CAFM: Benutzer- und Berechtigungsverwaltung (Lifecycle)

Die Verwaltung eines Benutzerkontos erstreckt sich über dessen gesamten Lebenszyklus (engl. User Lifecycle), von der Erstanlage bis zur endgültigen Löschung. Ein systematischer Umgang mit Onboarding, Änderungen und Offboarding stellt den ordnungsgemäßen Zugang sicher und verhindert sowohl unbefugte Zugriffe als auch „Karteileichen“. Im CAFM-Umfeld sind oft folgende Lifecycle-Stufen relevant:

Der Prozess beginnt idealerweise, sobald ein neuer Mitarbeiter eintritt. Häufig legt die Personalabteilung (HR) den neuen Mitarbeitenden im HR-System an, woraufhin die Daten in ein zentrales Identitätssystem geladen werden. Von dort aus erfolgt die Anlage im CAFM entweder automatisch (durch Synchronisation mit dem Identitätsdienst) oder manuell durch einen Administrator. In vielen Organisationen wird die Benutzeranlage heute automatisiert: Das CAFM-System importiert neue Nutzer aus dem vorhandenen Verzeichnisdienst (z. B. Active Directory) oder IAM-System, sodass man nicht jeden Benutzer doppelt pflegen muss. Dadurch sind neue Mitarbeiter schnell startklar: Ab dem ersten Tag erhalten sie genau die benötigten Berechtigungen für ihren Job. Oft wird dazu ein rollenbasiertes Onboarding genutzt: Aufgrund der Stellenbeschreibung oder Abteilung wird dem neuen User automatisch eine oder mehrere Rollen zugewiesen, etwa durch Mitgliedschaft in entsprechenden Gruppen. So bekommt z. B. ein neu eingestellter Techniker sofort die Rolle Techniker mit den zugehörigen Rechten und Zugriff auf die Instandhaltungs-App, ohne dass man händisch Berechtigungen vergeben muss.

In der Praxis hat es sich bewährt, jedem User zumindest eine Standardrolle zu geben, die Basiszugriffe enthält (z. B. Leserechte auf allgemeine Daten). Zusätzliche Rechte kommen dann über weitere Rollen hinzu, je nach Funktion. Diese Vorgehensweise beschleunigt das Onboarding und reduziert Fehler, da vordefinierte Rollenkombinationen konsequent genutzt werden. Bevor ein neuer User produktiv arbeitet, sollte er ggf. eine Sicherheitsschulung erhalten (siehe unten: Schulung), in der grundlegende Nutzungsregeln (Passwort-Policies, Umgang mit Daten) und seine Verantwortlichkeiten vermittelt werden.

Während der Zugehörigkeit eines Benutzers zur Organisation ändern sich häufig seine Anforderungen: Ein Mitarbeiter wechselt z. B. die Abteilung oder übernimmt neue Aufgaben (Beförderung, Projektarbeit, Vertretung etc.). Solche Änderungen im Benutzerprofil müssen sich zeitnah in seinen Berechtigungen widerspiegeln. In einem gut integrierten System genügt oft die Pflege der Daten an einer Stelle – etwa im zentralen Verzeichnis (AD) oder HR-System – damit automatisch die passenden Rechte angepasst werden. Beispiel: Ändert HR die Abteilungszuordnung eines Mitarbeiters von Gebäudereinigung zu Technik, so wird dieser ggf. automatisch aus der AD-Gruppe CAFM-Reinigung entfernt und der Gruppe CAFM-Technik hinzugefügt. Das CAFM-System gleicht solche Änderungen regelmäßig ab und aktualisiert dadurch die Rollen intern. Alternativ lösen manuelle Prozesse (z. B. ein Änderungsantrag im IT-Service-Portal) die Rechteanpassung aus. Wichtig ist, dass es definierte Workflows für Moves gibt, damit niemand mit veralteten Rechten weiterarbeitet oder benötigte neue Zugriffe fehlen.

Während einer Übergangszeit (z. B. Einarbeitung in neuer Position) kann es vorkommen, dass ein Benutzer vorübergehend doppelte Rechte hat – z. B. sowohl die alte als auch die neue Rolle. Solche Fälle sollten bewusst gesteuert und zeitlich begrenzt werden, um Überberechtigungen zu vermeiden. Nach abgeschlossener Versetzung sind nicht mehr erforderliche Rollen umgehend zu entziehen. Unternehmen mit IAM-Lösungen nutzen hierfür oft regelbasierte Zuordnungen: Änderungen in Attributen (Abteilung, Standort, Position) führen automatisch zum Entzug oder zur Vergabe bestimmter Rollen. Dies sorgt für Konsistenz und reduziert manuellen Aufwand.

Wenn ein Benutzer das Unternehmen verlässt oder ein externes Konto nicht mehr benötigt wird, müssen dessen Zugänge sofort entzogen werden. In integrierten Umgebungen reicht es aus, den User im führenden System (z. B. Active Directory) zu deaktivieren – dadurch wird der Zugang zum angebundenen CAFM-System automatisch gesperrt. Konto-Deaktivierung bedeutet, dass sich der Nutzer nicht mehr anmelden kann und ggf. in der Benutzerliste als inaktiv markiert ist. Dieser Schritt sollte unmittelbar zum Austrittsdatum erfolgen, um Sicherheitslücken zu vermeiden. Das CAFM profitiert hier von der zentralen Pflege: Wird ein Benutzer im AD deaktiviert, entzieht dies ihm automatisch den CAFM-Zugang, ohne separaten Administrationsaufwand.

Nach der Sperrung stellt sich die Frage der Löschung. Aus Compliance- und Nachvollziehbarkeitsgründen entfernt man Benutzerkonten nicht immer sofort physisch aus der Datenbank. Oft bleiben inaktive Konten für einen festgelegten Aufbewahrungszeitraum bestehen (z. B. 6 Monate oder gemäß gesetzlicher Vorgaben), bevor eine endgültige Löschung erfolgt. Dies ermöglicht es, historische Daten (Wer hat wann welche Aktion durchgeführt?) für Audits oder Archivzwecke bereit zu halten, ohne dass das Konto noch aktiv nutzbar ist. Ein Praxisbeispiel: In einem Unternehmen wird ein ausgeschiedener User zuerst deaktiviert, wodurch der Zugang sofort gesperrt ist; die eigentliche Löschung des Accounts erfolgt automatisiert nach beispielsweise 12 Monaten, sobald keine rechtliche Notwendigkeit zur Aufbewahrung mehr besteht. Während dieser Zwischenzeit kann man persönliche Identifikationsmerkmale im Konto eventuell anonymisieren, um Datenschutzanforderungen zu erfüllen, aber die Verknüpfung zu historischen Aktionen (Logs, Objekt-Historien) bleibt erhalten.

Zum Offboarding-Prozess gehört auch die Neu-Zuordnung offener Aufgaben oder Ressourcen. Das CAFM-Team sollte informiert sein, wenn ein User deaktiviert wurde, damit z. B. offene Wartungsaufträge oder Tickets dieses Users an Nachfolger oder Vertretungen übertragen werden können. Dadurch bleibt die Betriebskontinuität gewahrt. Ebenso ist es sinnvoll, Entzugsnachweise zu dokumentieren: Wer hat wann veranlasst, dass der Zugang entfernt wurde? – für interne Kontrollsysteme ist dies relevant.

Nicht alle Berechtigungen ergeben sich automatisch aus der Rolle eines Benutzers. Oft braucht ein Nutzer zusätzliche Zugriffe (etwa auf ein spezielles Objekt oder Modul) außerhalb seines Standard-Rollenprofils – beispielsweise für ein Projekt oder als Vertretung. Hier kommen Zugriffsanfragen mit Genehmigungs-Workflows ins Spiel. Ebenso müssen bereits vergebene Berechtigungen regelmäßig auf Aktualität geprüft werden (Rezertifizierung), um schleichende Rechteanhäufungen zu verhindern.

Zugriffsanfragen bezeichnen den Prozess, durch den Benutzer zusätzliche IT-Berechtigungen anfordern – sei es für sich selbst oder für Kollegen. Ein typisches Beispiel: Ein Techniker benötigt temporär Zugriff auf das Vertragsmodul, um Verträge für ein Projekt einzusehen. Anstatt ihm diese Rechte dauerhaft zu geben, stellt er eine Anfrage, die entsprechende Genehmigung erfordert.

• Anfrage stellen: Der Benutzer initiiert eine Zugriffsanfrage für die gewünschte Ressource oder Rolle. Optimalerweise geschieht dies über ein Self-Service-Portal oder ein Helpdesk-System (Ticket-System), wo alle relevanten Angaben erfasst werden. Weniger empfehlenswert sind informelle Wege wie E-Mail oder Chat, da diese leicht untergehen und schlecht nachvollziehbar sind.

• Genehmigung einholen: Die Anfrage wird zur Prüfung an eine verantwortliche Person weitergeleitet – idealerweise direkt den Rollen- oder Systemverantwortlichen. Dieser entscheidet, ob der Zugriff gerechtfertigt ist. Nicht jede Anfrage ist sinnvoll, daher filtert die Genehmigung unberechtigte oder unnötige Anforderungen aus. Im besten Fall landet der Antrag beim fachlich Zuständigen (z. B. Modulverantwortlicher in der Fachabteilung), der am besten beurteilen kann, ob der Nutzer den Zugang erhalten soll.

