Access-Matrix vs. RBAC: Was passt zu deiner Wachstumsphase?

Eine direkte Matrix (Person × System) funktioniert bis ca. 30 Mitarbeitende. Danach steigst du auf rollenbasierte Rechtevergabe um. Hier siehst du, wann der Wechsel sinnvoll ist – und wie du ihn ohne Big-Bang umsetzt.

Eine Access-Matrix ist dein Ausgangspunkt. RBAC ist das Ziel. Wann machst du den Wechsel?

Anzeichen, dass deine Matrix aus den Nähten platzt

• Du hast > 25 Mitarbeitende – jede Tabellen-Aktualisierung dauert 20 Minuten.
• Neue Mitarbeitende bekommen jedes Mal dieselben Berechtigungen – du kopierst nach Rolle.
• Bei einem Review entscheidest du in 80 % der Fälle: „beibehalten, wie bei den anderen im Vertrieb".
• Ein Compliance-Audit steht an und du möchtest Muster nachweisen können.

Treffen 2 oder mehr dieser Punkte zu: Zeit für rollenbasiertes Arbeiten.

Wie wechselst du ohne Unterbrechung?

1. Lass die bestehende Matrix aktiv. Du wirfst sie nicht weg.
2. Definiere deine Rollen auf Basis dessen, was du in der Matrix bereits siehst – nicht auf Basis einer theoretischen Idealwelt.
3. Weise Personen Rollen zu. Die Differenz zwischen dem, was die Rolle vorgibt, und dem, was jemand aktuell hat = Ausnahme, explizit dokumentiert.
4. Neue Mitarbeitende → über die Rolle. Bestehende Mitarbeitende → im Review-Zyklus angleichen (nicht auf einmal, sondern über 2 Quartale verteilt).

Was, wenn du M365 nutzt?

Dann haben deine Rollen bereits einen natürlichen Platz: Sicherheitsgruppen in Entra ID. Schau dir M365-Governance an, um zu sehen, wie du Gruppen ↔ AccessProfiles per Directory-Sync verknüpfst. Das ist die beste Kombination: Personen in Entra-Gruppen eintragen = Zugriff automatisch zuweisen.

Die Matrix bleibt die Validierungsschicht

Auch nach der Einführung von RBAC behältst du die Matrix. Rollen beschreiben den beabsichtigten Zugriff; die Matrix zeigt den tatsächlichen Zugriff. Im Review vergleichst du beides: Abweichungen sind die Stellen, die Aufmerksamkeit brauchen.