Wenn ein CAFM-System nicht an das Active Directory (AD) angebunden ist, dann fehlt der „bequeme“ Weg über zentrale Identitäten, Gruppen und Single Sign-on. Active Directory ist in Windows-Umgebungen typischerweise genau dafür da – Identitäten/Verzeichnis (häufig via LDAP) plus Authentifizierung (häufig via Kerberos).
Das ist nicht automatisch falsch – aber es heißt ganz nüchtern: Benutzer- und Berechtigungsmanagement wird zur organisatorischen Schnittstelle zwischen FM (fachlich) und IT/Compliance (formal), weil die Technik nicht „zieht“, sondern der Prozess „tragen“ muss. Das deckt sich auch mit dem BSI-Grundschutzgedanken: Zugriff ist auf berechtigte Nutzer/Komponenten zu begrenzen, und Rechte müssen sauber zugewiesen, geändert, entzogen und kontrolliert werden.
Manuelle Benutzerverwaltung im CAFM ohne zentrale Anmeldung und Rechteübernahme aus dem Active Directory
Typische Gründe, warum CAFM ohne AD betrieben wird
SaaS/Cloud-CAFM außerhalb des Firmennetzes, AD-Anbindung wäre aufwändig oder vom Anbieter nicht vorgesehen.
Segmentierung/Sicherheitsgründe (z.B. externe Dienstleister sollen nicht ins AD).
Projekt- oder Interimsbetrieb (Pilot, Übergang, M&A).
Geringe Nutzerzahl – man glaubt, man kommt mit lokalen Accounts aus (geht, aber nur mit Disziplin).
Die Folge ist immer gleich: Identitäten entstehen “zusätzlich” – und damit das Risiko von Schatten-Accounts, verspäteter Deaktivierung und uneinheitlichen Rollen.
Die organisatorischen Schnittstellen, die Du zwingend regeln solltest
Ownership & „führendes System“ für Identitäten und Rollen
Kernfrage: Wer ist Herr im Haus – fachlich und technisch?
CAFM-Admin: setzt Benutzer und Rollen im CAFM um (lokal).
Informationssicherheit/Compliance: prüft, ob Joiner/Mover/Leaver, Rezertifizierung, Protokollierung eingehalten werden.
BSI-seitig ist genau dieses „Identitäts- und Berechtigungsmanagement“ als eigener Kontrollbaustein gedacht – Zuweisung/Entzug/Kontrolle müssen prozessual laufen, nicht „nach Gefühl“.
Organisatorische Schnittstelle: FM liefert Rollendefinitionen + Genehmigungen, IT liefert Regeln + Kontrollen, CAFM-Admin setzt um.
Joiner–Mover–Leaver-Prozess (Benutzer-Lebenszyklus) ohne AD
Ohne AD gibt’s kein automatisches Provisioning/Deprovisioning. Also brauchst Du einen formalen Lebenszyklus:
Verantwortlichkeit eindeutig: HR/Disponent meldet, CAFM-Admin sperrt, System Owner kontrolliert.
Das entspricht dem Grundprinzip, dass Zugriffsrechte über ihren gesamten Lebenszyklus gesteuert und zügig entzogen werden müssen.
Typischer Stolperstein: Austritte von Fremdfirmen/Einzelpersonen „versanden“. Ohne AD merkt’s keiner – bis was passiert.
Wenn AD-Gruppen fehlen, braucht das CAFM ein Rollenmodell, das organisatorisch gepflegt wird:
Rollen-Katalog (max. 10–20 Standardrollen; alles andere wird teuer in der Pflege).
Objekt-/Standort-Scope (z.B. Rolle gilt nur für Gebäude A–C).
Trennung von Funktionen (Vier-Augen / Funktionstrennung):
Beispiel: „Leistung bestätigen“ und „Rechnung freigeben“ nicht in einer Hand – gerade wenn CAFM in Workflows hängt.
Organisatorische Schnittstelle:
FM definiert Rollen & Zuständigkeiten (RACI), IT/Compliance prüft Mindestprinzipien (Least Privilege, Funktionstrennung), CAFM-Admin setzt und dokumentiert.
Wenn Benutzer nicht mit Firmen-Login rein kommen, steigt das Risiko von:
schwachen Passwörtern,
Passwort-Wiederverwendung,
„Passwort auf Zuruf“.
Leitplanken, die sich in der Praxis bewähren (und zu modernen Empfehlungen passen):
MFA aktivieren, wo möglich (besonders für Admins und externe Zugriffe).
Passphrasen zulassen (lange, merkbare Passwörter) und ausreichende Max-Länge erlauben.
Geleakte/kompromittierte Passwörter bei Vergabe/Änderung gegen Listen prüfen.
