänzenden Tools erheben und regelmäßig reviewen.

10. Typische Fehler – was Sie vermeiden sollten

• „Super-User“-Rollen mit viel zu breiten Rechten
• Dauerhafte Vollrechte ohne zeitliche Begrenzung oder Rezertifizierung
• Geteilte Konten für kritische Tätigkeiten
• Papier-Rollenmodelle, die nie technisch umgesetzt wurden
• Notfall-Abkürzungen wie Break-Glass-Konten, die nicht dokumentiert oder geprüft werden

Ein gutes Rollenmodell ist immer lebendig: Es wird gepflegt, geprüft und an neue Prozesse, Systeme und regulatorische Anforderungen angepasst.

11. Fazit & nächster Schritt mit Salfer

Ein sauber entworfenes Rollenmodell bündelt Verantwortlichkeiten, reduziert überflüssige Rechte und macht IT-Prozesse vom Onboarding bis zum Audit kontrollierbar. Es ist die Grundlage für sichere Modern-Workplace-Umgebungen mit Microsoft 365, Zero-Trust-Architekturen und automatisierte Workflows.

Als IT-Dienstleister unterstützen wir mittelständische Unternehmen in Südostbayern und darüber hinaus von der Analyse über das Design bis zur technischen Umsetzung und dem Managed Betrieb. Dabei bauen wir auf Bausteine wie Entra ID, AD, Intune, Conditional Access, Defender 

Weiterführende Beiträge

• Zero Trust im Mittelstand: So gelingt die sichere IT-Zukunft 2025
• Microsoft Entra ID: Zukunftssicheres Identitätsmanagement für moderne Unternehmen
• Conditional Access in Microsoft 365: So schützen mittelständische Unternehmen effektiv ihre Daten
• Data-Loss-Prevention mit Microsoft Purview in Microsoft 365 — Praxisleitfaden für den Mittelstand

Wenn Sie Ihr Berechtigungskonzept modernisieren und in 90 Tagen zu einem praxistauglichen Rollenmodell kommen möchten, sprechen Sie uns an

Zum Blog und Kontaktmöglichkeiten