Zugangsverwaltung für KMU: der vollständige Leitfaden (2026)

Von der ersten Zugriffsmatrix über regelmäßige Reviews bis hin zu Directory-Sync — alles, was du wissen musst, wenn dein Unternehmen über 10 Personen hinauswächst, aber noch keine IT-Abteilung hat.

Zugangsverwaltung — auf Englisch Identity & Access Management oder kurz IAM — umfasst alle Vereinbarungen, Prozesse und Tools, die festlegen, wer in deiner Organisation auf was Zugriff hat, warum und wie lange. Bei Großkonzernen sind das teure Systeme mit eigenen IAM-Teams. Für KMU — also Unternehmen mit 10 bis 150 Mitarbeitenden ohne IT-Abteilung — ist es oft ein Dauerproblem, das sich aufstaut, bis etwas schiefläuft.

Dieser Leitfaden behandelt das Thema in sechs Ebenen. Jede Ebene hat einen vertiefenden Artikel; klicke darauf, sobald du auf dieser Ebene angekommen bist. Von oben nach unten oder auf deinem eigenen Weg — du kannst es so gestalten, wie es für dich passt.

1. Warum ist Zugangsverwaltung wichtig?

Drei Gründe, nach Dringlichkeit geordnet:

• Ex-Mitarbeitende haben noch immer Zugriff. Dies ist statistisch gesehen das häufigste Datenleck in KMU. Jemand verlässt das Unternehmen, niemand deaktiviert sein Dropbox-Konto, zwei Monate später passiert etwas. Mehr dazu im Artikel über lückenloses Offboarding.
• Du kannst ein Audit nicht bestehen. ISO 27001 Annex A.9 fordert ausdrücklich Nachweise über regelmäßige Access Reviews. Ohne Dokumentation kein Zertifikat. Siehe unseren ISO 27001 Annex A.9 Leitfaden.
• Du zahlst mehr Lizenzen als nötig. Im Durchschnitt entfallen 18 % der M365- und Salesforce-Lizenzen in KMU auf Personen, die das Unternehmen bereits verlassen haben oder die Lizenzen nicht mehr nutzen.

2. Die Zugriffsmatrix — dein Ausgangspunkt

Bevor du über Sync, Rollen oder Automatisierung nachdenkst: Dein erster Schritt ist die Zugriffsmatrix. Das ist ein einfaches Raster mit Mitarbeitenden auf der einen Achse und Systemen auf der anderen. Die Zellen geben an: hat Zugriff, kein Zugriff, muss geprüft werden. Deine erste Version passt in eine Tabellenkalkulation; später wächst sie mit dir in ein richtiges Tool hinein. Der Kern ist dabei: du schreibst es zum ersten Mal auf.

3. Rollen, Profile und Birthright Access

Nach einigen Monaten merkst du: Jede neue Vertriebsmitarbeiterin bekommt dieselben 6 Systeme. Dieses Muster fängst du in einer Rolle (RBAC) auf. Kombiniere das mit einer Birthright-Richtlinie (was bekommt jeder?) — und die IT-Onboarding-Checkliste ist fertig, statt jedes Mal ad hoc zusammengestellt zu werden.

4. Privileged Access und Least Privilege

Global-Admin-Rollen, AWS-Root, „ich mache ihn kurz zum Admin in Salesforce, damit er debuggen kann" — das ist Privileged Access, und dort entsteht in der Regel der größte Schaden. Das Least-Privilege-Prinzip besagt: Vergib immer so wenig wie möglich, für so kurz wie möglich. Einfach in der Theorie, in der Praxis musst du daraus einen Prozess machen.

5. Regelmäßige Access Reviews

Einmal pro Quartal — oder alle sechs Monate, wenn du klein bist — gehst du die Matrix durch und markierst pro Zeile: beibehalten, entziehen, ändern. Genau das fragen Auditoren ab. Siehe den separaten Leitfaden zu Access Reviews für den Prozess, typische Fallstricke und was du als Nachweis aufbewahrst.

6. Directory-Sync und Automatisierung

Sobald du Microsoft 365 oder Google Workspace konsequent einsetzt, pflegst du keine Matrix mehr manuell. Du verknüpfst beides: Das Directory wird zur einzigen Quelle der Wahrheit, dein IAM-Tool zieht Nutzer und Gruppen automatisch ein. Siehe den M365 Governance-Leitfaden für die Funktionsweise mit Entra ID Security-Gruppen.

Wie geht es weiter?

Wenn du konkret anfangen musst: Erstelle zuerst die Matrix (in einem Nachmittag), dann die Offboarding-Checkliste, dann deinen ersten Review-Zyklus. Der Rest ergibt sich von selbst, sobald du dort den Überblick hast.

Jede Ebene dieses Artikels hat zugehörige Vertiefungsartikel. Scrolle zum Block „Weiterführende Lektüre" am Ende für die empfohlene Reihenfolge.