Zu einem gut ausgestatteten Arbeitsplatz gehören neben der notwendigen Hardware auch verschiedene Berechtigungen – und die können nicht an jeden Mitarbeitenden pauschal vergeben werden. Welcher Mitarbeitende welche Zugriffsberechtigung für welches System benötigt, um seiner Arbeit nachgehen zu können, muss im Einzelfall entschieden werden. Identity- und Access Management ist deshalb ein komplexes Thema, das viel Zeit in Anspruch nimmt.
Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich.
(Bild: geniusstudio - stock.adobe.com)
Mit zunehmender Digitalisierung steigt auch die Komplexität des Identity- und Access Managements. Denn für jeden Mitarbeitenden müssen je nach seiner Arbeitsplatzbeschreibung Berechtigungen für ganz unterschiedliche Systeme freigeschaltet werden, die weder im Konflikt zu seinen Befugnissen noch in Konflikt zueinander stehen dürfen. Erschwerend hinzu kommt, dass die IT-Landschaft in Unternehmen historisch gewachsen ist und nicht nur Systeme eines Herstellers genutzt werden. Es gilt daher, Berechtigungen für SAP- und non-SAP-Systeme zu verwalten und somit plattformübergreifende Back- und Frontends ansprechen zu können (ABAP, UI5-Fiori-Frontend, JAVA o.a.). Hinzu kommen Zugriffsrechte für die Cloud, HANA-native Berechtigungen, die auf Datenbankebene gesetzt werden, sowie Active Directory Funktionen bzw. Parameter, über die Berechtigungen und auch Software-Pakete im Microsoft-Umfeld vergeben werden.
Zwar hat SAP bereits in der Vergangenheit eine eigene Lösung für die Verwaltung von Berechtigungen angeboten – das SAP Identity Management (IdM). Doch die Software war nicht in allen Fällen praktikabel, und auch der Nachfolger, SAP Cloud Identity Access Governance (IAG), weist noch Lücken in der Handhabung als auch der durchgängigen Funktionalität auf. Daher setzen viele Unternehmen für das User Lifecycle Management externe Softwarelösungen ein und erheben an diese den Anspruch, sie auch einfach in ihre bestehende SAP-Systemwelt einbinden zu können. Zugleich verlangen sie ausreichend Flexibilität, um auch non-SAP Systeme in den User- und Berechtigungs-Managementprozess einbeziehen zu können. Solche Softwarelösungen müssen – neben den fertigen Prozessen und Oberflächen - über eine Vielzahl an Schnittstellenmöglichkeiten (APIs) verfügen, um diese Anforderungen bedienen zu können. Dazu zählen auch Kommunikationsschnittstellen, und zwar sowohl Outbound-Message-Interfaces, die auf einer ABAP-Objektklasse abgebildet werden, als auch Inbound-Message-Interfaces, die über einen Client-Proxy laufen. Dann nämlich ist erst eine direkte Kommunikation und damit einhergehend ein effizienter Berechtigungsprozess möglich, der wirklich systemweit und in einem hybriden Umfeld auch dauerhaft und zukunftssicher einsetz- und anpassbar ist.
Anlageprozess neuer User: automatisiert und schnell vs. manuell und langwieriger
Mit einer offenen und generischen Softwarelösung für das Identity- und Accessmanagement ist die Erstellung und Verwaltung von Benutzern einfach und zeitsparend. Tritt beispielsweise ein neuer Mitarbeitender ins Unternehmen ein und muss ein neuer User im System angelegt werden, stellt die Personalabteilung dies in ihrem SAP Human Capital Management (HCM) ein. Über eine Schnittstelle gelangt die Information als Trigger an die User Lifecycle Management-Software und stößt den Anlageprozess des neuen Users an: Es folgen eine Antragsstellung und ein mehrstufiger automatisierter Genehmigungsprozess im Hintergrund. Die Software versendet die notwendigen Nachrichten, fordert Genehmigungen ein, speichert die neugewonnen Informationen ab und regelt schlussendlich die Provisionierung und Prüfung in den entsprechenden Backend-Systemen. Der Prozess kann manuell über Apps, teilweise automatisiert oder sogar voll-automatisch ablaufen – je nachdem, wie es von Unternehmensseite gewünscht ist. Sinnvoll ist es in diesem Zusammenhang auch, wenn eine Zugriffsmanagementsoftware Arbeitsplatzrollenpakete liefert, die mit verschiedenen Berechtigungen gefüttert werden können. Die Vergabe von Zugriffsrechten kann dann für die einzelnen Arbeitsplätze noch leichter und schneller erfolgen.
