BEKOM CLOUDIdentity & Access für EU-StandorteRollen, SSO und MFA zentral gesteuert
Identity & Access im Mehrländerbetrieb: SSO, Rollenmodelle und Gerätesicherheit über Ländergrenzen hinweg zentral gesteuert für alle EU-Standorte.
Identity-Governance über Ländergrenzen
Wenn ein Unternehmen Standorte in mehreren EU-Ländern betreibt, entscheiden Identitäten darüber, wer worauf zugreifen darf – über Länder, Abteilungen und Anwendungen hinweg. Ohne eine zentrale Identitätsquelle entstehen an jedem Standort eigene Benutzerverzeichnisse mit eigenen Rollen, eigenen Passwortregeln und unterschiedlichen Zugriffsrechten. BEKOM Cloud bietet im Rahmen von BEKOM Cloud für Unternehmen mit EU-Standorten ein standortübergreifendes Identity- und Access-Management, das zentral gesteuert und länderspezifisch ausgeprägt wird. Dazu gehören Rollenmodell, Authentifizierung über SSO und MFA, Gerätesicherheit sowie Anforderungen an Offboarding und Auditfähigkeit im Mehrländerbetrieb.
Zentrale Identitätsquelle für alle EU-Standorte
Eine zentrale Identitätsquelle bildet die Grundlage für standortübergreifenden Zugriff. Jeder Nutzer hat genau eine Identität, die in allen Anwendungen und an allen Standorten gilt. Änderungen an Rollen oder Beschäftigungsstatus werden einmal eingetragen und automatisch an verbundene Systeme weitergegeben.
Kernfunktionen der zentralen Identitätsquelle:
- Ein Benutzerkonto pro Person: Gültig für Cloud-Anwendungen, Standort-Systeme und Remote-Zugänge
- Automatisches Lifecycle-Management: Provisionierung und De-Provisionierung bei Rollenänderungen, Standortwechseln und Austritten
- Verzeichnisintegration: Anbindung bestehender Active-Directory- oder LDAP-Strukturen am Hauptsitz und an Standorten
- Mandantenfähigkeit: Trennung bei Beteiligungen, Tochtergesellschaften oder Joint-Venture-Strukturen innerhalb eines Konzerns
Warum Mehrländerbetrieb zusätzliche Anforderungen stellt
Identity & Access über Ländergrenzen ist kein reines Technikthema. Unterschiedliche arbeitsrechtliche Vorgaben, länderspezifische Datenschutzanforderungen und organisatorische Besonderheiten pro Standort verlangen ein Modell, das Einheitlichkeit mit lokaler Flexibilität verbindet.
Spezifische Anforderungen im Mehrländerbetrieb:
- Länderspezifische Zugriffsvorgaben: Datenschutzaufsicht pro Land, betriebsrätliche Mitbestimmung, regulierte Branchen mit zusätzlichen Anforderungen
- Organisatorische Besonderheiten: Standortleitungen und lokale Administratoren brauchen definierte Kompetenzen, ohne globale Governance zu umgehen
- Sprachliche und zeitliche Unterschiede: Support-Zeitzonen, lokalisierte Oberflächen und länderspezifische Kommunikationswege
- Differenzierung zu Eigenbetrieb und Systemhaus-Flickenteppich: Ein Betriebspartner für alle Standorte statt standortlokaler IAM-Einzelprojekte – ein Ansprechpartner, einheitliche Prozesse, planbare Kostenstruktur
Rollenmodell und Berechtigungen über Standorte
Ein tragfähiges Rollenmodell definiert, welche Zugriffe an welchen Standorten für welche Funktionen gelten. BEKOM unterscheidet dabei zwischen globalen Rollen (unternehmensweit einheitlich), standortspezifischen Ausprägungen (länderbezogen ergänzt) und temporären Rechten (für Projekte oder Vertretungsfälle). Die Modellierung erfolgt im Standort-Assessment und wird gemeinsam mit den Fachbereichen und der IT-Leitung erarbeitet.
