Hilfe & Anleitung

Wie der IAM Governance Designer funktioniert

Diese Seite erklärt alle Funktionen — vom anonymen Schnellcheck bis zur fertigen Audit-Dokumentation. Sie können von links direkt zu jedem Thema springen.

§Überblick

Der IAM Governance Designer ist ein geführter Online-Dienst zur Erstellung auditfähiger IAM-Governance-Dokumentation nach ISO 27001. Er führt Sie strukturiert durch drei Ebenen:

  • Policy — Ihre Grundsätze und Richtlinien (was gilt bei uns?)
  • Procedure — Ihre Abläufe (wie setzen wir das um?)
  • Evidence — Ihre Nachweise (Fachberechtigungskonzepte je System)

Aus Ihren Antworten erzeugt der Designer fertige, auditfähige Dokumente — inklusive Hinweise an Stellen, an denen Beratung sinnvoll ist (markiert mit [EXPERTENTIPP]).

§Zwei Wege zum Ziel

Es gibt zwei Einstiege — wählen Sie passend zu Ihrem Wissensstand:

Pfad A
Fragenkatalog direkt

Für Teams, die ihre IAM-Prozesse bereits kennen und direkt ISO 27001-Dokumente erstellen wollen.

ca. 3–5 Stunden · 184 Fragen · 13 Module
Pfad B
anonym möglich
Reifegrad-Prüfung zuerst

Für Teams, die ihren IST-Stand noch nicht kennen oder eine schnelle Standortbestimmung brauchen.

ca. 20 Minuten · 22 Fähigkeiten · 66 Fragen
Tipp
Sie können die Pfade kombinieren: Erst die Reifegrad-Prüfung als Standortbestimmung, dann den priorisierten Fragenkatalog für die Dokumentation.

§Anonyme Reifegrad-Prüfung

Sie können die Reifegrad-Prüfung auch ohne Konto starten. Ihre Antworten werden ausschließlich in Ihrem Browser zwischengespeichert und nicht an uns übertragen.

  • Kein Konto, keine Registrierung — sofort loslegen.
  • Antworten bleiben erhalten, solange Sie diesen Browser (und denselben Rechner) verwenden.
  • Erst beim Klick auf Speichern → Konto erstellen entsteht ein dauerhaftes Konto.
  • Nach der Registrierung werden Ihre bisherigen Antworten automatisch in Ihr Projekt übernommen.
Achtung
Wenn Sie den Browser-Cache löschen oder den Browser/Rechner wechseln, sind die anonymen Antworten verloren. Nutzen Sie den Konto-Pfad, sobald Sie Ergebnisse dauerhaft sichern wollen.

§Konto, Login & Gast-zu-Konto

Es gibt drei Wege ins angemeldete System:

  1. Neu registrieren über Onboarding — legt Konto und erstes Projekt an.
  2. Anmelden über /login — bestehender Account.
  3. Aus Gast-Modus heraus — beim Speichern der anonymen Reifegrad-Prüfung öffnet sich ein Registrierungsformular. Nach erfolgreicher Anmeldung werden die anonym erfassten Antworten in Ihr neues Projekt übernommen.

§Reset-Funktion (Reifegrad-Prüfung neu starten)

Sowohl im anonymen als auch im angemeldeten Modus finden Sie unten in der Reifegrad-Prüfung einen Knopf ↺ Zurücksetzen.

  • Ein Bestätigungsdialog fragt Sie zur Sicherheit, ob Sie wirklich neu beginnen wollen.
  • Anonym: Alle lokal gespeicherten Antworten werden aus diesem Browser entfernt.
  • Angemeldet: Alle gespeicherten Reifegrad-Bewertungen dieses Projekts werden gelöscht.
Achtung
Die Aktion kann nicht rückgängig gemacht werden. Antworten im Fragenkatalog (Policy/Procedure/Evidence-Module) sind davon nicht betroffen — der Reset gilt ausschließlich für die Reifegrad-Prüfung.

§Reifegrad-Prüfung im Detail

Die Prüfung bewertet 22 IAM-Fähigkeiten mit jeweils drei Fragen auf einer Skala von 1 bis 3:

1 / 3 — Niedrig
Kein oder ad-hoc Vorgehen — erheblicher Handlungsbedarf.
2 / 3 — Mittel
Etabliert, aber Lücken — Verbesserung möglich.
3 / 3 — Hoch
Strukturiert, dokumentiert, regelmäßig überprüft.