Im Gegensatz dazu verläuft die Erstellung eines neuen Benutzers ohne eine User Lifecycle Management Software langwierig und kompliziert. In vielen Unternehmen sieht der Prozess noch so aus, dass die Personalabteilung mit Eintritt eines neuen Mitarbeitenden ein Ticket für die IT erstellt oder gar ein Word- oder Excel-Formular per E-Mail verschickt, um die Anlage des neuen Users zu beauftragen. In der Regel vergeht bereits eine Weile, bis ein solches Ticket oder die E-Mail bearbeitet wird; nicht selten kommt es zu Unklarheiten, sodass die IT wiederum eine Nachricht an die Personalabteilung schickt. Bis es zur finalen Genehmigung kommt, geht so bereits wertvolle Zeit ins Land, und wie der Genehmigungsprozess schließlich abläuft, ist oftmals nicht standardisiert festgelegt (per Mail, im Dokument oder im externen Servicedesk?). Erst nach einer ganzen Weile landet ein Auftrag bei der eigentlichen User- und Berechtigungs-Administration, die die Berechtigungen für den neuen Nutzer manuell in die entsprechenden Systeme einpflegen. Ein solches Vorgehen ist nicht nur langwierig, sondern birgt auch großes Fehlerpotenzial und ist intransparent.
Software mit Kontrollfunktionen
Eine Software für das User Lifecycle Management hingegen beschleunigt den Prozess der Rechtevergabe deutlich und minimiert die Fehler. Zudem gestaltet sie den Prozess nachvollziehbar und transparent, weil sie alle Schritte, Berechtigungsnachweise und Genehmigungen dokumentiert. Zu achten ist bei der Auswahl einer solchen Software auch darauf, dass sie über ausgereifte Kontrollmechanismen verfügt, die bei der Vergabe und Bearbeitung von Berechtigung greifen. Solch ein Access-Control-Modul überprüft bei der Vergabe einer Berechtigung, ob sie dem Funktionstrennungsprinzip (Secregation of Duties – SoD) und den Compliance-Richtlinien folgt. Zusätzlich kommt es auch bei der Veränderung von Berechtigungen zum Tragen und prüft, ob die Änderung zu Konflikten oder weiteren Risiken bei bestehenden Rollen führt. Auch aus Sicht der Wirtschaftsprüfung ist eine solche Kontrollfunktion ein „must have“. Ein Rezertifizierungsprozess, in dem Vorgesetzte oder Berechtigungsverantwortliche regelmäßig zugeordnete User und Berechtigungen bestätigen müssen rundet die zu erfüllenden Anforderungen der internen und externen Prüfungsbereiche ab. Nur so wird sichergestellt, dass eine Person nicht im Laufe der Zeit zu viele Berechtigungen erhalten („eingesammelt“) hat und das „need to know“ Prinzip eingehalten wird.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Einführung einer solchen integrierten Lösung für das Identity und Access Management ist recht einfach und innerhalb kurzer Zeit möglich. Voraussetzung ist eine SAP-Basis, sprich: Unternehmen sollten prinzipiell SAP strategisch einsetzen. Ob sie aber noch mit der SAP Business Suite arbeiten oder bereits S/4HANA nutzen, ist für die Einführung des User Lifecycle Managements nicht relevant. Im Idealfall kann die Software in jedem beliebigen SAP-System als SAP-Transport bereitgestellt werden. SAP bleibt also das Trägersystem und es müssen weder weitere Infrastrukturen noch zusätzliche Hard- oder Software bereitgestellt werden. Bereits innerhalb weniger Stunden ist eine solche externe Lösung für die Zugriffsverwaltung einsatzbereit, wie die Erfahrung aus vergangenen Projekten zeigt.