Globale Rollen als gemeinsame Grundlage
Globale Rollen bilden den gemeinsamen Nenner über alle Standorte. Sie beschreiben Funktionen, die unabhängig vom Standort dieselbe Bedeutung haben – etwa Buchhaltung, Einkauf, Vertrieb oder Produktion. Jede globale Rolle ist klar definiert und an ein dokumentiertes Berechtigungsprofil gekoppelt.
Merkmale globaler Rollen:
Einheitliche Benennung: Dieselbe Rollendefinition pro Funktion – unabhängig vom Land oder Standort
RBAC-Steuerung: Rollenbasierte Zugriffssteuerung auf zentrale Anwendungen wie ERP, Dokumentenmanagement und Kollaborationswerkzeuge
Versionierung: Rollenbeschreibungen mit Änderungshistorie für Audit- und Nachweiszwecke
Rezertifizierung: Regelmäßige Überprüfung der Rollennotwendigkeit durch Fachbereichsleitungen
Standortspezifische Rechteausprägungen
Nicht jede Berechtigung ist an jedem Standort identisch. Länderspezifische Gesetze, lokale Anwendungen oder regionale Organisationsstrukturen erfordern Anpassungen. Das Modell erlaubt Ausprägungen pro Standort, ohne die globale Rollenstruktur aufzubrechen.
Typische standortspezifische Anpassungen:
Lokale Fachsysteme: Zugriff auf länderspezifische Steuer- oder Lohnbuchhaltungssysteme, die nur an einem Standort genutzt werden
Lokale Administratoren: Ergänzende Rollen mit klar umrissenem Verantwortungsbereich pro Standort
Länderspezifische Freigaben: Angepasste Workflows für regulierte Geschäftsvorgänge in einzelnen EU-Ländern
Befristete Ausnahmen: Lokale Sonderrechte mit dokumentierter Begründung und zeitlicher Begrenzung – keine unbefristeten Sonderrechte
Rechteverwaltung bei Standort- oder Funktionswechsel
Mitarbeitende wechseln Standorte, übernehmen neue Funktionen oder betreuen vorübergehend mehrere Bereiche. Das Rollenmodell bildet diese Übergänge strukturiert ab, statt Rechte zu kumulieren.
Prozesse bei Rollenwechseln:
Rollenentzug: Bisherige Rolle mit definiertem Stichtag entzogen, Rechte in allen angebundenen Systemen automatisch angepasst
Rollenvergabe: Neue Rolle nach Freigabe durch die neue Fachbereichsleitung und dokumentierter Übergabe
Übergabe-Doppelrollen: Zeitlich befristet bei Übergabephasen, automatischer Ablauf nach vereinbartem Zeitraum
Audit-Log: Protokollierung aller Rechteänderungen mit Bezug zu Rolle, Standort und freigebender Person
SSO, MFA und Gerätesicherheit
Authentifizierung entscheidet, ob zugewiesene Rollen wirksam werden. Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA) und Gerätesicherheit wirken zusammen: SSO reduziert Passwortvielfalt, MFA schützt vor kompromittierten Zugangsdaten, Gerätesicherheit stellt sicher, dass Zugriffe nur von bekannten und konform konfigurierten Geräten erfolgen.
Single Sign-On über Cloud-Dienste und Standort-Anwendungen
SSO ermöglicht Nutzern, sich einmal anzumelden und anschließend auf alle berechtigten Anwendungen zuzugreifen – unabhängig davon, ob die Anwendung im DE-Kern, an einem Standort oder bei einem externen Dienst betrieben wird. Die Anmeldung erfolgt gegen die zentrale Identitätsquelle.
