Du hast keine Berechtigungsstrategie. Und dein Praktikant kann alles löschen.

Es ist Montagmorgen. Dein Praktikant will eine Rechnung raussuchen. Er öffnet euer System, klickt sich durch die Ordner und landet plötzlich bei den Gehaltslisten. Dann bei den Vertragsdetails eurer größten Kunden. Dann bei den Zugangsdaten zum Onlinebanking. Alles offen, alles erreichbar, alles nur einen Klick entfernt.

Du denkst jetzt vielleicht: Das ist bei uns nicht so schlimm, wir vertrauen unseren Leuten. Und das ist auch gut so. Vertrauen ist wichtig. Aber Vertrauen ersetzt kein System. Es ersetzt keine Struktur. Und es schützt dich nicht vor Fehlern, die aus Versehen passieren.

In den meisten kleinen und mittelständischen Unternehmen, die ich als Freelancer hier im Rhein-Kreis Neuss betreue, gibt es keine durchdachte Berechtigungsstrategie. Jeder sieht alles. Jeder kann alles. Und solange nichts passiert, fällt es niemandem auf. Aber irgendwann passiert etwas. Und dann wird es teuer.

Was eine Berechtigungsstrategie überhaupt ist

Klingt kompliziert. Ist es aber nicht. Eine Berechtigungsstrategie legt fest, wer in deinem Unternehmen auf welche Daten, Systeme und Funktionen zugreifen darf. Nicht mehr und nicht weniger. Es geht darum, dass jeder Mitarbeiter genau das sehen und tun kann, was er für seine Arbeit braucht. Und eben nur das.

Stell dir vor, du hast ein Büro mit zehn Räumen. In jedem Raum liegen andere Unterlagen. Gehälter, Kundendaten, Verträge, Finanzen, Passwörter. Würdest du jedem Mitarbeiter einen Generalschlüssel für alle zehn Räume geben? Wahrscheinlich nicht. Aber genau das passiert in den meisten IT-Systemen. Jeder hat den Generalschlüssel. Und niemand hat sich jemals Gedanken darüber gemacht.

Eine Berechtigungsstrategie bedeutet nicht, dass du deinen Mitarbeitern misstraust. Es bedeutet, dass du dein Unternehmen professionell führst. Große Unternehmen machen das seit Jahrzehnten. Für KMU ist es genauso wichtig, wird aber fast immer ignoriert. Dabei ist die Umsetzung oft einfacher als gedacht.

Was im Alltag wirklich passiert, wenn jeder auf alles zugreifen kann

Ich hatte letztes Jahr einen Kunden in Neuss, ein Handwerksbetrieb mit 15 Mitarbeitern. Der neue Azubi sollte Lieferscheine in der Software erfassen. Stattdessen hat er aus Versehen eine Preisliste überschrieben, die seit drei Jahren gepflegt wurde. Keine Absicht. Keine böse Motivation. Er hat einfach im falschen Bereich geklickt und auf Speichern gedrückt. Die alte Preisliste war weg. Es gab kein Backup dieser spezifischen Datei.

Ein anderer Fall: Eine Mitarbeiterin in der Buchhaltung hat aus Neugier die Gehälter aller Kollegen eingesehen. Eigentlich hatte sie nur Zugriff auf die Rechnungen gebraucht. Aber weil niemand die Rechte eingeschränkt hatte, konnte sie alles öffnen. Innerhalb von zwei Wochen wusste die halbe Belegschaft, was der andere verdient. Die Stimmung im Team war danach eine andere. Zwei Mitarbeiter haben kurz darauf gekündigt.

Das sind keine Horrorgeschichten aus dem Internet. Das sind reale Fälle aus Unternehmen, die ganz normal arbeiten. In Düsseldorf, in Korschenbroich, überall in NRW. Der Fehler liegt nicht bei den Mitarbeitern. Der Fehler liegt im System, das keine Grenzen setzt. Und diesen Fehler kannst du beheben.

Dazu kommen noch die Fälle, die du nie mitbekommst. Mitarbeiter, die Daten exportieren, bevor sie das Unternehmen verlassen. Oder die aus Frustration Kundenlisten kopieren. Wenn jeder überall ran kann, hast du keine Chance, das zu bemerken oder zu verhindern.

Warum die meisten KMU keine Berechtigungen haben

Die Antwort ist fast immer die gleiche: Es hat sich so ergeben. Am Anfang war das Unternehmen klein. Zwei, drei Leute, die sich vertraut haben. Jeder brauchte Zugriff auf alles, weil jeder alles gemacht hat. Das war damals auch in Ordnung. Aber dann ist das Unternehmen gewachsen. Neue Mitarbeiter kamen dazu. Und niemand hat die Rechte angepasst.

Oft höre ich auch: Das ist mir zu kompliziert, ich bin ja kein IT-Experte. Oder: Wir haben doch nichts zu verbergen. Oder mein persönlicher Favorit: Das regeln wir über Vertrauen. All das sind nachvollziehbare Aussagen. Aber sie lösen das Problem nicht. Sie verschieben es nur, bis es knallt.

