CAFM: Rollen- und Berechtigungskonzept (fachlich)

Im CAFM werden Rollen fachlich an Verantwortlichkeiten im Facility Management ausgerichtet.

• Objektverantwortlicher (Facility-/Objektleiter): Gesamtverantwortung für ein Gebäude oder einen Standort. Steuert Betreiberpflichten, überwacht Service-Prozesse und genehmigt freigegebene Aufträge. (Entspricht z.B. „Objektleitung/Service Manager“ im Service-Desk-Prozess.)

• Helpdesk-/Servicedesk-Agent (First Level): Annahme und Erstbearbeitung von Meldungen. Er erfasst Störfälle, weist Tickets zu und kann einfache Anliegen direkt lösen.

• Techniker/Sachbearbeiter (Second Level): Bearbeitet zugewiesene Tickets (Instandsetzung, Reparatur) und führt die Rückmeldungen dazu durch.

• Spezialist/Dienstleister (Third Level): Experten für komplexe Fachgebiete (z.B. HLK, Elektro) oder externe Partner, die spezielle Aufträge übernehmen.

• Wartungsplaner: Plant und terminiert vorbeugende Instandhaltungs- und Prüftermine. Verfügt über Lese-/Schreibrechte im Wartungsplan-Modul und kann Aufträge anlegen und freigeben.

• Flächenmanager: Verwaltet die Belegung und Nutzung von Räumen/Flächen. Bearbeitet Buchungen, Reservierungen und Flächendaten (Lesen, Schreiben, Genehmigen im Flächenmodul).

• Controlling/Controller: Verantwortlich für Kosten-, Budget- und Leistungs-Reporting. Erhält vor allem Auswerte- und Exportrechte im kaufmännischen Modul (Reporting, Datenexport) und Einblick in alle relevanten Finanzdaten.

• Vertragsverantwortlicher: Betreut Dienstleistungs- und Gebäudeverträge. Hat umfassende Rechte im Vertragsmanagement (Lesen, Anlegen, Ändern, Freigeben von Verträgen) und pflegt Lieferanten- sowie Vertragsdaten.

Diese Rollen können in der Praxis in einer Rollen-Hierarchie zusammengefasst oder modular abgebildet werden. Im Service-Desk-Prozess etwa finden sich die Rollen „Service Desk Agent“, „Techniker/Sachbearbeiter“ und ein übergeordneter Service Manager (Facility Manager), der Eskalationen entgegennimmt und Berichte erstellt.

• Lesen (Read): Recht, Daten anzusehen.

• Schreiben/Ändern (Write): Recht, bestehende Datensätze zu bearbeiten.

• Anlegen (Create): Recht, neue Einträge (z.B. Räume, Anlagen, Tickets) zu erzeugen.

• Löschen (Delete): Recht, Datensätze zu entfernen (oft sehr restriktiv vergeben).

• Freigeben/Genehmigen (Approve): Recht, Datensätze in einen freigegebenen Status zu überführen (z.B. validierte Wartungsberichte oder geprüfte Prüfprotokolle).

• Exportieren: Recht, Daten in externe Formate (CSV/XLSX/PDF) zu exportieren, z.B. für Berichte.

• Reporting: Recht, Auswertungen und Berichte zu erstellen oder einzusehen (häufig rollenbasiert zugestellte Dashboards).

• Administrieren: Recht, System-Einstellungen zu ändern (z.B. Benutzer-, Rollenverwaltung). Nur Administratoren erhalten diese volle Berechtigungsstufe.

In der Regel erhält jede Rolle nur die für ihre Aufgaben notwendigen Rechte. So kann z.B. ein Techniker nur seine zugewiesenen Tickets bearbeiten, während ein Objektverantwortlicher Übersicht über alle Tickets im Objekt hat.

Um den Überblick zu behalten, definiert man eine Rollenzuordnungsmatrix. Sie zeigt für jede Rolle, welche Rechte in welchen Modulen, Funktionen oder (Objekt-)Klassen gelten.

In dieser fiktiven Matrix ist etwa ersichtlich, dass der Wartungsplaner im Instandhaltungsmodul Daten anlegen und freigeben kann, im Service-Desk-Modul hingegen keine Rechte besitzt. Der Flächenmanager dagegen kann im Flächenmodul Raumbelegungen ändern und genehmigen. Solche Tabellen erleichtern die Planung und spätere Umsetzung: Die Rechtevergabe erfolgt dabei strikt nach dem Least-Privilege-Prinzip.