Fazit
Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. Sie ermöglicht eine standardisierte, nachvollziehbare, sichere und fehlerarme Vergabe von Berechtigungen über Systemgrenzen hinweg. Die integrierten Kontrollmechanismen des Access-Control-Moduls, sorgen dafür, dass Berechtigungen den Compliance-Richtlinien (intern als auch extern) entsprechen, keine Funktionstrennungsprinzipien verletzt werden und dass User & Berechtigungszuweisungen einem nachhaltigen und transparenten Lebenszyklus unterliegen.
Über den Autor: Gerhard Peter Kiehl ist Partner und Geschäftsführer bei nexquent GmbH.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/47/ea/47eaea73f1cd6fe1da92eb6934b65745/0129487546v2.jpeg "Apple hat eine kritische Zero-Day-Sicherheitslücke im Dynamic Link Editor geschlossen, die alle unterstützten Apple-Betriebssysteme betrifft und Angreifern ermöglicht, beliebigen Code auszuführen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/49/68/4968cfb619f90613cca8ba77511df54d/0129472744v2.jpeg "Das BSI empfiehlt, klassische asymmetrische Verschlüsselungsverfahren bis Ende 2031 nicht mehr zu verwenden, da sie aufgrund der Entwicklungen im Quantencomputing nicht sicher sind, was einen dringenden Umstieg auf hybride Verfahren, die quantensichere Algorithmen integrieren, erforderlich mache. (Bild: Alex - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/94/ae94d62bde4caa8391c5046a3a14e0c6/0129591098v1.jpeg "Am 17. Februar 2026 begann eine massive DDoS-Attacke auf die Deutsche Bahn, die die Webseite und die Buchungs-App lahm legte. (Bild: Logo: DB-Systel)")
:quality(80)/p7i.vogel.de/wcms/bd/7b/bd7b5eab48b26e20fc849eb12e1bb6ae/0129167482v1.jpeg "KI-Anwendungen sind im Alltag angekommen. Der steigende Bedarf an Daten rückt Fragen zu Datenschutz, Governance und Vertrauen stärker in den Fokus, zeigt die Cisco-Studie. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/0f/ce/0fce7e5966d735b98a26a524b389bb40/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/e7/7b/e77bf6c5803f6bf0972ecb45ca289c51/0129348911v2.jpeg "Sicherheitslücken in FreeRDP, die auf Buffer Overflows und eine Heap-Use-After-Free-Schwachstelle zurückzuführen sind, bedrohen Windows- und Unix-Systeme, indem sie Angreifern die Möglichkeit bieten, DoS- oder RCE-Angriffe durchzuführen. (Bild: © Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/14/4d/144dfeb59fa22d4f60c9bc5f94784088/0129483540v1.jpeg "Das Jahr 2026 markiert einen Wendepunkt für die Cybersicherheit und Security-Teams bleibt nicht viel Zeit sich darauf einzustellen. (Bild: © Jss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/a0/63a08ef8cf2f357846891924a0c362b5/0129422042v1.jpeg "Active Directory Passwort-Resets explodieren insbesondere bei hybrider Arbeit. Sichere Self-Service-Passwort-Reset-Tools steuern dem entgegen. (Bild: Specops)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/8f/ba/8fba0f61e5f44c2f6c2912d64031c0cc/0127091191v1.jpeg "Identitäten – ob menschlich oder maschinell – stehen im Zentrum moderner Sicherheitsarchitekturen. (Bild: © Harsha – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/ea/a5ea44a41ed6293fb2d4a42eba2dd7c3/0124761703v2.jpeg "„Zero Trust hat sich von einem Konzept zu einer geschäftlichen Notwendigkeit entwickelt.“ sagt Stephan Schweizer, CEO bei Nevis Security. (Bild: © denisismagilov - stock.adobe.com)")