• Frag AI:dentity
  • Warum IDM-Portal
  • Identity Management
    • Benutzerverwaltung
    • Delegation
    • IAM Self Service
    • Password Reset Self Service für Anwender
    • Telefonbuch
  • Authorization
    • Berechtigungsverwaltung
    • Genehmigungs-Workflow
    • Single Sign-on
    • Rollenbasierter Zugriff
    • Automation
  • Systeme
    • M365 Anbindung
    • PowerShell IAM
    • Active Directory
    • HR-System anbinden
  • News
  • Jetzt Termin vereinbaren
FirstWare IDM-PortalFirstWare IDM-Portal
FirstWare IDM-PortalFirstWare IDM-Portal
  • Warum IDM-Portal
  • Frag AI:dentity
  • Demo buchen
  • Deutsch
    • Englisch

Gruppenmitgliedschaften prüfen und regelmäßig validieren für ISO-Compliance

Compliance, News, Projekte |

 

Wie lassen sich wachsende Gruppenmitgliedschaften revisionssicher prüfen und dokumentieren? Vor genau dieser Frage stand unser Schweizer Kunde aus der Verkehrs- und Bahnindustrie, ein ISO-zertifiziertes Unternehmen. Die jährliche Rezertifizierung der Gruppenmitgliedschaften war vorgeschrieben, doch die bisherigen Werkzeuge reichten dafür nicht aus.

Gemeinsam mit unserem Team entstand der Rezertifizierungs-Service, der Unternehmen unterstützt, Gruppenmitgliedschaften zu prüfen und regelmäßig zu validieren.

Index

  • Die Herausforderung: Überberechtigungen
  • Unsere Lösung: Ein Service für die jährliche Rezertifizierung
  • Vorteile des Rezertifizierungs-Services
  • Projektherausforderungen und Besonderheiten
  • Ergebnis
  • Mehr über FirstWare IDM-Portal

Die Herausforderung: Überberechtigungen

Die Herausforderung beim Kunden war klar: Die Active Directory Gruppen wuchsen kontinuierlich. Immer mehr Mitarbeiter wurden Mitglied, während nur wenige die Gruppen wieder verließen – zum Beispiel Azubis, die in verschiedenen Gruppen eingetragen waren. Dadurch entstanden sicherheitsrelevante Überberechtigungen, die bei Audits problematisch werden konnten.

Zudem musste die jährliche Überprüfung und Dokumentation der Gruppenmitgliedschaften effizient und revisionssicher erfolgen. Das bisherige, selbst entwickelte System konnte diese Anforderungen nicht mehr abdecken, zumal der zuständige Mitarbeiter das Unternehmen verlassen hatte. Eine lückenlose Nachweisbarkeit über Logfiles war ebenfalls vorgeschrieben, um die ISO-Compliance sicherzustellen.

📩 Der Kunde wandte sich an uns mit der Bitte

  • einen Service bereitzustellen, der diese Prüfungen automatisiert,
  • revisionssicher dokumentiert und
  • flexibel an die Anforderungen des Unternehmens angepasst werden kann.

Unsere Lösung: Ein Service für die jährliche Rezertifizierung

Um die ISO-konformen Prüfungen sicherzustellen, wurde ein eigener Service auf Basis von .NET entwickelt. Die Funktionsweise läuft folgendermaßen:

  1. Der Service registriert sich auf einem Server und liest die Gruppenmitgliedschaften regelmäßig aus.
  2. Bei der Prüfung wird der aktuelle Stand mit der ursprünglichen Zusammensetzung der Gruppe verglichen.
  3. Alle Mitglieder werden automatisch in einen Approval-Status gesetzt. 
  4. Der jeweilige Group Manager hat anschließend 28 Tage Zeit, die Mitgliedschaften zu bestätigen oder zu entfernen.
  5. Erfolgt keine Bestätigung, wird das Mitglied konsequent aus der Gruppe entfernt.

Über ein kleines Konfigurationsfile kann der Prüfzyklus zudem flexibel angepasst werden, zum Beispiel von jährlich auf halbjährlich.

Vorteile des Rezertifizierungs-Services

👍 Individuelle Konfigurierbarkeit

Ein zentrales Merkmal des Rezertifizierungs-Services ist seine hohe Flexibilität in der Konfiguration. Unterschiedliche Gruppen können mit jeweils eigenen Prüfzyklen versehen werden. So lassen sich zum Beispiel Administrationsgruppen halbjährlich und normale Gruppen jährlich rezertifizieren. Die Unterscheidung erfolgt dabei ganz einfach anhand definierter Namenskonventionen, etwa durch das Präfix „ADM…“. Auf diese Weise können Unternehmen zeitgleich unterschiedliche Prüfintervalle für verschiedene Gruppentypen festlegen und zudem genau steuern, welche Gruppen überhaupt in die Prüfungen einbezogen werden.