SSO-Umfang im Multi-Site-Betrieb:
Einheitliche Anmeldung: An Cloud-Anwendungen, Kollaborationswerkzeugen und standortlokalen Systemen über ein einziges Authentifizierungsverfahren
Offene Standards: Unterstützung etablierter Protokolle wie SAML 2.0 und OpenID Connect zur Anbindung bestehender und neuer Anwendungen
Passwortreduktion: Genau ein zentrales Kennwort pro Nutzer – mit entsprechender Komplexitätsanforderung
Sitzungsverwaltung: Abmeldung wirkt standortübergreifend und beendet den Zugriff auf alle verbundenen Anwendungen
Multi-Faktor-Authentifizierung als Baseline
MFA ist im Mehrländerbetrieb Standard und nicht Ausnahme. Ein gestohlenes Passwort reicht nicht aus, um Zugriff zu erhalten – zusätzlich ist ein zweiter Faktor erforderlich. BEKOM definiert die Faktoren pro Nutzergruppe und Standort in Abstimmung mit der zentralen Governance.
MFA-Konfiguration pro Nutzergruppe:
Authenticator-Apps: Standardfaktor auf Dienstgeräten für reguläre Mitarbeitende
Hardware-Sicherheitsschlüssel: Für Rollen mit erhöhtem Schutzbedarf – etwa Administratoren, Finanzbuchhaltung oder Geschäftsleitung
Risikoadaptive Prüfung: Zusätzliche Abfrage bei ungewöhnlichem Standort, unbekanntem Gerät oder neuem Netzwerk
Fallback-Mechanismen: Definierte Pfade für Ausnahmefälle mit dokumentierter Freigabe durch lokale IT-Ansprechpartner
Gerätesicherheit für mobile und standortübergreifende Nutzer
Nutzer arbeiten an Dienstgeräten am Standort, an Laptops im Homeoffice und an mobilen Geräten unterwegs. Gerätesicherheit sorgt dafür, dass Zugriffe nur von bekannten Geräten mit definiertem Schutzstand erfolgen – unabhängig davon, wo sich der Nutzer gerade befindet.
Gerätesicherheits-Anforderungen:
Gerätebindung: Zugriff auf sensible Systeme nur von registrierten Geräten mit dokumentiertem Eigentumsverhältnis
Compliance-Prüfung: Verschlüsselung aktiviert, Betriebssystem aktuell, Schutzsoftware installiert – vor jedem Zugriff geprüft
MDM-Profile: Trennung zwischen dienstlicher und privater Nutzung auf mobilen Geräten über Mobile-Device-Management
Remote-Sperre: Ferngesteuertes Sperren oder Löschen bei Verlust, Diebstahl oder Austritt – auch standortübergreifend durchsetzbar
Offboarding und Auditfähigkeit
Identity & Access endet nicht beim Zugriff – Austritte, Standortwechsel und Audits sind feste Bestandteile des Lebenszyklus. Ein strukturierter Offboarding-Prozess verhindert verwaiste Konten; eine auditfähige Dokumentation macht Zugriffsentscheidungen nachvollziehbar.
Strukturiertes Offboarding bei Austritten und Standortwechseln
Wenn ein Mitarbeitender das Unternehmen verlässt oder den Standort wechselt, müssen Zugriffsrechte kontrolliert entzogen werden. Ein standardisierter Prozess stellt sicher, dass keine Restrechte zurückbleiben und keine Doppelrollen entstehen.
Offboarding-Schritte:
- HR-Auslöser: Aus Personal- oder HR-System mit definiertem Stichtag und dokumentiertem Anlass (Austritt, Standortwechsel, Freistellung)
- Automatisierter Rechteentzug: Alle zugewiesenen Rollen werden über die zentrale Identitätsquelle in allen angebundenen Anwendungen gleichzeitig entzogen
- Geräte- und Zugangsabwicklung: Rückgabe und Fernlöschung bei mobilen Geräten, Schließung von VPN- und Remote-Zugängen
- Datenarchivierung: Nutzerdaten werden nach dokumentierter Aufbewahrungsfrist archiviert und anschließend gemäß Datenschutzvorgaben gelöscht
Auditfähigkeit der Identitäts- und Zugriffsprozesse
Interne Revisionen, externe Audits und aufsichtsrechtliche Prüfungen verlangen nachvollziehbare Zugriffsdokumentation. Das IAM-Setup liefert die dafür notwendigen Nachweise standortübergreifend und ohne manuelle Zusammenstellung.