• Provisionierung der Rechte: Nach erfolgter Freigabe wird die beantragte Berechtigung umgesetzt. Idealerweise automatisch – z. B. aktualisiert das IAM-System oder das CAFM selbstständig die Rollenmitgliedschaft des Users, sobald die Genehmigung erteilt ist. Wo Automatisierung nicht möglich ist (etwa bei physischen Ressourcen oder komplexen Rechten), sollte der Vorgang durch die IT-Administration ausgeführt und im Ticket festgehalten werden. Wichtig ist, dass dieser Schritt zeitnah erfolgt, damit der Benutzer nicht unnötig warten muss.

• Dokumentation: Jede Zugriffsanfrage – ob genehmigt oder abgelehnt – muss vollständig dokumentiert werden. Dies bedeutet, der genehmigte Umfang, der Genehmiger, Zeitpunkte und Gründe sollten festgehalten sein. Die Dokumentation kann im IAM-/CAFM-System selbst erfolgen (Audit-Trail) oder im angebundenen Ticketsystem. Eine lückenlose Dokumentation stellt Nachvollziehbarkeit her und dient späteren Audits als Nachweis, dass Berechtigungen kontrolliert vergeben wurden.

• Überprüfung (Rezertifizierung): Der gewährte Zugriff sollte nicht unbegrenzt fortbestehen. Benutzer sollen Berechtigungen nicht länger als notwendig behalten. Daher ist entweder bereits bei Vergabe ein Enddatum zu setzen (z. B. automatisches Rechteende nach 3 Monaten bei Projektende), oder es wird in regelmäßigen Abständen überprüft, ob die Berechtigung noch benötigt wird. Dieser Schritt ist Teil der Rezertifizierung (siehe unten) und stellt sicher, dass temporäre Zugriffe tatsächlich temporär bleiben.

Solch ein Freigabe-Workflow ermöglicht es, flexibel auf geänderte Anforderungen zu reagieren, ohne das geordnete Berechtigungsmodell zu unterlaufen. Wichtig ist, dass der Prozess sowohl sicher (d. h. mit prüfendem Vier-Augen-Prinzip) als auch benutzerfreundlich gestaltet ist. Die schnelle Bereitstellung genehmigter Rechte steigert die Produktivität, während die Genehmigungsschritte die Sicherheit gewährleisten Eine Best Practice ist ferner, Genehmigungsprozesse möglichst in die Fachabteilungen zu verlagern: Die IT-Abteilung setzt zwar technisch die Rechte um, sollte aber nicht alleine entscheiden, wer was braucht. Stattdessen benennen Unternehmen pro Ressource oder Rolle einen fachlichen Eigentümer, der Zugriffsanfragen beurteilt. Die IT fungiert dann nur noch als Durchführer oder stellt Selbstbedienungs-Werkzeuge bereit, was den Prozess beschleunigt und die Verantwortung klar regelt.

Im Laufe der Zeit können Benutzer durch Veränderungen oder häufige Ausnahmegenehmigungen immer mehr Rechte ansammeln – auch solche, die sie eigentlich nicht mehr benötigen. Dieses Phänomen wird als "Privilege Creep" bezeichnet. Es entsteht z. B., wenn ein Mitarbeiter über Jahre hinweg diverse Zusatzberechtigungen erhält (für Sonderaufgaben, Projekte, Vertretungen), die anschließend nie zurückgenommen werden. Unkontrollierte Rechteanhäufung stellt ein erhebliches Sicherheitsrisiko dar: Je mehr Zugriffsrechte ein Konto hat, desto größer der mögliche Schaden bei Missbrauch oder Kompromittierung. Zudem widerspricht es dem Prinzip der minimalen Rechtevergabe.

Um dem entgegenzuwirken, sind Rezertifizierungsprozesse unerlässlich. Rezertifizierung bedeutet, dass in regelmäßigen Abständen (z. B. alle 6 oder 12 Monate) alle bestehenden Benutzerberechtigungen überprüft werden. Ein gängiges Vorgehen dabei ist: Die jeweiligen Vorgesetzten oder Daten-/Rollenverantwortlichen erhalten eine Liste der aktuell vergebenen Rechte ihrer Mitarbeiter und müssen aktiv bestätigen, welche Rechte weiterhin erforderlich sind. Nicht bestätigte oder offensichtlich überflüssige Berechtigungen werden entzogen. Dieser Prozess sorgt dafür, dass Zugriffsrechte aktuell und gerechtfertigt bleiben und entfernt systematisch Altlasten.

Ein CAFM-System oder angebundenes IAM-System kann Rezertifizierungen durch entsprechende Workflows und Berichte unterstützen. Beispielsweise lassen sich automatische Erinnerungen an die Verantwortlichen senden, mit der Aufforderung, die Rechte zu prüfen. Moderne IAM-Lösungen bieten hierfür Benutzerfreundliche Oberflächen und transparente Rollenübersichten, sodass Genehmiger per Mausklick bestätigen oder entziehen können. Wichtig ist auch hier die Dokumentation: Jede bestätigte oder entzugene Berechtigung im Rahmen der Rezertifizierung sollte protokolliert werden, um bei Audits nachzuweisen, dass man den Anforderungen (z. B. ISO 27001, BSI-Grundschutz) nachkommt.

Eine effiziente Rezertifizierung stellt sicher, dass das Berechtigungsniveau im Zeitverlauf wieder aufgeräumt wird. In Kombination mit einem disziplinierten Vergabeprozess (siehe oben) bildet sie das Rückgrat der Identity Governance. Dabei kann auch ein Risikomanagement einfließen: Kritische Berechtigungen (z. B. Admin-Zugänge) prüft man häufiger oder intensiver, während Standardleserechte ggf. in größeren Abständen rezertifiziert werden. So bleibt der Verwaltungsaufwand im Rahmen. Letztlich erfüllt die Rezertifizierung zwei Zwecke: Sie minimiert Sicherheitsrisiken (durch Entfernung überflüssiger Rechte) und gewährleistet die Einhaltung von Compliance-Vorgaben, die regelmäßige Kontrollen fordern.

Unter Provisionierung versteht man die Bereitstellung und Verwaltung von Benutzerkonten und deren Zugriffsrechten in den Zielsystemen. In einem CAFM-Kontext bedeutet dies z. B.: Einen neuen Mitarbeiter im System anzulegen, ihm die passenden Rollen zu vergeben, Änderungen nachzuziehen und beim Offboarding sein Konto zu sperren oder zu löschen. Dieser Prozess lässt sich durch technische Lösungen weitgehend automatisieren, was sowohl die Effizienz steigert als auch Fehler reduziert.

Moderne Identity & Access Management (IAM)-Systeme oder Verzeichnisdienste übernehmen häufig die Provisionierung in angebundene Anwendungen. Über Connectoren oder Standardprotokolle (wie SCIM oder LDAP) werden Benutzerkonten im CAFM-System automatisch erstellt, geändert oder deaktiviert, basierend auf den Daten und Regeln im zentralen Identity-Repository. Beispielsweise kann ein IAM-System so konfiguriert sein, dass es bei Neuanlage eines Mitarbeiters im HR-System diesen in AD anlegt und anschließend in allen angeschlossenen Systemen (Email, CAFM, etc.) einen Account erzeugt und die Grundrechte zuweist Die Verteilung der Berechtigungen erfolgt regelbasiert: Aufgrund der hinterlegten Business Role (z. B. Hausmeister) bekommt der Nutzer automatisch Zugriff auf die entsprechenden CAFM-Funktionen. Ändert sich die Rolle oder Abteilung des Users, passt das IAM die Zugriffsrechte entsprechend an (Re-Provisionierung). Beim Verlassen werden alle Zugänge entzogen (De-Provisionierung).

Zeitersparnis und Konsistenz – Routineaufgaben wie Kontoanlage oder -änderung laufen schneller und ohne manuelles Zutun ab, sodass die IT-Administration entlastet wird. Gleichzeitig sinkt die Fehlerquote, da keine Berechtigung vergessen oder falsch zugewiesen wird; alles folgt den definierten Regeln. Zudem ermöglicht Automatisierung eine Skalierbarkeit: Auch bei hunderten Nutzern oder häufigen Änderungen bleibt der Prozess beherrschbar und nachvollziehbar.

Ein automatisch provisionierter Zugang steht dem Mitarbeiter i. d. R. sofort oder sehr zeitnah zur Verfügung, was insbesondere beim Onboarding wichtig ist. Mitarbeiter können produktiv starten, ohne erst lang auf Account-Freischaltungen zu warten. Ebenso werden Zugriffsentzüge zügig umgesetzt, was die Sicherheitslücke zwischen Austritt und tatsächlicher Sperrung minimiert.

