Berechtigungen die KI regelmäßig aufräumt.
Über die Jahre wachsen Berechtigungen in jedem Unternehmen wie Unkraut. Ein Mitarbeiter wechselt die Abteilung und behält die alten Rechte zusätzlich zu den neuen. Ein Projekt endet, der Sammelordner-Zugang bleibt. Ein Dienstleister bekommt für eine Woche Zugriff, der nie wieder entzogen wird. Das Ergebnis nennt man Privilege Creep: Über die Zeit häufen Konten weit mehr Rechte an, als ihre Inhaber je brauchen — und genau diese überzogenen Rechte sind das Einfallstor, das Angreifer und Innentäter ausnutzen. Die regelmäßige Rezertifizierung, also das periodische Bestätigen, wer was darf, ist gesetzlich und in Audits gefordert, aber für die Verantwortlichen eine ungeliebte Pflicht. KI kann diesen Prozess deutlich entlasten, indem sie überzogene, verwaiste und gefährlich kombinierte Rechte aufspürt und der Führungskraft eine vorgefilterte Entscheidungsgrundlage liefert. Dieser Beitrag zeigt, wie das praktisch funktioniert, welcher Nutzen realistisch ist und wo die Grenzen liegen.
Warum Berechtigungen unweigerlich aus dem Ruder laufen.
Berechtigungen werden vergeben, weil jemand sie braucht — und fast nie wieder entzogen, weil niemand sich zuständig fühlt, das Wegnehmen zu veranlassen. Diese Asymmetrie ist der Kern des Problems. Rechte zu erteilen löst eine konkrete Anfrage, Rechte zu entziehen löst nichts Sichtbares und birgt das Risiko, jemandem versehentlich die Arbeit zu blockieren. Also bleiben sie.
Verstärkt wird das durch Abteilungswechsel, Projektarbeit, Vertretungsregelungen und externe Zugänge. Über Jahre entsteht ein Geflecht, das niemand mehr vollständig überblickt. In größeren Mittelständlern sind Tausende von Konten mit jeweils Dutzenden bis Hunderten von Einzelberechtigungen keine Seltenheit.
Die Sicherheitslogik dahinter ist das Prinzip der minimalen Rechtevergabe — Least Privilege. Jeder soll nur das dürfen, was er für seine Aufgabe braucht. Je weiter die Realität von diesem Ideal abweicht, desto größer die Angriffsfläche: Ein kompromittiertes Konto mit überzogenen Rechten richtet weit mehr Schaden an als eines, das nur das Nötigste darf.
Was KI in einem Berechtigungsbestand sichtbar macht.
Die manuelle Prüfung scheitert an der Masse. Eine Führungskraft, die hundert Berechtigungen ihrer Mitarbeiter bestätigen soll, klickt nach kurzer Zeit reflexhaft auf „bestätigen“ — das berüchtigte Rubber Stamping, das die Rezertifizierung wertlos macht. Hier setzt KI an, indem sie die Masse vorsortiert und nur die wirklich klärungsbedürftigen Fälle nach vorne holt:
- Verwaiste Konten: Zugänge ohne erkennbaren aktiven Nutzer — ausgeschiedene Mitarbeiter, alte Test- oder Dienstkonten.
- Überzogene Rechte: Berechtigungen, die im Vergleich zu Kollegen mit gleicher Rolle auffällig aus dem Rahmen fallen.
- Verwaiste Berechtigungen: Rechte, die seit Monaten oder Jahren nicht mehr genutzt wurden.
- Toxische Kombinationen: Rechtepaare, die einzeln harmlos sind, zusammen aber eine Funktionstrennung verletzen — etwa wer eine Zahlung anlegen und zugleich freigeben kann.
Der entscheidende Mechanismus dahinter heißt Peer-Group-Analyse: Die KI lernt, welche Rechte für eine bestimmte Rolle typisch sind, und markiert Ausreißer. Wer als Einziger in seiner Gruppe ein bestimmtes Recht hat, ist nicht automatisch falsch — aber es lohnt sich, genau hinzuschauen.
Toxische Kombinationen und Funktionstrennung.
Die gefährlichsten Risiken stecken selten in einer einzelnen Berechtigung, sondern in ihrer Kombination. Die Funktionstrennung — im Fachjargon Segregation of Duties — verlangt, dass kritische Vorgänge auf mehrere Personen verteilt sind. Wer Lieferanten anlegen und zugleich Zahlungen freigeben kann, könnte allein einen fingierten Lieferanten bezahlen. Wer Code in die Produktion bringen und zugleich die Protokolle verändern kann, kann Spuren verwischen.
Solche Kombinationen sind in einem gewachsenen Rechtebestand schwer von Hand zu finden, weil sie sich über verschiedene Systeme verteilen können — das eine Recht im ERP, das andere im Buchhaltungstool. Genau hier ist die systemübergreifende Sicht der KI wertvoll: Sie kann Regeln für unzulässige Kombinationen hinterlegen und den gesamten Bestand laufend dagegen prüfen.
Wichtig ist die ehrliche Einordnung: Welche Kombinationen als „toxisch“ gelten, ist eine fachliche und regulatorische Festlegung, die das Unternehmen treffen muss — die KI setzt sie durch, definiert sie aber nicht. Eine gute Umsetzung erlaubt zudem begründete Ausnahmen, etwa in sehr kleinen Teams, in denen eine vollständige Trennung gar nicht möglich ist und stattdessen kompensierende Kontrollen greifen.
Wie die Rezertifizierung tatsächlich entlastet wird.