Auditrelevante Dokumentation:
- Zentrales Audit-Log: Alle Rechteänderungen, Anmeldungen und administrativen Eingriffe – abrufbar pro Nutzer, Rolle oder Standort
- Rezertifizierungsberichte: Welche Fachbereichsleitung hat welche Rollen wann geprüft und bestätigt
- Aufgabentrennung: Nachweis der Segregation of Duties zur Vermeidung unvereinbarer Rollenkombinationen
- Standortübergreifende Berichte: Unterstützung konsolidierter Audits – Details zur Audit-Koordination siehe den geplanten Cluster Compliance über Standorte
Verwandte Themen: Identity & Access im Mehrländerbetrieb verzahnt sich mit Datenflüsse & Datenresidenz EU und Compliance & Governance über Standorte; weiterführende Hinweise zur anwendungsspezifischen IAM-Integration unter Managed Custom Applications. Für Lead-Gen-Themen zum Standort-Rollout siehe Rollout & Migration in Stufen.
Häufige Fragen zu Identity & Access im Mehrländerbetrieb
Welches Identity-System nutzt BEKOM Cloud im Mehrländerbetrieb?
BEKOM setzt bewährte Identity-Plattformen mit SAML 2.0, OpenID Connect und SCIM-Provisionierung ein. Die konkrete Plattform wird im Standort-Assessment gewählt – abhängig von bestehenden Verzeichnissen, genutzten Anwendungen und regulatorischen Vorgaben pro Land. BEKOM betreibt das System dediziert pro Kunde, bindet vorhandene Verzeichnisse sowie Cloud-Anwendungen über standardisierte Schnittstellen an und dokumentiert die Architektur in der Übergabe.
Können wir unser bestehendes Identity-System weiterverwenden?
In vielen Fällen ja. Ein bestehendes Verzeichnis wie Active Directory am Hauptsitz wird als Quellsystem eingebunden und durch eine standortübergreifende Identitätsebene ergänzt. Die Übernahme bestehender Rollen und Gruppen ist Teil der strukturierten Umstellung. BEKOM prüft im Assessment, ob das System als Kern weitergeführt, um eine Cloud-Identitätsschicht erweitert oder schrittweise migriert wird.
Welche Kosten entstehen durch ein standortübergreifendes IAM-Setup?
Die Kosten bestehen aus planbaren Komponenten statt variabler Projektaufwände pro Standort: Grundbetrieb der zentralen Plattform, nutzungsbasierte Anteile für Anwendungs-Integrationen und MFA-Faktoren sowie einmalige Einführungskosten pro neuem Standort. Im Eigenbetrieb entstehen dagegen wiederkehrende Kostentreiber durch Betrieb, Updates, Monitoring und personelle Abdeckung mehrerer Standorte parallel. Die konkrete Struktur wird im Assessment transparent aufgeschlüsselt.
Wie funktioniert SSO, wenn Standorte unterschiedliche Anwendungen nutzen?
SSO funktioniert auch bei standortspezifischer Anwendungslandschaft, sofern die Anwendungen SAML 2.0 oder OpenID Connect unterstützen. Jede Anwendung wird einmal an die zentrale Identitätsquelle angebunden – unabhängig vom Standort oder der Nutzergruppe. Für Legacy-Anwendungen ohne Standardunterstützung bietet BEKOM Anbindungsoptionen über Reverse-Proxy-Verfahren oder Identity-Connector-Komponenten, die gemeinsam mit dem Anwendungsteam und dem betroffenen Standort geplant werden.
