BG Beter Geregeld ICT
Toegangsbeheer · 2 min leestijd · 29 September 2025

RBAC: Rollen definieren im KMU ohne Bürokratie

Role-Based Access Control klingt nach IT-Architektur-Karneval, ist im KMU aber ganz einfach: Schreib auf, welche 4–6 typischen Rollen du hast und welche Systeme jede Rolle standardmäßig erhält.

Nach deiner ersten Zugriffsmatrix fällt etwas auf: Jeder neue Sales-Mitarbeiter bekommt genau dieselben 6 Systeme. Jeder neue Developer auch. Dieses Muster lässt sich in einer Rolle abbilden. Das nennt sich RBAC — Role-Based Access Control. Im KMU muss man daraus keine Wissenschaft machen.

Wie viele Rollen brauchst du?

Weniger als du denkst. In einem KMU mit 20–60 Mitarbeitern kommst du selten über 8 Rollen hinaus:

  1. Sales (AE + SDR)
  2. Engineering / Developer
  3. Operations / Support
  4. Finance / Buchhaltung
  5. Marketing
  6. HR / People Ops
  7. Management / Leadership
  8. Extern / Consultant (oft eingeschränkter Zugriff)

Tipp: Orientiere deine Rollen an deiner bestehenden Abteilungsstruktur, nicht an abstrakten IAM-Kategorien. Wenn intern „Sales" draufsteht, nenn es auch im Zugriffsmanagement Sales.

Was gehört zu einer Rolle?

Pro Rolle legst du fest:

  • Birthright-Zugriff: Systeme, die jeder in dieser Rolle standardmäßig erhält. Siehe auch Birthright-Richtlinie.
  • Optionaler Zugriff: Systeme, die häufig benötigt werden, aber nicht automatisch vergeben werden. Wird pro Person beantragt.
  • Verbotener Zugriff: Systeme, auf die diese Rolle ausdrücklich keinen Zugriff haben darf (z. B. Sales kein Zugriff auf das HR-Postfach).

Ein Beispiel: Rolle „Sales"

Birthright: M365 E3, Slack, Salesforce, LinkedIn Sales Nav, 1Password, Calendly. Optional: HubSpot (Content), Loom (Videos). Verboten: Exact (Buchhaltung), AWS.

Das war's. Schreib das auf, trag es in dein Zugriffsmanagement-Tool ein, und jede neue Sales-Einstellung bekommt innerhalb von 10 Minuten die richtigen Zugänge per Klick.

Die Stolperfalle: Role Creep

Nach zwei Jahren stehen da manchmal 18 Rollen, von denen 11 irgendwann für eine einzige Ausnahme angelegt wurden. So beugst du dem vor:

  • Jede Rolle jährlich prüfen: Gibt es mehr als eine Person mit dieser Rolle? Nein → abschaffen.
  • Ausnahmen NICHT als neue Rolle, sondern als individuelle Anpassung dokumentieren.
  • Rollennamen kurz und generisch halten (Sales, nicht „Sales-Team-DE-Q4-2025").

Wie passt das zu M365 Security Groups?

Eine prima Kombination. In der Praxis definierst du deine Rollen als Security Groups in Entra ID; unser M365-Governance-Leitfaden zeigt, wie du diese automatisch als AccessProfiles per Directory-Sync einbindest. So sind Rollendefinitionen und Mitgliedschaften dasselbe System.

Wie Rollen mit Onboarding-Prozessen zusammenspielen, erfährst du in der Onboarding-IT-Checkliste.

Onderwerpen

#iam #rbac #rollen #onboarding

Volledige gids: Control de accesos para pymes: la guía completa (2026)

Dit artikel is onderdeel van onze uitgebreide Toegangsbeheer-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Toegangsbeheer

Zugangsverwaltung für KMU: der vollständige Leitfaden (2026)

Von der ersten Zugriffsmatrix über regelmäßige Reviews bis hin zu Directory-Sync — alles, was du wissen musst, wenn dein Unternehmen über 10 Personen hinauswächst, aber noch keine IT-Abteilung hat.

3 min
Toegangsbeheer

SaaS-Inventar erstellen: Was läuft eigentlich in deinem Unternehmen?

Das durchschnittliche KMU hat 47 aktive SaaS-Abonnements. Die Hälfte kennt niemand. Ohne Inventar ist kein vernünftiges Zugriffsmanagement möglich – denn man weiß nicht, welche Türen man überhaupt prüfen muss.

2 min
Toegangsbeheer

IT-Onboarding-Checkliste: Was muss am ersten Tag bereitstehen?

Der beste erste Arbeitstag ist ein langweiliger. Laptop funktioniert, Accounts sind eingerichtet, Ordner freigegeben. Diese Checkliste deckt das typische KMU-Szenario mit 12 Systemen und 4 Rollen ab.

2 min
Toegangsbeheer

Temporärer Zugriff: wie du ihn vergibst – und wieder entziehst

Ein Consultant für 6 Wochen, ein Entwickler nur für die Migration, eine Vertretung während der Elternzeit. Temporären Zugriff zu vergeben ist einfach – ihn wieder zu entziehen ist die eigentliche Herausforderung.

2 min
Toegangsbeheer

Das Least-Privilege-Prinzip erklärt für Unternehmer

So wenig Zugriff wie möglich, so kurz wie nötig. Das klingt nach Produktivitätsverlust — in der Praxis bewahrt es dich vor einem Datenleck, das dich monatelang Erklärungen kostet.

2 min
Toegangsbeheer

Privileged Access Management für den Mittelstand

Global Admin, AWS root, Salesforce system admin — das sind die Rollen, aus denen die meisten Probleme entstehen. Was Sie tun können, ohne ein teures PAM-Tool kaufen zu müssen.

2 min
← Alle artikelen in "Toegangsbeheer"