• Standortbasierte Rollen: Rollen werden so vergeben, dass Nutzer nur Daten ihres eigenen Standorts sehen und bearbeiten können. Beispiel: „Standortverantwortliche“ dürfen nur ihr Gebäude sehen, nicht aber fremde Liegenschaften.

• Mandantenfähigkeit: In multi-client Umgebungen trennt man Daten, Berichte und Prozesse komplett nach Unternehmen oder Geschäftsbereichen. CAFM-Systeme unterstützen oft Mandantenfähigkeit, d.h. jede Organisationseinheit arbeitet auf isolierten Datenmengen.

• Gruppen- oder Template-Rollen: Komplexe Konstellationen lassen sich vereinfachen, indem man Rollenvorlagen oder -gruppen nutzt (z.B. ein Template „Wartungspersonal“ mit vordefinierten Rechten). Neue Benutzer werden so schnell durch Kopieren oder Zuweisen von Gruppen angelegt. Rollen-Templates ermöglichen eine wiederverwendbare Basis für die Rechtevergabe.

• Prozess für Rollenzuweisung: Jede neue Rolle oder Änderung wird über definierte Workflows beantragt und genehmigt (etwa durch Fachbereichsleiter). Freigabebelege sichern die Nachvollziehbarkeit.

• Audit-Trails: Alle Zuweisungen und Änderungen werden protokolliert. Ähnlich wie bei Service-Desk-Tickets gilt: Jede Änderung wird nachvollziehbar geloggt. Damit kann im Zweifel rekonstruiert werden, wer wann welche Rechte erhalten oder entzogen hat.

• Dokumentation: Die Rollen und ihre Berechtigungen werden schriftlich festgehalten (z.B. in einem Rollenkatalog), ebenso die Prozessbeschreibungen für Rollenerstellung und -änderung.

• Periodische Überprüfung: Berechtigungen werden regelmäßig überprüft (Access Reviews). Dies stellt sicher, dass etwa abgelegte Mitarbeiterzugänge (Stichwort „Orphan Accounts“) deaktiviert werden und Rollen aktuell bleiben.

• Rollenbezogene Schulungen: Benutzer erhalten gezielte Trainings für ihre Rolle. Key-User oder Role-Owner (z.B. Stammdatenmanager) sollten eingewiesen sein. Empfohlen werden rollenorientierte Lernpfade, damit Mitarbeiter die Systemfunktionen ihrer Rolle sicher nutzen.

Im CAFM-Betrieb sollte ein benutzerfreundliches Rechtemanagement vorhanden sein, damit bei Personalwechseln oder Änderungen in der Organisation die Zugriffsrechte schnell angepasst werden können. Auch ein Vier-Augen-Prinzip (z.B. Zweitprüfung bei kritischen Freigaben) ist eine sinnvolle Governance-Maßnahme.

Das CAFM-Rollenkonzept wird idealerweise in das übergreifende IAM (Identity- and Access-Management) der Organisation eingebunden.

• Single Sign-On (SSO) und Active Directory: CAFM-Benutzerkonten werden mit zentralen Verzeichnisdiensten (z.B. AD/LDAP) verbunden. So können Logins und Rollen von der IT zentral verwaltet werden. Benutzer erhalten über bestehende Accounts Zugriff, und Benutzerverwaltung (Anlegen, Sperren, Passwortrichtlinien) erfolgt einmalig im Konzern.

• RBAC-Standards: Moderne CAFM-Systeme unterstützen Role-Based Access Control (RBAC) als Standard. Rollen können hierarchisch definiert oder mit Relationen (Mandanten, Standorte) verknüpft werden.

• IAM-Systeme: In größeren Organisationen kann ein übergeordnetes IAM- oder GRC-Tool (Governance-Risk-Compliance) Berechtigungen verwalten und Auditierbarkeit sicherstellen. Das CAFM liefert User- und Rolleninformationen (z.B. via API oder Konnektor) an diese Systeme.

Durch diese Integration wird sichergestellt, dass Sicherheitsrichtlinien (z.B. Passwortvorgaben, MFA) automatisch gelten und Berechtigungen zentral überwacht werden. Eine Anbindung an Verzeichnisdienste erleichtert es zudem, Rollenänderungen im CAFM im Takt anderer Systeme durchzuführen.