Wie verhindert das Setup unkontrollierte Zugriffsausweitung über Ländergrenzen?
Die Begrenzung erfolgt über das Rollenmodell und eine regelmäßige Rezertifizierung. Globale Rollen werden zentral definiert, standortspezifische Ausprägungen werden dokumentiert begründet und zeitlich begrenzt. Jede Rolle durchläuft eine Rezertifizierung durch die zuständige Fachbereichsleitung mit dokumentierter Freigabe. Zusätzliche Kontrollen wie Aufgabentrennung, Vier-Augen-Prinzip bei kritischen Rollen und Protokollierung aller Änderungen reduzieren das Risiko schleichender Rechteausweitung.
Wie schnell lassen sich neue Standorte an das IAM anbinden?
Neue Standorte werden nach dem standardisierten Onboarding-Prozess angebunden, der parallel zum Multi-Site-Management läuft. Das IAM-Setup nutzt dabei den bestehenden Rollenkatalog und die bereits verbundenen Anwendungen. Nur standortspezifische Ausprägungen – etwa länderspezifische Anwendungen oder lokale Compliance-Anforderungen – werden ergänzend konfiguriert. Der konkrete Zeitrahmen wird im Assessment nach Standortanzahl und Anwendungslandschaft ermittelt.
Wie unterscheidet sich das Setup von einem Public-Cloud-Identity-Provider?
Ein Public-Cloud-IdP wie Azure AD oder Okta ist ein geteiltes Mandantensystem mit eigener Datenhaltung beim Anbieter. BEKOM betreibt das IAM dediziert in Deutschland und integriert es in die BEKOM-Cloud-Governance. Datenhoheit, Betrieb und Integration mit vorhandener Infrastruktur liegen bei einem Ansprechpartner – ohne zusätzlichen Public-Cloud-Vendor und ohne Vertragsverhältnis mit einem Hyperscaler.
Wie unterstützt BEKOM interne und externe Audits?
BEKOM stellt standortübergreifende Audit-Berichte aus dem zentralen Audit-Log bereit: Rechteänderungen, Anmeldungen, Rezertifizierungsnachweise und Aufgabentrennung. Für externe Audits wird dokumentiert, welche Rollen an welchen Standorten bestehen, wer zugewiesen ist und wann zuletzt rezertifiziert wurde. Berichtsformate werden vorab mit der internen Revision oder externen Prüfern abgestimmt – ohne manuelle Datenaufbereitung pro Audit-Termin.
Nächster Schritt: Standort-Assessment anfragen
Der Einstieg in ein standortübergreifendes Identity- und Access-Management beginnt mit einem Assessment. BEKOM erfasst die bestehenden Identitätsquellen, Anwendungen und Rollenstrukturen an allen Standorten und entwickelt daraus ein konkretes IAM-Zielbild mit Rollenmodell, Authentifizierungsverfahren und Offboarding-Prozess.
Assessment anfragen
Kontaktieren Sie BEKOM für ein unverbindliches Standort-Assessment. Gemeinsam mit Ihrer IT-Leitung und den Fachbereichsverantwortlichen erfasst BEKOM die vorhandene Verzeichnisstruktur, die genutzten Anwendungen und die Rollenlandschaft an allen EU-Standorten.
IAM-Zielbild definieren
Auf Basis des Assessments entsteht ein konkretes IAM-Zielbild: Rollenmodell mit globalen und standortspezifischen Ausprägungen, SSO- und MFA-Konfiguration, Gerätesicherheits-Anforderungen und ein standardisierter Offboarding-Prozess.
Pilotstandort anbinden
Nach Ihrer Freigabe bindet BEKOM einen Pilotstandort an das IAM-Setup an. Die Erfahrungen aus dem Pilotbetrieb validieren das Rollenmodell und bilden die Grundlage für die weitere Ausrollung an den übrigen EU-Standorten.