Auf der rechten Seite sehen Sie ein Radar-Diagramm, eine Score-Verteilung, automatisch identifizierte kritische Lücken und eine kontextsensitive Empfehlung.

Mit Reifegrad-Prüfung speichern sichern Sie die Ergebnisse — anschließend wird der Schritt Gap-Analyse freigeschaltet.

§Gap-Analyse & Roadmap

Die Gap-Analyse leitet aus Ihren Reifegrad-Bewertungen konkrete Handlungsfelder ab und priorisiert sie nach ISO 27001-Bezug:

  • Control Coverage: Welche A.5/A.8-Controls Ihre aktuelle Reife abdeckt.
  • Kritische Lücken: Fähigkeiten mit einer Bewertung unter 1,5 — diese gehören meist als Erstes adressiert.
  • Roadmap: Vorschlag, in welcher Reihenfolge die Module bearbeitet werden sollten.

Sie können von hier direkt in den priorisierten Fragenkatalog wechseln, um die identifizierten Lücken in der Dokumentation zu schließen.

§Fragenkatalog (13 Module)

Der Hauptteil der Anwendung ist ein strukturierter Fragenkatalog mit insgesamt 184 Fragen, verteilt auf 13 Module über alle drei Ebenen:

ModulNameEbeneFragen
P1IAM Richtliniepolicy15
P2Identitätsvorgabenpolicy12
P3Zugriffsrichtliniepolicy16
P4Passwortpolicypolicy12
P5Berechtigungsrisikomanagementpolicy37
PR1Rollenmodellierungskonventionenprocedure9
PR2Rollenmodellierungsprozesseprocedure8
PR3Identitätsmanagementprozesse (JML)procedure15
PR4Rollenvergabeprozesseprocedure9
PR5Privileged Access Management (PAM)procedure10
PR6Monitoring & Kontrolleprocedure8
PR7Berechtigungsrisikomanagementprocedure19
E1Fachberechtigungskonzeptevidence14

In der Seitenleiste sehen Sie pro Modul den Fortschritt in Prozent. Nicht beantwortete Module werden im Dashboard hervorgehoben. Antworten können jederzeit überarbeitet werden — die Module-Reihenfolge ist empfohlen, aber nicht zwingend.

§Fragetypen

Im Fragenkatalog kommen mehrere Eingabearten vor:

  • Freitext — z.B. für Beschreibungen oder Begründungen.
  • Ja/Nein — einfache Bestätigung.
  • Einfachauswahl — genau eine von mehreren Optionen.
  • Mehrfachauswahl — beliebig viele aus einer Liste.
  • Tabelle — strukturierte Eingabe, z.B. eine Rollen-Matrix.
  • Datum — Datumsangabe.
  • Zahl — z.B. Anzahl Mitarbeitende.
  • Infotext — kein Eingabefeld, sondern erklärender Text als Lesehilfe.

Jede Frage hat zusätzlich:

  • Einen ISO-Bezug (z.B. „A.5.15“) zur Nachvollziehbarkeit im Audit.
  • Optionale Notizen, die zusammen mit der Antwort gespeichert werden.
  • Hinweise und Tipps direkt an der Frage (siehe nächster Abschnitt).

§Hilfe an jeder Frage

An jeder Frage unterstützen wir Sie direkt mit kontextbezogenen Hinweisen:

  • Erläuterung: Worauf die Frage abzielt und warum sie für die Dokumentation wichtig ist.
  • ISO-Tipp: Praxisnahe Empfehlung mit Bezug zu ISO 27001.
  • Governance-Prinzip: Welches Grundprinzip die Frage abbildet.
  • Glossar: Fachbegriffe sind direkt im Text verlinkt und erklärt.

Wo es komplex wird, unterstützt Sie unser Team: Mit [EXPERTENTIPP] markierte Stellen und der Button “Beratung anfragen” verbinden Sie direkt mit den IAM-Expert:innen von consiness.

§Dokumente generieren

Unter Dokumente in der Seitenleiste finden Sie zu jedem Modul ein eigenes Dokument, gruppiert nach den drei Ebenen (Policy / Procedure / Evidence).