In einem Unternehmen ist das CAFM an ein zentrales IAM gekoppelt. Als die neue Mitarbeiterin Lisa Meier im HR-System erfasst wird, erstellt das IAM automatisch ein AD-Konto lmeier. Aufgrund der Jobrolle Technische Gebäudeverwaltung wird Lisa der AD-Gruppe CAFM-Techniker zugeordnet. Das CAFM importiert beim nächsten Sync das neue Konto, erkennt die Gruppenzugehörigkeit und weist intern die Rolle Techniker zu. Noch bevor Lisa ihren ersten Arbeitstag antritt, sind ihr Zugang und alle nötigen Rechte im CAFM-System bereitgestellt – sie kann sofort Wartungsaufträge sehen und bearbeiten. Ähnlich reibungslos verläuft ein Abgang: Als Herr Schulz die Firma verlässt und HR sein Enddatum einpflegt, wird sein AD-Account deaktiviert und damit zugleich sein CAFM-Zugang gesperrt. Zusätzlich archiviert das IAM seine Berechtigungen und entfernt nach 90 Tagen das Konto vollständig aus allen Systemen. Die IT musste hier nicht manuell eingreifen; der Workflow lief vollautomatisch ab.

Für die Provisionierung in Cloud-basierten CAFM-Lösungen kommen oft Web-APIs oder standardisierte Schnittstellen zum Einsatz. Viele SaaS-Anwendungen unterstützen das SCIM-Protokoll (System for Cross-domain Identity Management), über das IAM-Systeme Nutzer und Gruppen in der Cloud anlegen und verwalten können. So kann z. B. Azure AD oder ein anderes IAM die Cloud-CAFM-Nutzerkonten synchron halten, ähnlich wie bei on-premise. Falls SCIM nicht verfügbar ist, werden oft Skripte oder iPaaS-Plattformen (Integration Platform as a Service) genutzt, um die Bereitstellungsschritte auszuführen. Der Grundgedanke bleibt: Automatisierung statt händischer Pflege. Manuelle Eingriffe sind nur noch bei Ausnahmefällen nötig.

Zeitgesteuerte Prozesse gleichen Änderungen ab (z. B. nächtlicher Abgleich mit dem HR-System) und sorgen dafür, dass die Benutzerstammdaten (Name, E-Mail, Abteilung etc.) und Rollen aktuell bleiben. Hierbei ist auf Datenqualität zu achten – z. B. sollten Pflichtfelder konsistent befüllt sein, damit keine halbfertigen Accounts entstehen. Eine enge Koppelung an das HR-System stellt sicher, dass organisatorische Änderungen lückenlos ins Berechtigungssystem durchschlagen (Stichwort Joiner-Mover-Leaver-Prinzip).

In vielen Unternehmen existiert bereits ein zentrales Verzeichnis oder Identity-Service, der alle Benutzer verwaltet – klassischerweise Microsoft Active Directory (AD) on-premises oder ein Cloud-Verzeichnis wie Azure AD (Microsoft Entra ID). Ein CAFM-System sollte an solche Dienste angebunden werden, anstatt eine isolierte Benutzerverwaltung zu führen. Die Integration mit AD/Azure AD/LDAP verfolgt das Ziel einer einheitlichen und konsistenten Identitätsverwaltung sowie eines erleichterten Logins via SSO.

• Zentrale Benutzerverwaltung: Vorhandene AD-Konten können im CAFM genutzt werden, sodass Benutzer nicht doppelt angelegt und gepflegt werden müssen. Änderungen wie Namenskorrekturen oder Abteilungswechsel werden einmalig im AD durchgeführt und vom CAFM übernommen. Das erhöht die Datenqualität und vermeidet Divergenzen.

• Schnelles On/Offboarding: Tritt ein Mitarbeiter ein, reicht es, im AD ein Konto zu erstellen – das CAFM importiert ihn automatisiert (ggf. zeitgesteuert oder on-demand) und weist ihm auf Basis der AD-Daten eine Rolle zu. Umgekehrt entzieht eine AD-Deaktivierung beim Austritt sofort den CAFM-Zugang, was konsistente Sperrung sicherstellt.

• Single Sign-On (SSO): Durch AD-Integration können sich Benutzer häufig ohne zusätzliche Anmeldung am CAFM-System anmelden. Ist der Nutzer bereits am Windows-Netzwerk angemeldet (Domänenlogin), lässt sich diese Session auf das CAFM übertragen – entweder mittels Kerberos (im Intranet) oder über föderiertes SSO mit ADFS/Azure AD (im Web). Der Vorteil: Der Benutzer muss sich kein weiteres Passwort merken und erlebt einen nahtlosen Login, was die Akzeptanz steigert. Gleichzeitig reduziert es Helpdesk-Aufwand (weniger Passwort-Reset-Fälle) und erhöht die Sicherheit, da weniger separate Anmeldedaten im Umlauf sind.

• Zentrale Rechtezuweisung: Eine verbreitete Methode ist, AD-Gruppen zur Steuerung der CAFM-Rechte zu nutzen. Man definiert im AD Sicherheitsgruppen wie z. B. CAFM-Basisnutzer, CAFM-Manager, CAFM-Admin, und konfiguriert das CAFM so, dass es diese Gruppenzugehörigkeiten ausliest und auf interne Rollen bzw. Berechtigungsprofile abbildet. Ordnet die IT einen Mitarbeiter der Gruppe CAFM-Manager zu, erhält er automatisch die hinterlegte Manager-Rolle und damit z. B. erweiterte Auswertungsrechte oder Schreibrechte in bestimmten Modulen. Grobrechte werden so zentral in AD vergeben, was Konsistenz schafft und den administrativen Aufwand im CAFM verringert.

Allerdings kennen CAFM-Systeme oft feingranulare Berechtigungen, die sich nicht 1:1 über AD-Gruppen abbilden lassen (etwa Zugriffe auf einzelne Objekte wie ein spezifisches Gebäude). Hier hat sich ein hybrider Ansatz bewährt: Übergeordnete Zugangsrechte und Modulzugriffe regelt man via AD-Gruppen, während Detailberechtigungen innerhalb des CAFM gepflegt werden. So bleibt AD der Ausgangspunkt: neue Mitarbeiter bekommen über ihre Gruppenzuweisung sofort Grundzugang, Änderungen werden durch Anpassung der Gruppenmitgliedschaften realisiert. Spezielle Feinjustierungen nimmt das CAFM intern vor. Diese Trennung hält die Integration handhabbar und nutzt die Stärken beider Seiten.

• LDAP/LDAPS-Kopplung: Das CAFM fungiert als LDAP-Client und liest Benutzer- und Gruppeninformationen aus dem Verzeichnis (AD oder generischer LDAP-Server) aus. Über LDAP können auch Authentifizierungen durchgeführt werden (Bind-Operation gegen AD). Wichtig: Immer LDAPS (LDAP over SSL/TLS) verwenden, um die Übertragung sensibler Daten (v. a. Passwörter) zu verschlüsseln. Viele Systeme erlauben es, die zu synchronisierenden Attribute flexibel zu definieren (z. B. Benutzername, E-Mail, Abteilung) und in Intervallen mit dem AD abzugleichen.

• Windows-Integration (Kerberos SSO): In einer Microsoft-AD-Domäne kann das CAFM so eingerichtet werden, dass es die Windows-Authentifizierung nutzt. Dabei meldet sich der Benutzer nur am PC an; beim Zugriff aufs CAFM-Webportal im Intranet übernimmt der Browser das Kerberos-Ticket des Windows-Logins, sodass keine erneute Passworteingabe nötig ist. Voraussetzung ist, dass der CAFM-Server Mitglied der Domäne ist und dem Kerberos-Vertrauensmodell vertraut. Dieses SSO im Windows-Netzwerk funktioniert typischerweise nur intern oder via VPN und bietet echten Komfort sowie hohe Sicherheit durch zentral kontrollierte Tickets.

• SAML 2.0 föderiertes SSO: Für webbasierte oder Cloud-CAFM-Lösungen, vor allem wenn von außerhalb des Firmen-Netzwerks zugegriffen wird, kommt oft ein Identity Provider (IdP) zum Einsatz (z. B. AD FS oder Azure AD). Das CAFM agiert dann als Service Provider (SP) und vertraut den vom IdP ausgestellten SAML-Assertions. Meldet sich ein Benutzer am CAFM an, wird er zunächst zum IdP umgeleitet, dort mittels seines AD-Kontos authentifiziert und erhält ein SAML-Token, mit dem er ins CAFM gelangt Dadurch meldet er sich zentral nur einmal an und hat Zugriff auf mehrere Anwendungen (Single Sign-On). Dieses Konzept ist insbesondere in Cloud- oder Hybrid-Szenarien sinnvoll und erlaubt auch den Einsatz von Multi-Faktor-Authentifizierung am IdP, ohne das CAFM selbst anpassen zu müssen.

• Azure AD / Cloud-Verzeichnis: Viele Unternehmen nutzen inzwischen Azure AD (Entra ID) als Cloud-Verzeichnis. Eine Einbindung des CAFM in Azure AD erfolgt ähnlich wie oben – meist via OAuth2/OpenID Connect oder SAML, da Azure AD kein direktes LDAP für Clients anbietet. Das CAFM vertraut dabei auf Azure AD zur Authentifizierung und kann via bereitgestellter Tokens die Identität und Gruppen des Users auslesen. Ein Spezialfall ist Azure AD Domain Services (AAD DS), falls Legacy-Anwendungen LDAP/Kerberos benötigen – dies kann eine Brücke bilden. Für moderne Implementierungen setzt man aber primär auf OAuth2/SAML mit Azure AD.

