Du hast keine Zugriffsrechte. Und jeder sieht alles.

Mal eine ehrliche Frage: Wer in deinem Unternehmen kann gerade auf die Gehaltsliste zugreifen? Wer kann Kundenverträge löschen? Wer kann Rechnungen ändern, ohne dass es jemand mitbekommt? Wenn du jetzt sagst, eigentlich jeder, dann bist du nicht allein. Aber du hast ein Problem.

In vielen kleinen und mittleren Unternehmen gibt es keine Zugriffsrechte. Jeder Mitarbeiter hat den gleichen Login, den gleichen Ordnerzugriff, die gleichen Rechte in der Software. Das fühlt sich erstmal nach Vertrauen und flachen Hierarchien an. In Wahrheit ist es ein Sicherheitsrisiko, ein Datenschutzverstoß und eine Einladung für teure Fehler.

Ich sehe das regelmäßig bei Unternehmen hier im Rhein-Kreis Neuss und in der Region Düsseldorf. Niemand hat sich je Gedanken darüber gemacht, wer was sehen darf. Weil es am Anfang nur fünf Leute waren. Und jetzt sind es zwanzig, und alle haben immer noch Zugang zu allem.

Warum das überhaupt ein Problem ist

Du denkst vielleicht, bei uns klaut doch keiner Daten. Das mag sein. Aber das ist nicht der Punkt. Fehlende Zugriffsrechte sind nicht nur ein Schutz gegen böswillige Mitarbeiter. Sie schützen vor Fehlern, vor Versehen, vor Dingen, die niemand absichtlich macht, die aber trotzdem Schaden anrichten.

Ein Beispiel aus der Praxis: Ein Mitarbeiter im Vertrieb öffnet eine Datei mit Lieferantenkonditionen, die eigentlich nur die Geschäftsführung sehen soll. Er erwähnt beiläufig einen Preis im Gespräch mit einem Kunden. Der Kunde nutzt das als Verhandlungsargument. Das Unternehmen verliert Marge, ohne zu wissen warum. Niemand hat etwas Böses gewollt. Es war einfach zu leicht, an die falschen Informationen zu kommen.

Oder ein anderes Szenario: Ein Praktikant löscht aus Versehen einen ganzen Projektordner. Weil er die gleichen Rechte hat wie der Projektleiter. Kein böser Wille. Einfach ein falscher Klick. Und plötzlich sind Monate Arbeit weg. Das passiert öfter, als du denkst.

Vertrauen ist kein Sicherheitskonzept

Ich höre den Satz oft: Ich vertraue meinen Leuten. Das ist auch gut so. Du solltest deinen Mitarbeitern vertrauen. Aber Vertrauen ersetzt keine Struktur. Du vertraust deinem Buchhalter ja auch, und trotzdem hat er nicht den Tresorschlüssel mit nach Hause genommen. Zugriffsrechte sind kein Zeichen von Misstrauen. Sie sind ein Zeichen von Professionalität.

Stell dir vor, du lässt jeden Mitarbeiter an jede Maschine in einer Fabrik. Ohne Einweisung, ohne Berechtigung. Das würde niemand machen. Aber bei digitalen Systemen machen es fast alle. Jeder darf alles, weil es bequem ist und weil sich nie jemand hingesetzt und gesagt hat, wir brauchen hier Regeln.

Außerdem schützt du mit Zugriffsrechten auch deine Mitarbeiter. Wenn etwas schiefgeht, wenn Daten verschwinden oder verändert werden, dann steht ohne Berechtigungskonzept erstmal jeder unter Verdacht. Mit klaren Rechten kann man nachvollziehen, wer Zugriff hatte. Das entlastet die Unschuldigen und schafft Klarheit.

Was die DSGVO dazu sagt

Falls du denkst, das ist alles optional: Die DSGVO sagt ganz klar, dass personenbezogene Daten nur von den Personen eingesehen werden dürfen, die sie für ihre Arbeit brauchen. Das nennt sich Prinzip der Datenminimierung und Need-to-know-Prinzip. Wenn dein Azubi die Krankenakte eines Kollegen öffnen kann, ist das ein Verstoß. Nicht theoretisch. Ganz konkret.

