Wir respektieren Ihre Privatsphäre
Wir verwenden Cookies und vergleichbare Technologien für notwendige Funktionen sowie – nur mit Ihrer Einwilligung – für Analyse und Marketing.
Sie können Ihre Einwilligung jederzeit über den Link „Cookie-Einstellungen" im Footer widerrufen.
Rezertifizierungen: Wie Sie vierteljährlich nachweisen wer worauf zugreift
Rezertifizierung ist der Auditor-Liebling. Wie Sie aus einem lästigen Excel-Versand einen schlanken Quartalsprozess machen.
Edouard Jacques
Managing Director, Cyber Culture
Rezertifizierung ist die regelmäßige Überprüfung, ob bestehende Berechtigungen noch nötig sind. ISO 27001, NIS2 und DORA verlangen sie explizit. In der Praxis führen viele Unternehmen sie als Excel-Versand-Marathon durch: Jeder Manager bekommt eine Tabelle mit den Berechtigungen seiner Mitarbeiter, soll diese kommentieren und zurücksenden. Rücklauf nach drei Mahnungen: 60 %. Nutzen für die Sicherheit: gering.
Was ein guter Rezertifizierungsprozess leistet
- Vierteljährliche Frequenz für kritische Berechtigungen (Admin, Finanz, HR), halbjährlich für Standard-Berechtigungen.
- Web-basiertes Self-Service-Portal statt Excel.
- Automatischer Entzug von Berechtigungen, die nicht bestätigt wurden.
- Audit-Log über Zustimmungen, Ablehnungen und Begründungen.
- Reporting an Compliance und Geschäftsleitung.
Tooling
Entra ID Access Reviews, SailPoint Certification Campaigns, Saviynt Access Reviews und One Identity Manager Recertification bieten alle einen gut dokumentierten Standard-Prozess. Excel-basiert sollten Sie nur arbeiten, wenn Ihr Unternehmen unter 100 Mitarbeitern hat.
Wer reviewt was
Die Verantwortung muss klar verteilt sein. Direktvorgesetzte rezertifizieren die Berechtigungen ihrer Mitarbeiter. Application Owner rezertifizieren die Berechtigungen innerhalb ihrer Anwendung. Business Role Owner prüfen, ob ihre Rolle noch zur fachlichen Realität passt. Privilegierte Konten (Admin) werden zusätzlich vom CISO rezertifiziert.
Häufige Fehler
Erstens: Zu viele Items pro Reviewer (>200) führt zu Click-Through ohne echte Prüfung. Lösung: Auf Rollen-Ebene rezertifizieren, nicht auf Einzelberechtigungs-Ebene. Zweitens: Keine Konsequenz bei Nicht-Bestätigung. Lösung: Nicht bestätigte Berechtigungen werden nach 14 Tagen automatisch entzogen. Drittens: Kein Reporting. Lösung: Quartals-Dashboard für Geschäftsleitung mit Completion Rate und Removal Rate.
Einführung in 8 Wochen
Wir führen Rezertifizierungsprozesse in 8 Wochen ein – Tool-Konfiguration, Reviewer-Schulung, erste Pilot-Kampagne. Nach 12 Monaten haben Kunden typischerweise eine Completion Rate über 95 % und automatisierte Removal von 8-12 % der Berechtigungen pro Quartal.
Ihre nächsten Schritte
Jetzt selbst prüfen - oder direkt mit uns sprechen
CyberRisikoCheck für KMU
In 90 Minuten wissen Sie, welche Risiken in Ihrem Unternehmen die größten sind und was als Nächstes zählt.
Risiko-Check startenLieber direkt sprechen?
Buchen Sie 30 Min mit uns und besprechen Sie Ihre Situation 1:1.
Über Edouard Jacques
Managing Director, Cyber Culture
Edouard ist DevSecOps-spezialisierter Informatiker mit über 9 Jahren Erfahrung in IT- und Sicherheitsberatung. Er unterstützt Organisationen dabei, ihre Sicherheitslage durch eine proaktive, menschenzentrierte Cybersecurity-Kultur zu stärken.
Auf LinkedIn vernetzen