Diese Ansätze können je nach Deployment kombiniert werden. Beispielsweise nutzt ein Hybrid-CAFM on-premises für interne Nutzer Kerberos-SSO, erlaubt aber externen Benutzern (oder mobilen Zugriff über Cloud) die Authentifizierung via Azure AD (SAML/OIDC). Wichtig ist in solchen Szenarien, die Konsistenz der Identitäten sicherzustellen – oft verwendet man die E-Mail-Adresse oder UPN als eindeutigen Identifier zwischen On-Prem und Cloud, damit das CAFM Konten richtig zuordnen kann.

Die technische Kopplung allein garantiert noch keinen Erfolg – es braucht auch klare Abstimmungen zwischen IT und Fachabteilung bei der AD-Integration[. Typischerweise sind zwei Parteien involviert: IT-Infrastruktur (Verzeichnisdienst-Verantwortliche) und das CAFM-Administrations-Team.

• Verantwortlichkeiten definieren: Die IT verwaltet das AD (Konten anlegen, ändern, deaktivieren) und sorgt für den Betrieb des Verzeichnisses sowie ggf. der Föderationsdienste. Das CAFM-Team hingegen definiert die Rollen im CAFM-System und legt fest, welche AD-Gruppen welcher Rolle entsprechen. Beide müssen gemeinsam festlegen, welche AD-Attribute ins CAFM übernommen werden (z. B. Name, Telefon, Abteilung) und wie häufig synchronisiert wird.

• Delegation von Berechtigungsverwaltung: Oft verwaltet ausschließlich die IT die AD-Gruppen. Es kann sinnvoll sein, ausgewählten CAFM-Administratoren eingeschränkte Rechte im AD zu geben, um z. B. selbst Mitglieder bestimmter CAFM-Gruppen zu pflegen. AD erlaubt feingranulares Delegieren von Admin-Rechten, ohne jemandem volle Domänen-Adminrechte zu geben. So könnte ein CAFM-Admin das Recht erhalten, die Mitglieder der Gruppe CAFM-Basisnutzer eigenständig zu verwalten, anstatt jedes Mal ein IT-Ticket zu öffnen. Dies erhöht die Reaktionsgeschwindigkeit, behält aber Sicherheit bei, indem die Delegation begrenzt ist.

• On-/Offboarding-Prozesse abstimmen: Definieren Sie gemeinsam, wie ein neuer Mitarbeiter im CAFM freigeschaltet wird. In vielen Fällen genügt es, dass die IT den User im AD anlegt und den entsprechenden Gruppen zuordnet; das CAFM importiert ihn dann beim nächsten Abgleich oder sogar sofort Analog sollte beim Offboarding klar sein: Wer informiert wen? Sobald IT einen Nutzer im AD deaktiviert/löscht, entzieht das CAFM den Zugang (setzt z. B. Status gesperrt) automatisch. Die Fachabteilung sollte über Deaktivierungen informiert werden, um operative Maßnahmen zu ergreifen (z. B. Vertretungsregelungen, Auftragsübernahmen).

• Kommunikation & Support: Beide Teams (IT und CAFM-Betrieb) müssen eng zusammenarbeiten, vor allem während der Implementierung der Schnittstelle. Bei Störungen – etwa ein Benutzer kann sich nicht anmelden – gilt es gemeinsam zu analysieren: Liegt es an einer fehlenden Berechtigung im CAFM oder an der AD-Konfiguration? Daher sind klare Ansprechpartner zu benennen und ggf. gemeinsame Troubleshooting-Routinen oder Schulungen durchzuführen. Auch sicherheitsrelevante Ereignisse (z. B. verdächtige Anmeldeversuche) sollten koordiniert betrachtet werden, da das CAFM in die gesamte IT-Sicherheitsarchitektur eingebunden ist.

Die IT behält zentrale Kontrolle über Accounts und Policies, während das CAFM-Team weniger Aufwand bei der Benutzerverwaltung hat und sich auf fachliche Systembetreuung konzentrieren kann.

• Sichere Verbindung: Die Schnittstelle muss sicher gestaltet sein. Unverschlüsselte Verbindungen (reines LDAP) sind tabu – es sollte stets verschlüsselt (LDAPS, SSL/TLS) kommuniziert werden. Außerdem sollte das CAFM keine Passwörter lokal speichern; ideal ist die direkte Authentifizierung gegen das Verzeichnis oder über Token (bei SSO).

• Datenminimierung & Datenschutz: Es sollten nur notwendige Benutzerdaten aus dem AD ins CAFM übernommen werden. Alle gespeicherten Personendaten (Name, E-Mail, Telefon etc.) unterliegen dem Datenschutz, daher sind Löschkonzepte und Zugriffsschutz dafür nötig. Beispielsweise braucht ein externer Dienstleister im CAFM kein Geburtsdatum oder private Kontaktdaten – solche Attribute sollte man gar nicht erst importieren.

• Fallback für Notfälle: Die Zentralisierung via AD kann einen Single Point of Failure darstellen – fällt das AD (oder die Anbindung) aus, könnten Benutzer sich nicht am CAFM anmelden. Dem kann man vorbeugen, indem man z. B. Notfall-Accounts im CAFM definiert, die lokal authentisieren (etwa ein Admin-Konto für den Fall, dass SSO nicht verfügbar ist) Auch Mechanismen wie ein Read-Cache der letzten AD-Authentifizierung für mobile Nutzer offline können helfen.

• Synchronisation und Verzögerungen: Je nach Synchronisationsintervall kann es kurze Verzögerungen geben, bis Änderungen im AD im CAFM wirken (wenn nicht on-the-fly). Kritische Änderungen (z. B. Berechtigungsentzug bei Security Incident) sollten deshalb ggf. manuell angestoßen oder in Echtzeit übertragen werden.

• Komplexes Rechtemanagement: Die Übersetzung von feingranularen CAFM-Rechten auf grobe AD-Konzepte erfordert Planung. Man muss die Gruppenstruktur klug entwerfen, um weder zu viele Gruppen (Unübersichtlichkeit) noch zu überladene Gruppen (zu grob) zu haben. Änderungen in der Organisation (neue Standorte, neue Projektteams) müssen eventuell durch neue AD-Gruppen und CAFM-Rollen abgebildet werden. Ohne konsistentes Rollen- und Gruppenkonzept drohen Inkonsistenzen – daher sollte das Modell regelmäßig überprüft und angepasst werden. Auch Mehrfachrollen (ein Benutzer hat mehrere Funktionen) werden typischerweise durch Mitgliedschaft in mehreren Gruppen gelöst; das CAFM muss solche Multi-Group-Zugehörigkeiten korrekt interpretieren.

• Regelmäßige Berechtigungsaudits: Trotz aller Automatisierung sollte man in festen Abständen Berechtigungsüberprüfungen durchführen (siehe Rezertifizierung oben). Gerade bei AD-Integration ist es einfach, z. B. per Skript auszuwerten, wer in welcher CAFM-Gruppe (AD-Gruppe) ist, und ob das noch dem Soll entspricht. Diese Audits helfen, schleichende Änderungen oder Fehler zu entdecken (z. B. jemand wurde versehentlich der falschen Gruppe hinzugefügt).

• Technische Benutzer & Service-Accounts: Das CAFM benötigt evtl. einen technischen AD-Bind-User, um LDAP-Abfragen durchzuführen. Dieser Service-Account sollte minimalste Rechte haben – z. B. nur Leserechte in dem AD-OU, in der die relevanten Benutzer liegen. Schreibrechte ins AD sind selten nötig (außer bei Rückschreiben von Attributen) und stellen ein Risiko dar. Deshalb: Prinzip der geringsten Privilegien auch für Service-Accounts beachten.

• Multi-Mandanten-Szenarien: Falls das CAFM mandantenfähig ist (z. B. ein FM-Dienstleister betreibt ein System für mehrere Kunden), erschwert die AD-Anbindung dies etwas. Man muss sicherstellen, dass Benutzer der Mandanten strikt getrennt bleiben. Oft wird pro Mandant entweder ein eigenes AD oder zumindest eine eigene OU/Domain verwendet, oder man macht das CAFM selbst multi-tenant und bindet je Mandant einen anderen AD-Kontext ein. Solche Konstruktionen sind komplex und sollten sorgfältig geplant und getestet sein, damit keine Datenüberschneidungen auftreten.

• Hybrid-Umgebungen: Viele Unternehmen nutzen parallel ein lokales AD und Azure AD (bzw. andere Cloud-Identitätsdienste). In so einer Hybridwelt muss das CAFM beide bedienen können. Typischerweise werden die On-Prem-AD-Konten via Azure AD Connect in die Cloud synchronisiert. Das CAFM könnte beispielsweise intern direkt ans lokale AD gekoppelt sein (für LAN-Nutzer mit Kerberos-Login) und extern via Azure AD SAML angebunden sein[. Hier ist eine saubere Strategie nötig, wie die Authentifizierung geroutet wird und wie man die Identitäten abstimmt (z. B. Nutzung der gleichen UserPrincipalName). Netzwerkanforderungen (VPN, Firewalls) und Ausfallsicherheit (Fallback auf Cloud wenn On-Prem down und umgekehrt) sollten ebenfalls berücksichtigt werden.