Das Rollenkonzept lässt sich eng mit einem RACI-Modell und Data-Ownership strukturieren. Beispielsweise werden CAFM-Prozesse in einer RACI-Matrix abgebildet, um festzulegen, wer „Responsible/Accountable/Consulted/Informed“ für jeden Prozessschritt ist. Datenobjekte (wie „Gebäude-Stammdaten“ oder „Vertragsdaten“) erhalten einen Data Owner (z.B. den Objektverantwortlichen) und einen Data Steward (z.B. Datenpflege-Administrator). So ist klar definiert, wer für Datenqualität und -pflege zuständig ist und wer lediglich Zugriff erhält. Dieses Vorgehen erhöht die Verantwortlichkeit und verhindert unklare Zuständigkeiten.

• Onboarding: Bei Eintritt eines neuen Mitarbeiters wird ihm eine passende Standardrolle zugewiesen (z.B. per Rollen-Template) und so Zugang zum CAFM erteilt.

• Änderung: Wechselt der Mitarbeiter die Funktion (z.B. vom Sachbearbeiter zum Teamleiter), so werden seine Rollen und damit Rechte zeitnah angepasst. Das ist wichtig, um weiterhin dem Least-Privilege-Prinzip zu folgen.

• Entzug/Offboarding: Verlassen Benutzer die Organisation oder erfüllen die Aufgaben einer Rolle nicht mehr, müssen alle zugehörigen Berechtigungen sofort entzogen werden (Benutzer deaktivieren/sperren). Oft wird dies gekoppelt mit einem automatischen „Leaver“-Prozess aus dem Active Directory.

Alle Rollenbeschreibungen und Berechtigungszuweisungen sollten dokumentiert und versioniert sein (Teil der CAFM-Betriebsdokumentation). Schulungen für Endanwender vermitteln, wie man im CAFM angemessen mit den eigenen Rechten umgeht. Key-User-Trainings und kuratierte Benutzerhandbücher stellen sicher, dass z.B. Helpdesk-Agenten wissen, wie sie Tickets erfassen, und Flächenmanager, wie sie Reservierungen vornehmen. Regelmäßige E-Learnings oder Workshops für neue Funktionen sind empfehlenswert.

Bei auftretenden Rollenkonflikten (etwa einer Person, die gleichzeitig „Anlage anlegen“ und „Mängel prüfen“ kann) muss das Vier-Augen-Prinzip greifen: Eine getrennte Rolle übernimmt die Freigabe oder Qualitätsprüfung. Segregation of Duties hilft hier, Interessenkonflikte zu vermeiden. Durch transparente Rollenregeln und Schulungen kann die Fachabteilung solche Konflikte bereits in der Planungsphase minimieren.

In der Praxis erweist sich oft die Komplexität als Herausforderung. Zu viele fein granulierte Rollen führen zu unübersichtlicher Verwaltung. Ein bewährter Ansatz ist daher das „Keep it simple“-Prinzip: Weniger ist mehr. Man startet mit einer überschaubaren Anzahl kritischer Rollen und baut bei Bedarf aus. Unnötige Berechtigungen (z.B. selten genutzte Funktionen) werden ausgeblendet. Dadurch erreichen Nutzer schneller Erfolge und reduzieren Support-Requests. Weitere Best Practices sind: regelmäßige Berechtigungsreviews, Vier-Augen-Kontrolle bei Schlüsselrollen, Verwendung von Self-Service-Tools für Auskunft (z.B. ein Mitarbeiter kann eigene Ticketsstatus abfragen) sowie das Monitoring der Nutzung (Statistiken, wer welche Ansicht wie oft nutzt). Ein klar formuliertes Berechtigungs- und Sicherheitskonzept, abgestimmt auf ISO-Standards oder GEFMA-Empfehlungen, rundet das Konzept ab. In Summe gilt: Ein fein abgestimmtes Rollenmodell mit Nachvollziehbarkeit, regelmäßiger Überprüfung und rollenspezifischer Schulung sichert sowohl Effizienz als auch Datensicherheit im CAFM-Betrieb.

**Abkürzungsverzeichnis:** R = Lesen, W = Schreiben/Ändern, A = Anlegen, D = Löschen, G = Freigeben, E = Exportieren, Rpt = Reporting, Adm = Administrieren.