Keine sinnlose Passwort-Rotation „alle 90 Tage“, sondern Ereignis-basiert (z.B. Verdacht/Leak).
Als Referenz für zeitgemäße Authentifizierungsanforderungen taugt NIST SP 800‑63B (AAL, Authenticator-Anforderungen, moderne Passwortpolitik). (NIST Computer Security Resource Center)
Organisatorische Schnittstelle: IT-Security gibt Policy vor, CAFM-Betrieb setzt technisch um, FM sorgt dafür, dass Nutzer das auch leben (und nicht in Excel-Listen „parken“).
Rezertifizierung: regelmäßige Rechteprüfung, weil keiner automatisch „aufräumt“
Ohne AD (und oft ohne zentrales IAM) bleibt Rechtewildwuchs sonst unbemerkt.
Bewährtes Verfahren:
Quartalsweise oder halbjährliche Rezertifizierung je Rolle/Objektbereich.
System Owner bestätigt pro Nutzer: „braucht er/sie noch“.
Abweichungen werden als Change-Ticket umgesetzt (mit Nachweis).
BSI-Grundschutz betont genau diese Kontroll- und Entzugslogik im Berechtigungsmanagement.
Gerade wenn CAFM Workflows beeinflusst (Auftrag, Abnahme, ggf. Rechnungsprüfung), brauchst Du:
eindeutige Nutzerkonten (keine Sammel-Accounts wie „Technik01“),
Audit-Logs: wer hat was wann geändert/freigegeben,
definierte Aufbewahrung und Zugriff auf Logs (nur berechtigte Personen).
Das ist weniger „nice to have“ als „macht Ärger vermeiden“.
Ohne AD neigen viele dazu, Dienstleister über „ein gemeinsames Konto“ reinzulassen. Das ist praktisch – und giftig.
Besser:
namentliche Konten für Personen,
Ablaufdatum beim Konto (oder regelmäßige Re-Authorisierung),
eingeschränkter Zugriff (nur Tickets/Objekte, die der Dienstleister betreut),
Admin-Funktionen tabu.
Notfall- und Servicekonten („Break Glass“) – wenn’s brennt
Wenn SSO/AD fehlt, ist die Gefahr größer, dass man sich „aus dem System aussperrt“.
Regeln:
1–2 Notfallkonten, stark geschützt (MFA, Passwort im Tresor, Vier-Augen-Entnahme),
jede Nutzung wird dokumentiert und im Nachgang geprüft.
Alternativverfahren, wenn Du AD bewusst nicht anbinden willst
Variante A: Rein lokale Benutzerverwaltung im CAFM (klassisch)
Wann sinnvoll: kleine Nutzerzahl, klarer Betrieb, geringe IT-Reife oder isolierter Einsatz.
Was Du dann brauchst (Pflichtprogramm):
1–2 Notfallkonten, stark geschützt (MFA, Passwort im Tresor, Vier-Augen-Entnahme),
jede Nutzung wird dokumentiert und im Nachgang geprüft.
Pluspunkt: simpel.
Minus: Pflegeaufwand steigt mit jeder Person/Organisationseinheit.
Variante B: Single Sign-on über einen Identity Provider – ohne direkte AD-Anbindung des CAFM
Hier ist der Dreh: Das CAFM spricht nicht mit AD, sondern mit einem IdP via SAML oder OpenID Connect/OAuth.
Microsoft beschreibt SSO als Methode, mit einem Satz Anmeldedaten mehrere Systeme zu nutzen, und bietet dafür entsprechende Optionen in Entra ID (SAML/OIDC).
Wann sinnvoll: viele Nutzer, hohe Fluktuation, externe Zugriffe, klare Security-Anforderungen.
Organisatorisch bleibt trotzdem nötig:
Rollen im CAFM müssen weiterhin gemanagt werden (autorisieren, rezertifizieren),
aber: Passwort/MFA und Lebenszyklus liegen dann zentral beim IdP.
Variante C: Eigenes Verzeichnis (LDAP) statt AD
Wenn AD ausdrücklich raus ist, kann man auch mit einem anderen Verzeichnisdienst arbeiten – organisatorisch ist das dann ähnlich wie Variante B, nur eben anders aufgestellt. (Das ist eher was für Organisationen mit eigener IAM-Strategie.)
Wenn Du das in einer Seite festzurren willst, sind das die Punkte, die in der Praxis den Unterschied machen:
Wer darf anlegen/ändern/sperren? (Rolle + Stellvertretung)
Wie läuft der Antrag? (Ticket, Pflichtfelder, Genehmiger)
Fristen: Joiner bis X, Leaver am selben Tag, Dienstleister sofort.
Rollen-Katalog: Standardrollen, Sonderrechte nur befristet.