Die Anbindung eines CAFM-Systems an zentrale Verzeichnisdienste wie AD/Azure AD bietet enorme Vorteile bezüglich Effizienz, Sicherheit und Benutzerkomfort. Sie ermöglicht eine zentrale Verwaltung und SSO, verlangt aber sorgfältige Planung in technischer und organisatorischer Hinsicht. Mit den oben genannten Umsetzungsmöglichkeiten und Bewusstsein für typische Herausforderungen kann eine solche Integration erfolgreich implementiert werden – zum Nutzen aller Beteiligten.

Eine wirksame Berechtigungsverwaltung muss nicht nur sicher sein, sondern auch nachvollziehbar. Für interne Kontrollen, Revisionen und externe Audits (z. B. ISO 27001, GDPR-Prüfungen) ist es entscheidend, dass sämtliche relevanten Aktionen aufgezeichnet werden. Daher gilt: Wer hat wann was getan? – diese Frage sollte das System lückenlos beantworten können.

IAM-/CAFM-Software protokolliert idealerweise jeden Zugriffsversuch, jede Änderung an Benutzerkonten und die Nutzung von Berechtigungen in detaillierten Logs. So entsteht ein Audit-Trail, der im Falle eines Sicherheitsvorfalls die forensische Analyse ermöglicht und bei routinemäßigen Audits als Nachweis dient. Beispielsweise wird festgehalten, wenn ein Administrator einem Techniker eine neue Rolle zuweist, oder wenn ein externer Dienstleister sich im System anmeldet und welche Datenobjekte er abgerufen hat. Solche Logs sollten gegen Manipulation geschützt und regelmäßig gesichert werden. Sie sind unverzichtbar für Überwachung und Compliance: Durch die Auswertung der Protokolle können verdächtige Aktivitäten erkannt (z. B. unübliche Zugriffsmuster) und Zugriffe nachvollzogen werden.

Gerade in regulierten Branchen oder bei sensiblen Daten ist Live-Monitoring hilfreich: Versuche unautorisierter Zugriffe können Alarmierungen auslösen. Im Facility Management könnte das z. B. bedeuten, dass ein Normalbenutzer versucht, auf einen geschützten Bereich (z. B. Personalakten-Modul) zuzugreifen – das System verweigert den Zugriff und loggt den Vorfall. Brute-Force-Schutz und Account-Lockout-Mechanismen sollten ebenfalls abgestimmt sein: Bei wiederholten falschen Loginversuchen greift entweder die AD-Richtlinie oder das CAFM, um den Account temporär zu sperren. Solche sicherheitsrelevanten Events gehören ins Security-Log und sollten von Zeit zu Zeit überprüft werden.

Für Compliance-Anforderungen (z. B. DSGVO, interne Revisionsrichtlinien) sind oft auswertbare Berichte über Berechtigungen und Aktivitäten gefordert. Ein CAFM-System sollte deshalb Funktionen für Auditing und Reporting bieten: Etwa ein Bericht „Wer hat Zugriff auf Objekt X?“ oder „Welche Änderungen an Berechtigungen gab es im letzten Quartal?“. IAM-Werkzeuge bieten hierfür vorkonfigurierte Reports oder Ad-hoc-Analysemöglichkeiten. So kann man z. B. eine Berechtigungsmatrix exportieren, die für jeden Benutzer bzw. jede Rolle die aktuellen Rechte auflistet – praktisch für die Rezertifizierung. Ebenso lassen sich historische Berechtigungsstände dokumentieren: Im Falle einer Prüfung kann man nachweisen, welche Rechte ein bestimmter User zu einem früheren Zeitpunkt hatte und dass Änderungen ordnungsgemäß genehmigt und protokolliert wurden.

Eine wichtige Komponente ist auch die Dokumentation von Prozessen: Neben der technischen Protokollierung sollte beschrieben sein, wie die Benutzer- und Rechteverwaltung organisiert ist (Berechtigungskonzept, Prozessbeschreibungen für Anforderungs- und Entzugsverfahren). Oft verlangen Auditoren Einsicht in solche Konzepte, um die Angemessenheit der Kontrollen zu bewerten. Daher ist es Best Practice, ein Berechtigungskonzept-Dokument vorzuhalten, das Rollen, Rechte, Verantwortliche, Rezertifizierungsintervalle etc. definiert. Dieses Dokument sollte regelmäßig aktualisiert werden, wenn sich Prozesse oder Strukturen ändern.

Gerade im Kontext von Facility Management können Zugriffsrechte auch aus rechtlicher Sicht relevant sein – etwa bei der Betreiberverantwortung: Nur qualifizierte Personen dürfen sicherheitsrelevante Prüfungen dokumentieren. Ein CAFM-System kann helfen, diese Anforderungen umzusetzen, indem nur bestimmten Rollen (z. B. “Sicherheitsbeauftragter”) die Freigabe von Wartungsprotokollen erlaubt wird. Die Einhaltung solcher Pflichten lässt sich wiederum via Logs belegen.

Ein weiterer Aspekt ist der Datenschutz. CAFM-Daten beinhalten u. U. persönliche Informationen (Mitarbeiter im Gebäude, Besucherdaten, ggf. Gesundheits- und Sicherheitsdaten). Zugriff darauf muss beschränkt und dokumentiert sein. Durch attributgenaue Berechtigungen kann man gewährleisten, dass z. B. sensible personenbezogene Felder nur von berechtigten Rollen eingesehen werden dürfen. Außerdem muss man die Speicherung personenbezogener Daten im System gemäß DSGVO regeln (Löschfristen, Auskunftsmöglichkeiten etc.). Die Benutzerverwaltung spielt hier indirekt eine Rolle, indem sie z. B. ermöglicht, rasch alle Konten eines externen Dienstleisters zu identifizieren und zu löschen, wenn der Vertrag endet (Datenminimierung).

Logging und Auditierbarkeit sind nicht optional, sondern integraler Bestandteil einer guten IAM-Strategie. Sie untermauern das Vertrauen ins System, da jede Aktion Spuren hinterlässt und Verantwortlichkeiten nachweisbar sind. Unternehmen, die entsprechende Tools einsetzen, können detaillierte Berichte über Benutzeraktivitäten, Zugriffsversuche und Berechtigungsänderungen erzeugen und damit Sicherheitslücken aufdecken, sich auf Prüfungen vorbereiten und die Compliance kontinuierlich überwachen.

Im Facility Management gibt es oft verschiedene Nutzergruppen mit speziellen Anforderungen an die IT-Zugänge. Dazu zählen etwa mobile Mitarbeiter im Außendienst, externe Serviceprovider oder temporäre Projektteams. Die Benutzer- und Berechtigungsverwaltung muss auf diese Besonderheiten Rücksicht nehmen.

Mobile Nutzer – wie Hausmeister, Techniker oder Objektbetreuer vor Ort – greifen häufig über mobile Endgeräte (Smartphones, Tablets) auf das CAFM-System zu. Meist geschieht das via Mobile App oder responsives Web-Interface. Hierbei gelten die gleichen Berechtigungsregeln wie am Desktop: Die Rollen und Rechte eines mobilen Nutzers bestimmen, welche Module und Datensätze er in der App sieht. Beispielsweise wird ein Techniker in der CAFM-App nur die ihm zugewiesenen Arbeitsaufträge und Anlagen sehen und bearbeiten können, wenn seine Rolle entsprechend eingeschränkt ist. Funktionen, die er nicht hat, sollten in der App gar nicht sichtbar sein (UI-Ausblendung), um die Bedienung zu vereinfachen und Fehler zu vermeiden.

• Offline-Zugriff: Oft müssen mobile Mitarbeiter offline arbeiten können (z. B. im Kellergeschoss ohne WLAN). Die App könnte dafür bestimmte Daten zwischenspeichern. Hier ist wichtig, dass die Authentifizierung und Autorisierung trotzdem geprüft werden – etwa durch ein zeitlich begrenztes Offline-Token. Sobald wieder Netz besteht, synchronisiert die App die Daten. Die Rechte des Nutzers müssen beim Sync validiert werden; falls sein Account inzwischen deaktiviert oder Rechte entzogen wurden, darf kein Update zurück ins System gespielt werden.

• Gerätesicherheit: Mobile Geräte können verloren gehen oder gestohlen werden. Daher sollten Policies wie Geräte-PIN, Verschlüsselung und Remote Wipe berücksichtigt werden. Zwar ist dies eher Thema des Mobile Device Management (MDM), doch im Berechtigungskontext sollte man z. B. erzwingen, dass die CAFM-App eine erneute Anmeldung verlangt, wenn sie länger im Hintergrund war, oder dass sensible Daten (z. B. Personaldetails) gar nicht persistent am Gerät gespeichert werden.

• Multi-Faktor-Authentifizierung (MFA): Gerade bei remote Zugriff (über mobile Netze) ist MFA empfehlenswert, um die Anmeldesicherheit zu erhöhen. Viele SSO-IdPs (Azure AD, Okta etc.) unterstützen MFA out-of-the-box für App-Logins. Dies sollte auch für CAFM-App-Nutzer aktiviert werden, insbesondere wenn sie von außerhalb des Firmennetzwerks arbeiten.