👍 Benachrichtigungsfunktionen

Darüber hinaus wurde besonders viel Wert auf die Benachrichtigungsfunktionen gelegt. Group-Owner erhalten zum Start einer Prüfung eine E-Mail mit einem direkten Link zur Automationsoberfläche, in der sich Gruppenmitglieder komfortabel bestätigen oder ablehnen lassen – einzeln oder gesammelt in einem Schritt.

Zwei Erinnerungsmails stellen sicher, dass keine Prüfung übersehen wird: Die zweite geht zusätzlich auch an den Vorgesetzten der verantwortlichen Person. Nach Ablauf des Prüfzeitraums wird außerdem ein abschließender Ergebnisbericht verschickt. Damit wird die jährliche Rezertifizierung für Group-Owner nicht nur effizient, sondern auch besonders anwenderfreundlich.

Projektherausforderungen und Besonderheiten

Bei der Umsetzung des Rezertifizierungs-Services gab es mehrere technische und organisatorische Herausforderungen:

  • Der Service musste zuverlässig mit dem vorhandenen Active Directory und unserem Automation Service kommunizieren, ohne bestehende Abläufe zu stören.
  • Alle Änderungen an Gruppenmitgliedschaften mussten lückenlos protokolliert werden, damit die ISO-Compliance jederzeit nachweisbar ist.
  • Der Prüfzyklus sollte nicht starr sein, sondern an unterschiedliche Unternehmensanforderungen angepasst werden können (z. B. jährliche oder halbjährliche Prüfungen).

Ein wichtiger Schritt waren ein „Proof of Concept“ und eine schrittweise Einführung: Zunächst wurde die Machbarkeit mit einem kleinen PowerShell-Skript geprüft, bevor der dedizierte Service vollständig entwickelt und produktiv geschaltet wurde.

Administratoren und IT-Leiter wurden frühzeitig eingebunden, um den Service praxisnah einzurichten und die Akzeptanz bei allen Beteiligten sicherzustellen.

Diese Maßnahmen stellten sicher, dass der Service nicht nur funktional, sondern auch zuverlässig und wartungsfreundlich im Produktivbetrieb läuft.

✅ Der Service ist nun produktiv und erfolgreich beim Kunden im Einsatz.

Ergebnis

Dank der Automatisierung ist die jährliche Rezertifizierung der Gruppenmitgliedschaften nun sicher, nachvollziehbar und revisionsfest. Das Unternehmen spart Zeit, reduziert Überberechtigungen und erfüllt zuverlässig die Anforderungen seiner ISO-Zertifizierung.

Mehr über FirstWare IDM-Portal

IDM-Portal Hybrid IAM LösungDas FirstWare IDM-Portal von FirstAttribute ist eine integrierte Lösung für das Identity und Access Management (IAM), die die automatisierte Verwaltung von Nutzern und deren Berechtigungen ermöglicht, egal ob On-Prem oder in der Cloud.

Dieses Portal integriert sämtliche Facetten des Identity- und Access-Managements und ermöglicht einen zentralisierten Zugriff auf Identitäts- und Verzeichnisdienste.

Tags: Approval WorkflowISO-ComplianceRezertifizierung
Teilen

Search

Neueste Beiträge

  • HR-System und IAM verbinden: Praxisfall im öffentlichen Dienst
  • Onboardingprozess digitalisieren: Viele Neueinstellungen effizient managen
  • Was passiert mit nicht angenommenen Gastkonten in Microsoft Entra?
  • Gruppenmitgliedschaften prüfen und regelmäßig validieren für ISO-Compliance
  • So sparen Unternehmen Kosten in der Benutzerverwaltung

Kategorien

  • Allgemeines
  • Authorization Management
  • Compliance
  • Concepts
  • Identity Management
  • News
  • Projekte
  • Systeme


FirstAttribute

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 8196 998 4330
  • https://firstattribute.com/

Themen

  • Kontakt
  • Über uns
  • Unsere Kunden
  • Partnerschaft
  • Presse
  • FirstAttribute – Weitere Lösungen
  • News

News

  • HR-System und IAM verbinden: Praxisfall im öffentlichen Dienst
  • Onboardingprozess digitalisieren: Viele Neueinstellungen effizient managen
  • Was passiert mit nicht angenommenen Gastkonten in Microsoft Entra?
  • Gruppenmitgliedschaften prüfen und regelmäßig validieren für ISO-Compliance
  • So sparen Unternehmen Kosten in der Benutzerverwaltung
  • Microsoft-Lizenzkosten für externe Mitarbeiter senken

© 2026 · FirstAttribute AG.

  • AGBs und EULA
  • Datenschutzerklärung
  • Impressum
Prev Next