Der dritte Grund ist Bequemlichkeit. Es ist einfacher, jedem vollen Zugriff zu geben, als sich hinzusetzen und zu überlegen, wer was braucht. Berechtigungen einzurichten kostet Zeit. Und Zeit ist im Alltag eines Unternehmers der knappste Rohstoff. Aber diese Investition zahlt sich aus. Jeder Euro und jede Stunde, die du hier reinsteckst, sparst du später zehnfach.

Das Prinzip der minimalen Rechte: So einfach ist das Grundkonzept

In der IT gibt es ein Prinzip, das sich "Least Privilege" nennt. Auf Deutsch: Jeder bekommt nur die Rechte, die er für seine Arbeit wirklich braucht. Nicht mehr. Das klingt streng, ist aber einfach nur vernünftig. Dein Buchhalter braucht Zugriff auf Rechnungen und Konten. Er braucht keinen Zugriff auf die Kundenkommunikation oder die Personalakten.

Dieses Prinzip lässt sich auf jedes System anwenden. Auf euer ERP, auf euer CRM, auf eure Dateiablage, auf euer E-Mail-System. Überall dort, wo Mitarbeiter sich anmelden und mit Daten arbeiten, kannst du festlegen, wer was sehen und bearbeiten darf. Die meisten Systeme bringen diese Funktionen schon mit. Sie werden nur nicht genutzt.

Fang mit einer einfachen Frage an: Welche Rollen gibt es in deinem Unternehmen? Geschäftsführung, Buchhaltung, Vertrieb, Sachbearbeitung, Werkstatt, Praktikanten. Für jede Rolle definierst du, welche Bereiche relevant sind. Dann richtest du die Rechte entsprechend ein. Das dauert für ein kleines Unternehmen vielleicht einen Nachmittag. Und danach hast du ein System, das euch schützt.

Wichtig dabei: Berechtigungen sind kein einmaliges Projekt. Wenn ein Mitarbeiter die Abteilung wechselt oder neue Aufgaben übernimmt, müssen die Rechte angepasst werden. Wenn jemand das Unternehmen verlässt, müssen die Zugänge sofort gesperrt werden. Klingt selbstverständlich, passiert aber in der Praxis erschreckend selten.

DSGVO: Du bist rechtlich verpflichtet, Zugriffe zu regeln

Viele Unternehmer wissen das nicht: Die Datenschutz-Grundverordnung verlangt, dass du personenbezogene Daten schützt. Dazu gehört auch, dass nicht jeder Mitarbeiter auf alle Kundendaten zugreifen kann. Wenn bei einer Prüfung rauskommt, dass dein Praktikant Zugriff auf die komplette Kundendatenbank hat, obwohl er nur Lieferscheine erfassen soll, hast du ein Problem.

Die Bußgelder bei DSGVO-Verstößen können empfindlich hoch ausfallen. Für kleine Unternehmen reden wir von Beträgen, die wehtun. 10.000 Euro, 20.000 Euro, in schweren Fällen deutlich mehr. Und selbst wenn es nicht zum Bußgeld kommt, der Reputationsschaden ist enorm. Kein Kunde will hören, dass seine Daten bei dir für jeden einsehbar waren.

Du brauchst kein 50-seitiges Datenschutzkonzept. Aber du brauchst einen nachvollziehbaren Plan, wer auf welche Daten zugreifen darf und warum. Das ist keine Kür. Das ist Pflicht. Und es ist einer der häufigsten blinden Flecken, die ich bei KMU in der Region sehe. Die gute Nachricht: Wenn du deine Berechtigungen einmal sauber aufsetzt, hast du diesen Punkt erledigt.

Typische Fehler, die ich in der Praxis immer wieder sehe

Fehler Nummer eins: Alle Mitarbeiter nutzen denselben Account. Ich sehe das erschreckend oft. Ein Login für alle, das Passwort steht auf einem Post-it am Bildschirm. Wenn etwas gelöscht wird, weiß niemand wer es war. Wenn ein Mitarbeiter geht, müsste man das Passwort für alle ändern. Macht aber keiner. Also hat der Ex-Mitarbeiter weiterhin Zugriff.

Fehler Nummer zwei: Rechte werden vergeben, aber nie wieder entzogen. Ein Mitarbeiter wechselt vom Vertrieb in die Buchhaltung. Er bekommt die neuen Rechte dazu. Die alten bleiben bestehen. Nach drei Jahren hat dieser Mitarbeiter mehr Zugriffsrechte als der Geschäftsführer. Ich habe das wirklich erlebt. Bei einem Unternehmen in Düsseldorf hatte ein Sachbearbeiter Admin-Rechte im ERP, weil er die irgendwann mal für eine einmalige Aufgabe bekommen hatte. Niemand hatte sie zurückgenommen.

Fehler Nummer drei: Cloud-Tools werden ohne Rechtekonzept eingeführt. Das Team nutzt plötzlich Google Drive, Trello, Slack oder Notion. Jeder legt sich einen Account an, jeder teilt Ordner wie er will. Nach sechs Monaten weiß niemand mehr, wer auf welche Dateien zugreifen kann. Sensible Informationen liegen in geteilten Ordnern, auf die sogar externe Freelancer noch Zugriff haben, die seit Monaten nicht mehr für euch arbeiten.