Sie sollen im Feld schnell Ihre Aufgaben erledigen können, ohne durch unnötige Menüs zu navigieren. Deshalb beschränkt man mobile Rollen meist auf die Kernaufgaben – z. B. eine Wartungstechniker-Rolle mit Zugriff auf das Störungs- und Wartungsmodul, aber keinen Zugriff auf Verwaltungstools. Die Berechtigungsverwaltung muss diese Unterschiede unterstützen, beispielsweise indem es getrennte Rollen für Desktop und Mobile geben kann, falls bestimmte Funktionen nur am PC sinnvoll sind.

Externe Nutzer (z. B. Servicefirmen für Reinigung, Wartung, Sicherheit) stellen besondere Anforderungen an das Berechtigungsmodell. Sie sind nicht Mitarbeiter des eigenen Unternehmens, sollen aber auf bestimmte Bereiche des CAFM zugreifen, um Aufgaben zu erledigen.

• Eigene Rollen für Externe: Man richtet spezielle externe Rollen ein, die stark begrenzt sind. Beispielsweise eine Rolle Externe_r Wartungstechniker_in, die nur das Modul Arbeitsauftragsmanagement sieht und dort auch nur die Datensätze, die seiner Firma zugewiesen sind. Alle anderen Module, insbesondere mit internen Informationen, bleiben verborgen. In den Datenrechten wird festgelegt, dass diese Rolle keinen Zugriff auf interne Personaldaten oder vertrauliche Dokumente hat.

• Getrennte Benutzerverwaltung: Oft bekommen externe Dienstleister eigene Konten im System. Diese können im internen AD als Gastkonten angelegt werden (z. B. via Azure AD B2B, falls man Azure AD nutzt), oder man verwaltet sie im CAFM separiert. Wichtig ist, dass vertragliche Regelungen bestehen, wie diese Accounts genutzt werden dürfen (z. B. keine Weitergabe der Logindaten an unbefugte Mitarbeiter der Dienstleister).

• Zeitliche Begrenzung: Externe Aufträge sind oft befristet. Daher sollte man externe Accounts entweder mit Ablaufdatum versehen oder regelmäßig überprüfen (z. B. wenn der Wartungsvertrag endet, alle zugehörigen Accounts sperren). Manche Systeme ermöglichen es, beim Anlegen eines externen Benutzers gleich ein „gültig bis“-Datum zu setzen, nach dem der Account automatisch deaktiviert wird.

• Mandantentrennung: Wenn mehrere externe Firmen parallel im System sind, darf Firma A keine Daten von Firma B sehen. Dies erreicht man durch eine Kombination aus Datenrechten (Filter nach z. B. „Eigentümer=FirmaA“) und Mandantentrennungsfunktionen. Evtl. nutzt man pro Firma eine eigene Rolle/Gruppe. AD-Seitig kann man z. B. Gruppen Externe_FirmaA, Externe_FirmaB anlegen, um Zugriffe sauber zu segmentieren.

Eine Reinigungsfirma erhält Zugriff auf das CAFM, um Reinigungsleistungen zu dokumentieren. Dazu werden ihre Mitarbeiter im System als Benutzer angelegt, der Rolle Externer Reinigungskraft zugewiesen. Diese Rolle erlaubt ihnen, im Reinigungsmanagement-Modul ihre Arbeit zu sehen und zu bestätigen. Sie können aber keine anderen Module öffnen (die Menüpunkte sind ausgeblendet) und sehen nur Objekte, die ihrer zugeordneten Liegenschaft entsprechen. Personaldetails der Hausverwaltung bleiben verborgen. Nach Ende des Dienstleistungsvertrags werden alle Accounts dieser Firma durch die CAFM-Administration deaktiviert.

Durch solche strikt limitierten Rechte stellt man sicher, dass externe Dienstleister nur auf das zugreifen, was sie wirklich benötigen – nicht mehr und nicht weniger. Gleichzeitig sollte der Zugriff für sie einfach genug sein, damit sie ihre Aufgaben effizient erledigen können (z. B. mobile App-Zugang, falls sie vor Ort arbeiten). Die Kommunikation mit den externen Nutzern ist wichtig: Sie müssen geschult werden, wie sie das System nutzen, und über Sicherheitsrichtlinien informiert sein (ähnlich wie interne Nutzer).

In der Praxis entstehen oft temporäre Projekte oder bereichsübergreifende Teams, die besondere Zugriffsbedürfnisse haben. Zum Beispiel ein Umbauprojekt mit Mitarbeitern aus Bau, Technik und externer Planung, die alle auf bestimmte Gebäudedaten und Pläne zugreifen müssen. Hierfür eignet sich die Einführung projektbezogener Rollen oder Gruppen. Diese Rollen bündeln die nötigen Berechtigungen für das Projekt und bestehen nur für die Projektlaufzeit.

• Zeitlich befristet: Die Rolle wird idealerweise mit einem Enddatum versehen oder man plant deren Auflösung nach Projektende. Während des Projekts erhalten alle Teammitglieder die entsprechende Rolle zusätzlich zu ihren normalen Rechten. Danach wird ihnen die Projektrolle entzogen.

• Gezielter Datenzugriff: Oft betrifft ein Projekt einen bestimmten Teil des Datenbestands (z. B. ein bestimmtes Gebäude oder Stockwerk bei einer Sanierung). Dann kann die Projektrolle so eingerichtet sein, dass sie nur auf genau diese Objekte Schreibzugriff erlaubt. Anders ausgedrückt: Projektrollen implementieren eine Art kontextspezifische Berechtigung.

• Einfache Verwaltung: Um nicht für jedes Projekt die IT übermäßig zu belasten, sollte der Prozess standardisiert sein. Etwa kann die CAFM-Administration selbst Projekte und zugehörige Rollen anlegen, ohne in der AD neue Gruppen anlegen zu müssen (wenn die Projekte klein sind und intern bleiben). Alternativ legt man in AD eine Gruppe pro Projekt an, was aber bei sehr vielen Projekten unübersichtlich werden kann. Hier muss der Betrieb entscheiden, ab wann sich eine eigene Rolle lohnt oder ob man vorhandene Rollen flexibel nutzt.

Für das Projekt „Neubau Lagerhalle“ wird allen Beteiligten (drei internen Mitarbeitern aus FM und zwei externen Architekten) die Rolle Projekt_Lagerhalle zugewiesen. Diese Rolle gewährt Zugang zum Modul Bauprojekte und lesenden Zugriff auf die Fläche und CAD-Pläne der Lagerhalle. Schreibrechte im CAFM (z. B. Tickets anlegen) sind auf dieses Objekt begrenzt. Die Architekten erhalten zudem temporäre Gast-Logins als externe Dienstleister mit dieser Rolle. Nach Abschluss des Neubaus – geplant in 12 Monaten – wird die Rolle deaktiviert und von allen Nutzern entfernt, wodurch ihr Projektzugriff endet.

Man sollte eine Übersicht behalten, welche temporären Rollen existieren und wann sie aufgelöst werden. Es empfiehlt sich, projektbezogene Rollen in regelmäßigen Abständen zu überprüfen, insbesondere wenn Projekte verlängert werden oder Personen das Projekt früher verlassen (dann ist deren Projektrechte sofort zu entziehen).

Auch in Tools sollte man verhindern, dass temporäre Rollen vergessen werden. Manche IAM-Systeme unterstützen attestationsbasierte Rollen, die automatisch auslaufen, wenn niemand mehr darauf Anspruch erhebt. Ohne solche Tools sollte man manuell den Überblick wahren, z. B. durch Eintrag von Ablaufdaten in einer Tabelle oder im Rollennamen (etwa ProjektX_bis_12-2026). So wird die Rechteverwaltung dem dynamischen Charakter von Projekten gerecht, ohne dauerhafte ungenutzte Rollen in der Umgebung zu behalten.

Eine effektive Benutzer- und Berechtigungsverwaltung im CAFM ist eng mit den führenden Geschäftsprozessen verknüpft. Zwei wesentliche Schnittstellen sind hierbei das HR-System (Personalmanagement) und das IT Service Management (ITSM) bzw. Ticketing.

Das HR-System (z. B. Personalverwaltung, Identity Master) enthält alle relevanten Personaldaten wie Name, Eintrittsdatum, Abteilung, Position und Austrittsdatum. Diese Informationen bilden die Basis für den gesamten Identity Lifecycle. Daher ist es sinnvoll, das HR-System als Trigger für Benutzeränderungen zu nutzen.

• Onboarding: Wenn HR einen neuen Mitarbeitenden erfasst, sollte daraus (automatisch oder per definiertem Prozess) ein Antrag zur Account-Erstellung erfolgen. In integrierten Szenarien fließen die Daten direkt ins IAM/AD und weiter ins CAFM. Alternativ schickt HR eine Mitteilung an IT/CAFM-Team, woraufhin diese den User anlegen (besser: via Workflow-Tool statt E-Mail).

• Änderungen: Positionswechsel, Abteilungswechsel oder Namensänderungen werden primär in HR gepflegt. Durch Kopplung (etwa via IAM-Schnittstelle) werden diese Änderungen ans CAFM weitergegeben, sodass z. B. die neue Abteilung automatisch im Benutzerprofil erscheint. Falls Rollen an Abteilungen hängen, könnte das System sogar die Rollen wechseln (siehe oben: Moves).