Der eigentliche Gewinn liegt darin, die periodische Bestätigung vom stumpfen Massengeschäft zur gezielten Prüfung zu machen. Statt der Führungskraft hundert gleichwertige Häkchen vorzulegen, präsentiert das KI-gestützte System eine priorisierte Liste:
| Kategorie | Empfehlung des Systems | Aufwand für die Führungskraft |
|---|---|---|
| Eindeutig korrekt (Rolle passt, aktiv genutzt) | Sammelbestätigung vorgeschlagen | gering |
| Auffällig (Ausreißer, lange ungenutzt) | einzeln prüfen, mit Begründung | mittel |
| Risiko (verwaist, toxische Kombination) | Entzug empfohlen | fokussiert |
So konzentriert sich die Aufmerksamkeit auf die wenigen Prozent der Fälle, die wirklich zählen. Die Bearbeitungszeit pro Rezertifizierungslauf lässt sich auf diese Weise oft spürbar reduzieren — eine Bandbreite von 30 bis 60 Prozent weniger Aufwand ist in der Praxis realistisch, abhängig davon, wie sauber der Ausgangsbestand und wie gut die Rollenmodelle sind. Mindestens ebenso wichtig wie die Zeitersparnis ist die Qualität: Echte Risiken werden seltener übersehen, weil sie nicht mehr in der Masse untergehen.
Was sich für Audit und Compliance verbessert.
Zugriffsrechte sind ein zentrales Prüffeld in IT- und Wirtschaftsprüfungs-Audits. Prüfer wollen sehen, dass es einen geregelten Prozess gibt, dass er regelmäßig läuft und dass er dokumentiert ist. Genau diese Nachweisführung erleichtert ein KI-gestütztes System erheblich.
Jede Entscheidung — bestätigt, entzogen, mit Begründung als Ausnahme belassen — wird protokolliert. Daraus entsteht eine lückenlose Historie, die im Audit als Beleg dient, statt mühsam aus E-Mails und Tabellen zusammengesucht zu werden. Auch die regelmäßige, nachvollziehbare Durchführung der Rezertifizierung selbst wird damit prüffest dokumentiert.
Eine realistische Einschränkung gehört dazu: Ein Audit prüft nicht nur, ob ein Tool läuft, sondern ob der Prozess gelebt wird. Wenn Führungskräfte die Vorschläge der KI weiterhin blind durchwinken, ist auch das beste System wertlos. Die Technik schafft die Voraussetzung für eine gute Rezertifizierung, sie ersetzt nicht die Sorgfalt der Entscheider.
Grenzen, Fehlsignale und der Faktor Mensch.
Drei Grenzen sind für ein ehrliches Bild wichtig. Erstens die Datenqualität der Rollenmodelle. Die Peer-Group-Analyse ist nur so gut wie die zugrunde liegende Organisationsstruktur. Wenn Rollen unsauber definiert sind oder Menschen in mehreren Funktionen arbeiten, produziert das System mehr Fehlsignale.
Zweitens das Risiko von Fehlentzügen. Ein Recht, das selten, aber für einen wichtigen Ausnahmefall gebraucht wird, kann fälschlich als ungenutzt erscheinen. Wird es entzogen, fällt das oft erst im kritischen Moment auf. Deshalb sollte jeder automatische Entzug eine Übergangsfrist und einen einfachen Wiederherstellungsweg haben.
Drittens bleibt die Verantwortung beim Menschen. Die KI darf priorisieren, vorschlagen und dokumentieren — die Entscheidung über sensible Rechte trifft die Führungskraft oder der Sicherheitsverantwortliche. Gerade bei hochprivilegierten Administrationskonten ist menschliche Bestätigung unverzichtbar. KI macht den Prozess effizienter und gründlicher, sie nimmt die Verantwortung nicht ab.
Einstieg, Anbindung und realistischer Aufwand.
Ein sinnvoller Einstieg beginnt mit den kritischsten Systemen — meist dort, wo finanzielle oder personenbezogene Daten liegen — und mit den hochprivilegierten Konten. Dort ist das Risiko am größten und der Nutzen am schnellsten sichtbar. Eine schrittweise Ausweitung auf weitere Systeme folgt, sobald die Anbindung steht.
Technisch braucht es Anbindung an die führenden Identitätsquellen — Verzeichnisdienst, ein eventuell vorhandenes Identity-Management, die kritischen Fachanwendungen. Wo bereits ein IAM-System existiert, ist der Aufwand geringer; wo Rechte über viele isolierte Systeme verstreut sind, ist die Anbindung die eigentliche Arbeit.
Für einen ersten Anwendungsfall im Mittelstand liegt der Einrichtungsaufwand häufig im Bereich von 30.000 bis 80.000 Euro, abhängig von Zahl und Zustand der angebundenen Systeme. Diese Werte sind Richtgrößen, keine festen Preise. Der Nutzen entsteht doppelt: aus der reduzierten Angriffsfläche, die sich schwer in Euro beziffern lässt, aber im Schadensfall den Unterschied macht, und aus dem konkret eingesparten Aufwand bei jeder Rezertifizierungsrunde. Wer regelmäßig auditiert wird, rechnet zusätzlich die ruhigere, besser belegte Prüfung mit ein.
Sie wollen Ihre Zugriffsrechte aufräumen und die Rezertifizierung entlasten, ohne dabei versehentlich jemandem die Arbeit zu blockieren? Unverbindlich anfragen — wir schauen gemeinsam auf Ihre kritischen Systeme, die Rollenmodelle und den Rezertifizierungsprozess und legen einen pragmatischen Einstieg fest.