Access Management

Vergabe, Änderung und Entzug von Zugriffen – nachvollziehbar, rollenbasiert und auditfähig.

Steuerung AFANDI Standard Freigaben klar Review zyklisch

Kurz erklärt

Diese Seite beschreibt den Arbeitsstandard für Access Management – mit Fokus auf konkrete Entscheidungen statt allgemeiner Leitlinien.

Zentral sind hier vor allem genehmigungsweg nach zugriffstyp und trennung von owner, reviewer und ausführung, damit Teams denselben Maßstab anwenden.

Nachvollziehbar wird der Standard erst durch verlinkte Nachweise wie antrags-tickets mit begründung und durch dokumentierte Grenzfälle/Ausnahmen.

PraxisfokusThemenspezifischPrüfbar

Wann diese Seite hilft

Typische Situationen, in denen diese Seite als Arbeitsdokument Mehrwert bringt – und wo eine andere Doku passender ist.

Typische Einsätze

wenn für Access Management ein organisationsweiter Standard mit klaren Grenzen zu rollenprofile und berechtigungsgruppen festgelegt werden soll
wenn Entscheidungen zu genehmigungsweg nach zugriffstyp zwischen Teams aktuell unterschiedlich getroffen werden
wenn Audit oder internes Review konkrete Nachweise wie antrags-tickets mit begründung einfordert
wenn Ausnahmen im Bereich „Zugriffe & Rollen“ häufiger werden und sauber befristet/regelt werden müssen

Eher nicht passend bei

wenn es bei Access Management nur um einen einmaligen Einzelfall ohne Standardisierungsbedarf geht
wenn ein detailliertes Projektticket oder eine technische Schritt-für-Schritt-Anleitung gepflegt werden soll

Empfohlener Ablauf

Pragmatische Reihenfolge, die in der Praxis funktioniert – vom Scope bis zum Review.

Anwendungsbereich für Access Management fachlich und organisatorisch festziehen; Scope-Lücken vermeiden (insb. rollenprofile und berechtigungsgruppen).
Standardentscheidungen definieren: Genehmigungsweg nach Zugriffstyp und Trennung von Owner, Reviewer und Ausführung – inklusive zuständiger Rollen.
Ausnahmen mit Kriterien, Fristen und Re-Review modellieren; häufige Grenzfälle zu privilegierte konten und admin-rechte explizit abfangen.
Nachweise im Regelprozess verankern (mindestens antrags-tickets mit begründung und freigabeprotokolle / genehmigungen).
Prüfung anhand realer Abweichungen fahren und Stolperfallen wie „Sammelrollen wachsen ohne Owner weiter“ in die Regel zurückspiegeln.

Entscheidungsregeln

Hinweis: Bitte keine allgemeinen Doku-Regeln hier wiederholen. Auf dieser Seite geht es um die konkreten Regeln und Ausnahmen für Access Management. Zentrale Leitlinie.

Access Management ist gut dokumentiert, wenn Regeln, Grenzfälle und Nachweise so konkret sind, dass Teams damit ohne Zusatzabsprachen arbeiten können.

Standardfall

Für Access Management zuerst den Anwendungsbereich konkret machen: Rollenprofile und Berechtigungsgruppen.

Freigabe & Rollen

Entscheidungen zu genehmigungsweg nach zugriffstyp und trennung von owner, reviewer und ausführung nicht implizit lassen, sondern Rollen und Freigaben explizit benennen.

Grenzfälle

Ausnahmen nur zulassen, wenn sie den Standard nicht aufweichen; besonders relevant sind hier privilegierte konten und admin-rechte.

Kontrollpunkt

Prüfbar ist die Regel erst, wenn antrags-tickets mit begründung und freigabeprotokolle / genehmigungen sauber verlinkt sind.

Was dokumentiert werden soll

Hier nur die spezifischen Inhalte zu Access Management pflegen; allgemeine Doku-Regeln bleiben in der zentralen Leitlinie. Zentrale Leitlinie.

Die Seite ist dann gut, wenn eine Vertretung den Standard anwenden oder prüfen kann, ohne erst Personenwissen einsammeln zu müssen.

Definitionen

Begriffe, Scope und Grenzen zu Access Management konkretisieren – inklusive rollenprofile und berechtigungsgruppen.

Standardkonfiguration / Prozess

Den Standard so notieren, dass genehmigungsweg nach zugriffstyp und rezertifizierungsintervall je systemklasse eindeutig entschieden sind.

Belege

Artefakte direkt nennen und verlinken: Antrags-Tickets mit Begründung, Freigabeprotokolle / Genehmigungen, Rezertifizierungsreport und Entzugsnachweise.

Review-Stand

Aktive Ausnahmen, letzte Änderung und nächster Review gehören auf die Seite – besonders bei Themen mit privilegierte konten und admin-rechte.

Typische Stolperfallen

Pflege hier echte Fallstricke aus der Praxis von Access Management; allgemeine Hinweise gehören in die zentrale Leitlinie. Zentrale Leitlinie.

Umfang driftet: Sammelrollen wachsen ohne Owner weiter.
Regel bleibt abstrakt: temporäre Zugriffe laufen ohne Enddatum weiter.
Nachweis fehlt: Admin-Rechte werden im Ticket nur informell abgestimmt.
Ausnahme entgleist: Standard bleibt abstrakt ohne Anwendungsbezug.

Tipp: Lieber 3 konkrete Beobachtungen aus echten Fällen dokumentieren als eine lange allgemeine Liste.

Prüfung & Pflege

Prüfe diese Seite gegen reale Vorgänge zu Access Management – nicht nur gegen den Wortlaut. Entscheidend ist, ob Standard, Ausnahmen und Nachweise im Alltag tragen.

Stimmen Rollenprofile noch mit der Realität überein?
Wurden temporäre Freigaben fristgerecht beendet?
Sind Rezertifizierungen pro Systemklasse nachweisbar?
Ist der Scope noch korrekt?

Prüf-Fokus für „Access Management“: Zugriffe & Rollen; prüfe dabei insbesondere rollenprofile und berechtigungsgruppen.

Sinnvolle Kennzahlen

Wenige Kennzahlen genügen – wichtig ist, dass sie Entscheidungen oder Verbesserungen auslösen.

Für „Access Management“ Kennzahlen direkt an genehmigungsweg nach zugriffstyp und die häufigsten Praxisrisiken koppeln.

Freigabedauer

Median von Antrag bis erteilter oder abgelehnter Freigabe

Intervall: monatlich

Offene Ausnahmezugriffe

Anzahl befristeter Zugriffe ohne fristgerechtes Ende

Intervall: monatlich

Rezertifizierungsquote

Anteil termingerecht abgeschlossener Access-Reviews

Intervall: quartalsweise

Nächste Schritte

Ergänze jetzt die konkrete Entscheidung zu genehmigungsweg nach zugriffstyp inkl. Verantwortlichen, Datum und Verweis auf antrags-tickets mit begründung.

Auf „Access Management“ als Nächstes besonders klar machen: welche rollenprofile und berechtigungsgruppen im Standardfall gelten und welche Ausnahmen befristet sind.