• Offboarding: Das Austrittsdatum im HR-System sollte die initiale Quelle für das Deaktivieren des Accounts sein. Manche Unternehmen fahren einen Prozess: HR markiert den Mitarbeiter als „inaktiv ab (Datum)“, das IAM oder ein Skript sperrt am Stichtag das AD-Konto und somit auch das CAFM-Konto. Dadurch ist sichergestellt, dass kein ausgeschiedener Mitarbeiter länger Zugriff behält. Auch hier ist Automation ideal, da man sich nicht auf manuelle Mails verlassen muss.

Datenkonsistenz und schnelle Reaktion. Die Personalabteilung muss nur ihr eigenes System pflegen, was sie ohnehin tut, und alle nachgelagerten Systeme werden synchron gehalten. Zudem garantiert diese Kopplung, dass kein Schattennutzer im CAFM existiert, der längst aus dem Unternehmen ausgeschieden ist, aber mangels Kommunikation nie gelöscht wurde.

In der Praxis nutzen viele Organisationen Identity Management Plattformen, die als Brücke zwischen HR und IT-Systemen fungieren (Stichwort HR Driven Provisioning). Tools wie OneLogin, Okta, Tools4ever oder Microsoft Identity Manager können HR-Systeme (z. B. SAP SuccessFactors, Personio) anbinden und automatisch IT-Konten anlegen oder entfernen. Für das CAFM würde dann entweder eine direkte Schnittstelle existieren oder es erfolgt via AD. So wird das Hire-to-Retire-Prinzip umgesetzt: vom Arbeitsvertrag bis zum Löschen des Accounts läuft alles nachvollziehbar und möglichst automatisch ab.

Ein ITSM-System (wie ServiceNow, BMC, OTRS, etc.) wird oft genutzt, um IT-Prozesse zu steuern und zu dokumentieren. Dazu gehören auch Benutzer- und Berechtigungsprozesse.

• Antrags- und Genehmigungsabwicklung: Wie oben beschrieben, sollten Zugriffsanfragen idealerweise über ein Self-Service-Portal oder Ticketsystem gestellt werden. ITSM kann hier als Frontend dienen: Ein Mitarbeiter stellt im Service-Portal einen Antrag "Zugriff auf Modul XY für Benutzer Z". Das Ticket wird automatisch an den zuständigen Genehmiger weitergeleitet. Nach Freigabe könnte das ITSM-System (über Orchestrierungstools oder Skripte) direkt die Änderung im CAFM anstoßen – z. B. via API den Benutzer der entsprechenden Rolle hinzufügen. Gibt es keine Automatisierung, so dient das Ticket wenigstens der Dokumentation und Nachverfolgung: Der IT-Admin vollzieht die Änderung manuell im CAFM und markiert im Ticket den Abschluss. Wichtig ist, dass das ITSM in jedem Fall als zentrales Register fungiert, wo jeder Antrag, seine Genehmigung und Umsetzung festgehalten ist.

• On/Offboarding-Workflow: Ähnlich kann ITSM eingebunden werden, um Onboarding-Aufgaben zu tracken. Beispielsweise generiert HR ein Onboarding-Ticket, das u. a. den Task enthält "CAFM-Zugang einrichten". Das CAFM-Team arbeitet dieses Ticket ab (oder das IAM hat es schon automatisch erledigt und dokumentiert dies im Ticket). Für Offboarding analog: Ein Offboarding-Ticket mit Task "CAFM-Zugang entfernen", der dann abgehakt wird, sobald das Account disabled ist. So hat man eine Checkliste pro Mitarbeiter und vermeidet, dass in der Hektik ein System vergessen wird.

• Knowledge & CMDB: In der ITSM-Wissensdatenbank kann das Berechtigungskonzept abgelegt sein, und der Prozess zum Beantragen von CAFM-Rechten wird dort beschrieben (für Endanwender und für das Support-Team). Zudem kann die CMDB (Configuration Management Database) Beziehungen zwischen Usern, Gruppen und Systemen halten – z. B. sieht man dort, welche Nutzer alle dem System CAFM zugeordnet sind.

Das IAM-System führt die Änderungen durch, und das ITSM erzeugt/verwaltet die Tickets und Genehmigungen. Dadurch behält man die Vorteile beider Welten: Automatisierung und detaillierte Logging in IAM, plus übersichtliche Prozesssteuerung und Audit-Trail in ITSM. Einige Produkte bieten solche Integrationen out-of-the-box an, andernfalls lassen sich Workflows skripten.

Für die Benutzer selbst und das Helpdesk hat die ITSM-Einbindung den Vorteil, dass es einen klaren Anlaufpunkt für Zugriffsangelegenheiten gibt (das Service-Portal). Benutzer sollen nicht per formloser E-Mail Berechtigungen erbitten, da diese schwer nachvollziehbar sind und genehmigungstechnisch unsicher. Ein definierter Request-Prozess über ITSM stellt hingegen sicher, dass nichts untergeht, und der Status des Antrags ist jederzeit einsehbar. Tenfold Security empfiehlt hier, Anfragen aus der IT-Abteilung auszulagern: Sprich, nicht alles muss der Admin erledigen, sondern Fachverantwortliche entscheiden über Zugriffe – das ITSM kann diesen Fluss gut moderieren.

CAFM-Software ist am Markt sowohl als On-Premises-Lösung (Inhouse installiert) als auch im Software-as-a-Service (SaaS)-Modell (Cloud-Service) verfügbar. Die Benutzer- und Berechtigungsverwaltung muss im Kern dieselben Prinzipien erfüllen, doch es gibt technische Unterschiede in der Umsetzung:

Bei einer on-premise installierten CAFM-Lösung hat das Unternehmen volle Kontrolle über die Applikation und die Infrastruktur.

• Direkte Verzeichnisanbindung: Meist ist das CAFM-Server-System Mitglied in der Firmen-Domäne. Dadurch lässt sich z. B. Kerberos-SSO direkt nutzen (wie oben beschrieben). Das CAFM kann oft per LDAP direkt aufs AD zugreifen, ohne dass Cloud-Föderation nötig wäre.

• Netzwerk und Firewall: Da die Nutzer sich innerhalb des Firmennetzes bewegen, sind ggf. keine speziellen Extranet-Sicherungen nötig. Allerdings muss man beim Fernzugriff via VPN sicherstellen, dass auch CAFM erreichbar und angebunden ist.

• Customizing und Erweiterungen: On-Prem kann man evtl. eigene Skripte oder Tools auf dem Server laufen lassen, um Provisionierung oder Abgleiche zu steuern (etwa Scheduled Tasks zum CSV-Import von Benutzern). Die Möglichkeiten zur Automatisierung sind oft größer, da man vollen DB-Zugriff hat – was aber mit Vorsicht zu genießen ist (direkte DB-Manipulation sollte vermieden werden, um Konsistenz zu sichern).

• Verantwortlichkeiten: Im On-Prem-Modell obliegt dem internen IT-Team die komplette Verantwortung für Benutzerverwaltung, Zugriffssteuerung und Sicherheitskonfiguration. Man sollte daher über ausreichend Know-how und Personal verfügen, um z. B. regelmäßige Rechtesicherheitsaudits durchzuführen, Software-Updates einzuspielen und Zugriffsanomalien zu überwachen.

Ein on-premises CAFM kann tiefer ins Unternehmens-Ökosystem integriert werden – zum Beispiel Single Sign-On via vorhandene Identity Provider (IdP) wie ADFS, oder Integration mit Legacy-Systemen via Datenbankverbindungen. Für Benutzer heißt das oft: Anmeldung mit dem Windows-Account und kaum spürbare Unterschiede zu anderen internen Anwendungen.

Im SaaS-Modell wird das CAFM vom Hersteller oder einem Dienstleister in der Cloud betrieben. Kunden mieten die Software typischerweise als Service.

• Cloud-SSO und Föderation: Da ein SaaS-CAFM außerhalb des internen Netzwerks liegt, ist Kerberos-SSO nicht direkt möglich. Stattdessen erfolgt die Einbindung fast immer über föderiertes SSO – sprich, Nutzung eines IdP (Azure AD, Okta, etc.) mit Protokollen wie SAML oder OAuth/OIDC, um die Authentifizierung durchzuführen. Unternehmen richten z. B. eine SAML-Trust zwischen ihrer Azure-AD-Mandantendomäne und dem CAFM-Service ein. Dann können sich Benutzer mit ihren Unternehmensaccounts einloggen, ohne eigene Cloud-Credentials anlegen zu müssen. Multi-Faktor-Auth kann so ebenfalls leicht umgesetzt werden.

• Provisionierung via API/SCIM: Bei SaaS muss man Benutzerkonten im CAFM über bereitgestellte APIs oder Schnittstellen pflegen. Viele moderne SaaS-Angebote unterstützen SCIM, wodurch das firmeninterne IAM Benutzer automatisiert in der Cloud anlegen/ändern kann. Alternativ bieten Hersteller eigene Connectoren an, oder man fällt auf halbautomatische Prozesse zurück (z. B. Bulk-Upload von CSVs mit neuen Usern). Es ist wichtig, dass der Anbieter hier Möglichkeiten zur Integration bietet, damit die Kunden nicht manuell im Web-Admininterface hunderte User pflegen müssen.