Die Bußgelder dafür sind nicht symbolisch. In Deutschland wurden bereits Strafen im fünfstelligen Bereich gegen kleine Unternehmen verhängt, weil Mitarbeiterdaten oder Kundendaten nicht ausreichend geschützt waren. Und es reicht schon eine Beschwerde eines einzelnen Mitarbeiters bei der Datenschutzbehörde in NRW, um eine Prüfung auszulösen.

Du musst kein Datenschutzexperte sein. Aber du musst nachweisen können, dass du dir Gedanken gemacht hast. Dass du ein Konzept hast, wer auf welche Daten zugreifen darf. Wenn du das nicht kannst, hast du im Ernstfall ein echtes Problem. Und zwar nicht nur finanziell, sondern auch reputationsmäßig.

Was ein Rollenkonzept ist und warum es einfacher ist, als du denkst

Ein Rollenkonzept klingt kompliziert, ist es aber nicht. Die Idee ist simpel: Du definierst Rollen in deinem Unternehmen. Geschäftsführung, Vertrieb, Buchhaltung, Werkstatt, Praktikant. Und dann legst du fest, welche Rolle auf welche Daten und Systeme zugreifen darf. Fertig. Das ist kein IT-Großprojekt. Das ist ein Nachmittag Arbeit.

Konkret sieht das so aus: Die Buchhaltung sieht Rechnungen und Zahlungsdaten. Der Vertrieb sieht Kundenkontakte und Angebote. Die Werkstatt sieht Aufträge und Materialisten. Und die Geschäftsführung sieht alles. Jeder hat genau das, was er braucht. Nicht mehr, nicht weniger.

Die meisten Systeme, die du bereits nutzt, können das. Microsoft 365, Google Workspace, euer ERP, euer CRM. Überall kannst du Berechtigungen einstellen. Das Problem ist nicht die Technik. Das Problem ist, dass sich niemand hinsetzt und es einrichtet. Und genau das solltest du ändern.

Typische Fehler, die ich immer wieder sehe

Der häufigste Fehler: Es gibt einen einzigen Login für alle. Ein Passwort, das auf einem Post-it am Bildschirm klebt. Alle nutzen denselben Account. Das bedeutet: Du weißt nie, wer was gemacht hat. Du kannst nichts nachvollziehen. Und wenn jemand das Unternehmen verlässt, hat er weiterhin Zugang, weil niemand das Passwort ändert.

Ein anderer Klassiker: Ehemalige Mitarbeiter haben noch aktive Zugänge. Ich habe bei einem Unternehmen in Korschenbroich mal einen IT-Check gemacht. Da hatten drei ehemalige Mitarbeiter noch vollen Zugriff auf das Firmennetzwerk. Einer davon hatte vor zwei Jahren gekündigt. Keiner hatte daran gedacht, die Zugänge zu sperren. Das ist nicht ungewöhnlich. Das ist der Normalfall.

Dritter Fehler: Rechte werden vergeben, aber nie überprüft. Ein Mitarbeiter wechselt die Abteilung, bekommt neue Rechte dazu, die alten bleiben bestehen. Nach drei Jahren hat er Zugriff auf praktisch alles, weil sich die Berechtigungen über die Zeit angesammelt haben. Das nennt man Privilege Creep, und es passiert in fast jedem Unternehmen ohne regelmäßige Überprüfung.

Was passiert, wenn es schiefgeht

Ich will dir keine Angst machen. Aber ich will ehrlich sein. Wenn es schiefgeht, geht es richtig schief. Ein unzufriedener Mitarbeiter, der kündigt und vorher noch schnell die komplette Kundenliste auf einen USB-Stick zieht. Das klingt nach Krimi, passiert aber regelmäßig. Gerade in Branchen mit hohem Wettbewerbsdruck.

Oder ein Ransomware-Angriff. Wenn ein einzelner Mitarbeiter auf einen falschen Link klickt und dieser Mitarbeiter Admin-Rechte hat, dann ist nicht nur sein Rechner betroffen. Dann ist alles betroffen. Jeder Ordner, jedes System, jede Datei, auf die er Zugriff hatte. Je mehr Rechte, desto größer der Schaden. Das ist keine Theorie. Das ist Alltag in der IT-Sicherheit.

