BG Beter Geregeld ICT
Toegangsbeheer · 3 min leestijd · 21 September 2025

Deine erste Zugriffsmatrix baust du in einem Nachmittag

Der einfachste Schritt im Zugriffsmanagement ist zugleich der wichtigste: Schreib einmal auf, wer worauf Zugriff hat. Hier ist das Rezept für eine funktionierende erste Version in vier Stunden.

Viele KMU steigen ins Zugriffsmanagement ein, indem sie sofort Tools vergleichen. Das ist der falsche erste Schritt. Fang mit einer Matrix an: einem einfachen Raster, auf dem du auf einen Blick siehst, wer worauf Zugriff hat. Bauzeit: ein Nachmittag – wenn du dem folgenden Rezept folgst.

Schritt 1: Liste der Personen (20 Minuten)

Öffne eine Tabellenkalkulation. Trage in Spalte A alle Personen auf der Gehaltsliste ein. Füge eine Spalte „Typ" hinzu: employee, contractor oder external (z. B. ein Steuerberater mit Zugriff auf Exact). Füge einen Status hinzu: aktiv, geplant, inaktiv.

Tipp: Starte aus deinem HR-System oder – falls du keins hast – aus der Liste deines Buchhaltungspakets. Vergiss ehemalige Mitarbeitende des letzten Jahres nicht. Die begegnen uns später als „verwaister Zugriff".

Schritt 2: Liste der Systeme (30 Minuten)

Jetzt die andere Achse: Welche Systeme verarbeiten sensible oder geschäftskritische Daten? Fang nicht mit allem an. Fang mit dieser Liste an:

  • E-Mail / Microsoft 365 / Google Workspace
  • Dein CRM (Salesforce, Pipedrive, HubSpot)
  • Buchhaltung (Exact, Moneybird, Twinfield, TeamLeader)
  • Cloud-Infrastruktur (AWS, Azure, GCP)
  • Code-Repositories (GitHub, GitLab, Bitbucket)
  • Password Vault (1Password, Bitwarden)
  • Kommunikation (Slack, Teams)
  • Dateispeicher (Dropbox, OneDrive, Google Drive)

Später erweiterst du auf Tier-2-Systeme (Design-Tools, Marketing-Tools, spezifische SaaS). Siehe auch: SaaS-Inventar erstellen.

Schritt 3: Fülle die Zellen aus (2 Stunden)

Für jede Kombination Person × System trägst du einen von vier Werten ein:

  • has_access — hat Zugriff, du bist sicher
  • no_access — kein Zugriff, du bist sicher
  • needs_review — unklar, muss geprüft werden
  • unknown — noch nie darüber nachgedacht

Versuche es zunächst aus dem Gedächtnis. Prüfe danach system­weise, was die Admin-Oberfläche anzeigt (siehe M365 Governance für die Vorgehensweise in Entra). Was du nicht weißt: needs_review. Damit füllst du später einen ganzen Nachmittag.

Schritt 4: Abweichungen markieren (30 Minuten)

Geh die Matrix einmal Zeile für Zeile durch. Frage dich bei jeder Zeile: „Hat diese Person Zugriff auf Systeme, die mich stutzig machen?" Typische Funde in einer ersten Matrix:

  • Jemand, der seit 8 Monaten nicht mehr im Unternehmen ist, steht noch auf has_access für Dropbox — Offboarding-Lücke
  • Die Marketing-Mitarbeiterin ist Global Admin in M365 „weil es praktisch war" — siehe Least Privilege
  • Dein externer Steuerberater hat Zugriff auf eine HR-Mailbox, die nicht in den Scope gehört — klassifiziere das als Privileged Access

Von der Tabelle zum Tool

Nach ein paar Monaten merkst du, dass die Tabelle außer Kontrolle gerät: Versionen in E-Mails, Reiter pro Jahr, niemand weiß welche die aktuelle ist. Das ist der Moment, ein Tool einzusetzen. Beginne mit etwas, das dieselbe Struktur hat (Person × System × Status + Notiz) – wie AccessGuard –, damit du nicht von vorne anfangen musst.

Deine erste Matrix kannst du in der öffentlichen Demo live erleben – mit 6 Mitarbeitenden × 6 Systemen und 2 automatisch gekennzeichneten Risiken.

Onderwerpen

#mkb #start-hier #iam #access-matrix #getting-started

Volledige gids: Control de accesos para pymes: la guía completa (2026)

Dit artikel is onderdeel van onze uitgebreide Toegangsbeheer-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Toegangsbeheer

Zugangsverwaltung für KMU: der vollständige Leitfaden (2026)

Von der ersten Zugriffsmatrix über regelmäßige Reviews bis hin zu Directory-Sync — alles, was du wissen musst, wenn dein Unternehmen über 10 Personen hinauswächst, aber noch keine IT-Abteilung hat.

3 min
Toegangsbeheer

SaaS-Inventar erstellen: Was läuft eigentlich in deinem Unternehmen?

Das durchschnittliche KMU hat 47 aktive SaaS-Abonnements. Die Hälfte kennt niemand. Ohne Inventar ist kein vernünftiges Zugriffsmanagement möglich – denn man weiß nicht, welche Türen man überhaupt prüfen muss.

2 min
Toegangsbeheer

IT-Onboarding-Checkliste: Was muss am ersten Tag bereitstehen?

Der beste erste Arbeitstag ist ein langweiliger. Laptop funktioniert, Accounts sind eingerichtet, Ordner freigegeben. Diese Checkliste deckt das typische KMU-Szenario mit 12 Systemen und 4 Rollen ab.

2 min
Toegangsbeheer

Temporärer Zugriff: wie du ihn vergibst – und wieder entziehst

Ein Consultant für 6 Wochen, ein Entwickler nur für die Migration, eine Vertretung während der Elternzeit. Temporären Zugriff zu vergeben ist einfach – ihn wieder zu entziehen ist die eigentliche Herausforderung.

2 min
Toegangsbeheer

Das Least-Privilege-Prinzip erklärt für Unternehmer

So wenig Zugriff wie möglich, so kurz wie nötig. Das klingt nach Produktivitätsverlust — in der Praxis bewahrt es dich vor einem Datenleck, das dich monatelang Erklärungen kostet.

2 min
Toegangsbeheer

Privileged Access Management für den Mittelstand

Global Admin, AWS root, Salesforce system admin — das sind die Rollen, aus denen die meisten Probleme entstehen. Was Sie tun können, ohne ein teures PAM-Tool kaufen zu müssen.

2 min
← Alle artikelen in "Toegangsbeheer"