• Datenhaltung und Compliance: Im SaaS-Modell liegen die Benutzerstammdaten in der Cloud-Datenbank des Anbieters. Das Unternehmen muss darauf vertrauen, dass der Anbieter ausreichende Sicherheits- und Datenschutzmaßnahmen ergreift (Verschlüsselung, Mandantentrennung etc.). Für den Kunden bedeutet es aber auch, dass er weniger administrativen Aufwand hat – z. B. kümmert sich der Anbieter um Backups des Benutzerverzeichnisses. Dennoch sollte man Regelungen treffen, welche Daten synchronisiert werden (Stichwort Datenschutz: möglichst wenig personenbezogene Daten in die Cloud senden, nur was für die Nutzung nötig ist.

• Hybrid-Identitäten: Häufig nutzen Unternehmen im SaaS-Fall Azure AD oder ähnliche Cloud-Directories als Mittler. Wenn man z. B. lokal ein AD hat, wird via Azure AD Connect synchronisiert, und das CAFM vertraut dann auf Azure AD. So müssen keine lokalen LDAP-Verbindungen über das Internet aufgebaut werden. Allerdings sollte man Performance und Latenzen beobachten – beim Login ist man auf die ständige Erreichbarkeit des IdP angewiesen. Ein Ausfall der Internetverbindung oder des IdP kann den Zugang zum CAFM unterbrechen (daher ggf. Backup-Lösungen überlegen, z. B. temporäre Fallback-Accounts, siehe oben).

• Release-Management: Bei SaaS hat der Anbieter die Kontrolle über Software-Updates, was heißt, Änderungen an Berechtigungsfunktionen können ohne direkten Einfluss des Kunden passieren (z. B. neue Rollenfeatures, geänderte UI). Daher ist es ratsam, die Release Notes hinsichtlich IAM genau zu verfolgen und Administratoren zu schulen, wenn sich etwas ändert. Im On-Premises-Modell kann man Updates zeitlich planen, im SaaS bekommt man sie automatisch.

Die internen Ziele (nur Berechtigte bekommen Zugriff, Prozesse automatisieren, etc.) bleiben gleich, aber die Mittel ändern sich leicht zwischen On-Prem und SaaS. On-Prem setzt stärker auf direkte Integration ins LAN und persönliche Betreuung, während SaaS stärker von standardisierten Cloud-Integrationen und Anbietervorgaben geprägt ist. Unternehmen sollten ihr Berechtigungskonzept daher in Abhängigkeit vom Betriebsmodell überprüfen und ggf. anpassen: z. B. sicherstellen, dass beim Wechsel auf SaaS niemand Hardcodings (wie direkte AD-Abfragen) mehr erwartet, sondern alles über IdP/Cloud-AD läuft.

Eine Benutzer- und Berechtigungsverwaltung ist kein einmaliges Projekt, sondern bedarf kontinuierlicher Wartung und Pflege. Außerdem müssen die Prozesse und Regeln klar dokumentiert und die beteiligten Personen angemessen geschult sein.

• Regelmäßige Überprüfung des Rollenmodells: Über die Zeit können sich Organisationstrukturen ändern oder neue Anforderungen auftauchen (neue Abteilungen, Fusionen, geänderte FM-Prozesse). Prüfen Sie daher periodisch (z. B. jährlich) das bestehende Rollen- und Berechtigungskonzept. Stellen Sie Fragen wie: Entsprechen die definierten Rollen noch den aktuellen Aufgaben? Müssen neue Rollen hinzugefügt oder alte zusammengelegt werden? Gibt es Rollen, die niemand nutzt (Kandidaten für Entfernung)? Dieses Refactoring hält das Modell schlank und verständlich. Vor Einführung neuer Module im CAFM sollte ebenfalls evaluiert werden, welche Rollen darauf Zugriff erhalten sollen (Integration in die Matrix).

• Vermeidung von Wildwuchs: Widerstehen Sie der Versuchung, für jede Kleinigkeit sofort neue Rollen zu erstellen. Oft kann ein kombiniertes Rollen- und Objektberechtigungskonzept viele Fälle abdecken, ohne die Rollenzahl explodieren zu lassen. Wenn doch projekt- oder standortspezifische Rollen nötig sind, planen Sie deren Lebenszyklus von Anfang an (siehe projektbezogene Rollen oben).

• Dokumentation des Berechtigungskonzepts: Halten Sie eine aktuelle Dokumentation bereit, die alle Rollen, Berechtigungen, Verantwortlichkeiten und Prozesse beschreibt. Dazu gehören: eine Liste aller Rollen mit Beschreibung und zugehörigen Rechten (möglichst in Tabellenform oder Matrizenform für Übersichtlichkeit), Prozessbeschreibungen für Benutzeranlage, -änderung, -löschung, das Genehmigungsverfahren und die Rezertifizierung. Diese Dokumentation ist nicht nur für Auditoren wertvoll, sondern dient auch neuen Administratoren oder Prozessbeteiligten als Einarbeitungsgrundlage. Sie sollte versioniert und zentral abgelegt sein (z. B. im Intranet oder QM-System).

• Benutzerhandbücher und Richtlinien: Für Endbenutzer kann ein kurzes Nutzerdokument hilfreich sein, das erklärt, welche Anträge wie zu stellen sind, welche Verantwortlichkeiten der Benutzer hat (z. B. Passwort nicht weitergeben, bei Verdacht auf Missbrauch melden) und an wen er sich bei Problemen wendet. Solche Richtlinien zur IT-Nutzung decken meist das ganze Unternehmen ab, können aber um CAFM-spezifische Hinweise ergänzt werden (z. B. „Mobile Geräte mit CAFM-App müssen ein Gerätepasswort haben“).

• Schulung der Administratoren und Key-User: Die besten Prozesse nützen wenig, wenn die Ausführenden nicht damit vertraut sind. Daher ist Training ein wichtiger Baustein. Systemadministratoren des CAFM und gegebenenfalls Key-User in Fachabteilungen sollten in den Berechtigungsfunktionen der Software gut geschult sein: Wie legt man neue Benutzer an? Wie weist man Rollen zu? Wie erstellt man Berichte für Audits? etc. Ebenso sollten sie die hinterlegten Konzepte verstehen, um eigenständig konsistente Entscheidungen treffen zu können (z. B. bei einer nicht standardmäßigen Anfrage überlegen können, welche Rolle am besten passt). Schulen sollte man nicht nur einmal bei Einführung, sondern auch bei Änderungen (neue Module, geändertes Berechtigungskonzept) sowie refresher-Trainings alle paar Jahre.

• Awareness bei Genehmigern und Verantwortlichen: Personen, die Berechtigungen genehmigen (Abteilungsleiter, Datenowner) oder die Rezertifizierungen durchführen, brauchen ebenfalls ein Bewusstsein für ihre Aufgabe. Sie sind keine IT-Experten, aber sie müssen die Bedeutung von „Zuviel Berechtigung“ verstehen. Hier können kurze Workshops oder Informationssessions helfen, damit z. B. ein Vorgesetzter weiß, wie er im Access Review Portal die Rechte seiner Mitarbeiter bewertet und bestätigt.

• Wartung der technischen Basis: Dazu zählt, das System und seine Schnittstellen technisch aktuell zu halten. Patches des CAFM-Systems, insbesondere Security-Updates, sollten zeitnah eingespielt werden, um keine bekannten Lücken im Berechtigungsmanagement zu riskieren. Ebenso sollte z. B. ein ablaufendes SSL-Zertifikat für SAML rechtzeitig erneuert werden, damit die SSO-Anbindung nicht unterbricht.

• Kontinuierliche Verbesserung: Nutzen Sie Erkenntnisse aus Audits, Vorfällen oder Nutzer-Feedback, um die Prozesse anzupassen. Vielleicht zeigt ein Auditbericht, dass der Rezertifizierungsprozess zu aufwändig ist – dann prüfen Sie, ob ein Tool den Vorgang automatisieren kann. Oder Nutzer melden Verwirrung, welche Rolle zu beantragen ist – hier könnte man die Rollenbeschreibungen verbessern oder Self-Service vereinfachen. Die Berechtigungsverwaltung sollte sich an wandelnde Anforderungen anpassen können, ohne das Grundprinzip (Sicherheit und Ordnung) zu verlieren.

Eine gut gepflegte Benutzer- und Berechtigungsverwaltung bildet die Grundlage für ein sicheres und effizientes CAFM-System. Durch klare Rollen, definierte Prozesse über den gesamten Lifecycle, Integration mit vorhandenen Systemen und fortlaufende Kontrolle behält man den Überblick, wer worauf zugreifen darf. Mit Schulung und Dokumentation wird sichergestellt, dass alle Beteiligten ihren Part verstehen. So erreicht man ein Gleichgewicht zwischen Usability (Benutzer können ihre Arbeit ohne übermäßige Hürden erledigen) und Security/Compliance (nur Befugte haben Zugang, und dies ist jederzeit nachweisbar) – was letztlich den zuverlässigen Betrieb im Facility Management unterstützt.