Ein Handwerksbetrieb aus der Region hat letztes Jahr seinen kompletten Kundenstamm verloren, weil ein Mitarbeiter Phishing-Mails geöffnet hat. Der Mitarbeiter hatte Zugriff auf alles, weil es keine Einschränkungen gab. Die Wiederherstellung hat drei Wochen gedauert und mehr als 30.000 Euro gekostet. Drei Wochen, in denen keine Angebote rausgingen, keine Rechnungen geschrieben wurden, kein Kundenkontakt möglich war.

So setzt du Zugriffsrechte in deinem Unternehmen um

Erstens: Mach eine Bestandsaufnahme. Welche Systeme nutzt ihr? Cloud-Speicher, E-Mail, ERP, CRM, Buchhaltung, Projektmanagement. Schreib alles auf. Dann schau dir an, wer dort überall Zugang hat. Oft ist die Liste länger, als du erwartest. Das ist der erste Schritt, und er kostet nichts außer einer Stunde Zeit.

Zweitens: Definiere Rollen und weise sie zu. Wer braucht was für seine tägliche Arbeit? Nicht: Wer könnte es irgendwann mal brauchen. Sondern: Wer braucht es jetzt, heute, regelmäßig. Alles andere wird entzogen. Klingt hart, ist aber vernünftig. Wenn jemand mal ausnahmsweise Zugriff braucht, kann er fragen. Das dauert zwei Minuten.

Drittens: Richte persönliche Accounts ein. Jeder Mitarbeiter bekommt seinen eigenen Login. Kein geteiltes Passwort mehr. Kein allgemeines Büroaccount. Jeder ist identifizierbar. Das allein löst schon die Hälfte der Probleme. Und viertens: Überprüfe die Rechte regelmäßig. Einmal pro Quartal reicht. Wer ist gegangen? Wer hat die Abteilung gewechselt? Wer hat Rechte, die er nicht mehr braucht?

Du brauchst dafür keine teure Software

Viele Unternehmer denken, dass Zugriffsrechte ein riesiges IT-Projekt erfordern. Teure Beratung, neue Systeme, wochenlange Implementierung. Das ist Quatsch. Wenn du Microsoft 365 nutzt, kannst du Berechtigungen in SharePoint und Teams in einer Stunde einrichten. Wenn du Google Workspace nutzt, genauso. Die Werkzeuge sind schon da.

Auch die meisten Cloud-Anwendungen haben eingebaute Rechtekonzepte. Dein Buchhaltungstool, dein Projektmanagement, dein CRM. Überall gibt es Einstellungen für Benutzerrollen. Du musst sie nur nutzen. Das Problem war nie die Technik. Das Problem war, dass es niemand priorisiert hat.

Wenn du individuelle Software im Einsatz hast, die keine Rechtekonzepte bietet, dann ist das ein ernstes Warnsignal. Entweder die Software ist veraltet, oder sie wurde ohne Sicherheitskonzept entwickelt. In beiden Fällen solltest du handeln. Denn ein System ohne Zugriffsrechte ist wie eine Haustür ohne Schloss. Es funktioniert, bis es nicht mehr funktioniert.

Der erste Schritt ist einfacher, als du denkst

Du musst nicht morgen ein perfektes Berechtigungssystem haben. Aber du solltest morgen anfangen. Der erste Schritt ist, dir bewusst zu machen, was gerade offen liegt. Mach die Bestandsaufnahme. Schau in eure Systeme. Frag dich, ob der Praktikant wirklich die Gehaltslisten sehen muss.

Dann fang bei den kritischsten Daten an. Finanzen, Personal, Kundendaten. Schränke den Zugriff dort zuerst ein. Das dauert einen Tag, vielleicht zwei. Und danach arbeitest du dich Stück für Stück durch den Rest. Es muss nicht perfekt sein. Es muss nur besser sein als jetzt.

Ich helfe Unternehmen hier in der Region genau dabei. Nicht mit einem 200-seitigen Konzept, sondern mit pragmatischen Lösungen, die am nächsten Tag funktionieren. Zugriffsrechte einzurichten ist keine Raketenwissenschaft. Man muss es nur machen. Und die meisten machen es erst, wenn es zu spät ist. Sei nicht die meisten.