Fehler Nummer vier: Administratorrechte als Standard. Jeder Mitarbeiter ist Admin auf seinem Rechner. Jeder kann Software installieren, Einstellungen ändern, Sicherheitstools deaktivieren. Das ist so, als würdest du jedem Mitarbeiter den Tresorschlüssel geben, damit er sich leichter einen Kugelschreiber holen kann.

So setzt du eine Berechtigungsstrategie in der Praxis um

Schritt eins: Mach eine Bestandsaufnahme. Schreib alle Systeme auf, die in deinem Unternehmen genutzt werden. Wirklich alle. Die Buchhaltungssoftware, das CRM, die Dateiablage, das E-Mail-System, die Cloud-Tools, den Zugang zum Onlinebanking, den Zugang zum Hosting eurer Website. Die meisten Unternehmer unterschätzen, wie viele Systeme es tatsächlich sind. Bei einem meiner Kunden in Korschenbroich kamen wir auf 23 verschiedene Tools und Zugänge. Er hatte mit fünf gerechnet.

Schritt zwei: Definiere Rollen. Nicht für jeden einzelnen Mitarbeiter, sondern für Funktionen im Unternehmen. Geschäftsführung, Vertrieb, Buchhaltung, Sachbearbeitung, Produktion, Aushilfen. Jede Rolle bekommt ein Profil: Welche Systeme braucht sie? Welche Daten darf sie sehen? Darf sie Daten nur lesen oder auch bearbeiten oder löschen?

Schritt drei: Setze die Rechte in den Systemen um. Das klingt nach Arbeit, geht aber oft schneller als gedacht. Die meisten modernen Tools, von Microsoft 365 über Google Workspace bis hin zu gängiger Branchensoftware, haben eingebaute Rollen- und Rechtekonzepte. Du musst sie nur einschalten und konfigurieren. Wenn du dir unsicher bist, hol dir für diesen Schritt jemanden dazu, der sich auskennt.

Schritt vier: Dokumentiere das Ganze. Eine einfache Tabelle reicht. Wer hat welche Rolle? Welche Rolle hat Zugriff auf was? Wann wurde der Zugang eingerichtet? Diese Dokumentation brauchst du auch für die DSGVO. Und du brauchst sie, wenn mal jemand geht oder neu anfängt. Ohne Dokumentation fängst du jedes Mal bei null an.

Was dich der Verzicht auf Berechtigungen wirklich kostet

Lass uns mal rechnen. Ein Mitarbeiter löscht versehentlich eine wichtige Datei oder Datenbank. Die Wiederherstellung dauert zwei Tage, in denen das Team nicht richtig arbeiten kann. Bei zehn Mitarbeitern mit einem durchschnittlichen Stundensatz von 35 Euro sind das 5.600 Euro Produktivitätsverlust. Dazu kommen die Kosten für die IT-Unterstützung bei der Wiederherstellung. Und der Stress, der unbezahlbar ist.

Oder ein anderes Szenario: Ein ehemaliger Mitarbeiter hat noch Zugriff auf euer System und lädt eure Kundenliste herunter. Er geht zur Konkurrenz und nimmt eure besten Kunden mit. Was das kostet? Rechne mal den Deckungsbeitrag eurer zehn größten Kunden zusammen. Das ist der Betrag, den du riskierst.

Und dann sind da noch die versteckten Kosten. Mitarbeiter, die Daten sehen, die sie nicht sehen sollten. Gehaltsunterschiede, die für Unmut sorgen. Strategische Pläne, die durchsickern. Vertrauen, das verloren geht. Diese Kosten stehen in keiner Bilanz, aber sie sind real. Ich habe Unternehmen erlebt, in denen ein einziger Vorfall mit unkontrolliertem Datenzugriff die Teamdynamik für ein ganzes Jahr zerstört hat.

Du musst kein IT-Experte sein, um das richtig zu machen

Ich weiß, dass sich das alles technisch und kompliziert anhört. Aber das Grundprinzip ist einfach: Jeder soll nur das sehen und tun können, was er für seine Arbeit braucht. Das ist gesunder Menschenverstand, keine Raketenwissenschaft. Die technische Umsetzung ist in den meisten Fällen ein überschaubarer Aufwand.

Du brauchst dafür keine eigene IT-Abteilung. Du brauchst keine teure Software. Du brauchst jemanden, der sich einen halben Tag hinsetzt und die bestehenden Systeme sauber konfiguriert. Das kann ein externer IT-Dienstleister sein. Oder ein Freelancer, der sich damit auskennt. Wichtig ist, dass du den ersten Schritt machst.

Die Unternehmen, mit denen ich hier in der Region arbeite, sind danach immer erleichtert. Nicht weil die Umsetzung so spektakulär war, sondern weil sie endlich wissen, dass ihre Daten geschützt sind. Dass nicht jeder auf alles zugreifen kann. Dass es klare Regeln gibt. Das gibt ein gutes Gefühl. Und es ist professionell.