  • Jede Modul-Zeile zeigt die Ebene (farblich), den Antwort-Fortschritt in %, ob bereits ein Dokument existiert, und einen Generieren-Knopf (bei vorhandenem Dokument: Neu).
  • Beim Generieren wird das Dokument aus Ihren Fragebogen-Antworten erstellt; der Fortschritt wird angezeigt und das Ergebnis erscheint direkt als Vorschau (mit Deckblatt).
  • Jedes Dokument trägt den Status Entwurf und ein Generierungs-Datum. Neu generieren überschreibt den Entwurf mit den aktuellen Antworten.
  • Mit PDF herunterladen exportieren Sie das Dokument; oben lädt zusätzlich der Reifegrad-Report als PDF.

Stellen mit [EXPERTENTIPP] markieren Themen, die fachliche Prüfung brauchen — jeder Tipp verlinkt direkt auf „Beratung anfragen“.

§Projekt-Setup

Unter Projekt-Setup verwalten Sie alle projektbezogenen Stammdaten:

  • Projekt-Info — Projektname, Unternehmen, Projekt-ID (z.B. IG-2026-001).
  • Team-Mitglieder — wer arbeitet mit welcher Rolle?
  • Einladungen — offene Einladungen, Einladungslinks, Gültigkeitsdauer.
  • Domänen / Systeme — Anlage von Fachberechtigungskonzepten (z.B. „SAP HCM“, „Salesforce CRM“).
  • Organisations-Ebenen — z.B. Werk, Kostenstelle, Abteilung — für die Modellierung.

§Rollen im Team

Es gibt fünf Rollen, die unterschiedliche Bereiche abdecken:

RolleAufgabe
OwnerVollzugriff auf alles — typischerweise CISO, IT-Leitung, Datenschutzbeauftragter
Policy-OwnerVerantwortlich für die Policy-Ebene (Module P1–P3)
Procedure-OwnerVerantwortlich für die Procedure-Ebene (Module PR1–PR6)
Domain-OwnerFachbereichs-Owner — sieht und bearbeitet nur das ihm zugewiesene Fachberechtigungskonzept
ViewerLesezugriff — kann mitlesen, aber nichts verändern

§Fachberechtigungskonzepte (E1)

Modul E1 ist anders als die übrigen Module: Statt einer einzigen Antwort pro Frage entsteht pro System / Fachbereich ein eigenes Konzept — z.B. eines für SAP, eines für Salesforce, eines für HR.

  • Sie legen Domänen unter Projekt-Setup → Domänen an.
  • Jeder Domäne kann ein Domain-Owner zugeordnet werden, der nur sein Konzept sieht.
  • E1 enthält 6 Blöcke (A–F): Metadaten, Funktionen, Rollen, Technik, Zuweisung, Rezertifizierung.
  • Im Navigationseintrag Fragenkataloge erscheint pro Domäne eine eigene E1-Zeile.

§Einladungen

Unter Projekt-Setup → Einladungen können Sie weitere Personen ins Projekt einladen. Der Ablauf:

  1. E-Mail-Adresse, Rolle und (bei der Rolle Domain-Owner) Domäne festlegen.
  2. Die Einladung erzeugt einen persönlichen Einladungslink.
  3. Empfänger öffnet den Link, sieht Projektdetails und kann ein Konto erstellen — oder sich anmelden, falls er bereits einen Account hat.
  4. Nach Annahme ist die Mitgliedschaft aktiv.
  5. Standard-Gültigkeit: 7 Tage; abgelaufene Einladungen können neu erstellt werden.

§Datenschutz & Datenhaltung

Der IAM Governance Designer ist ein gehosteter Dienst der consiness GmbH & Co. KG — Sie müssen nichts installieren.

  • Ihre Eingaben werden sicher auf unseren Servern verarbeitet und Ihrem Konto bzw. Projekt zugeordnet.
  • Anonyme Reifegrad-Prüfung: Solange Sie kein Konto anlegen, bleiben Ihre Antworten nur in Ihrem Browser und werden nicht an uns übertragen — erst beim Anlegen eines Kontos werden sie übernommen.
  • Alle Einzelheiten zu Verarbeitung, Speicherung und Ihren Rechten finden Sie in unserer Datenschutzerklärung.

§Häufige Fragen (FAQ)

Muss ich alle 116 Fragen beantworten?

Nein. Die Anwendung speichert jede Antwort einzeln und Sie können den Fragenkatalog jederzeit unterbrechen. Für eine vollständige Audit-Dokumentation sind allerdings alle Pflichtfragen nötig — die Module-Fortschrittsbalken zeigen Ihnen, wo noch Lücken sind.

Was passiert mit meinen anonymen Antworten, wenn ich ein Konto erstelle?

Sie werden automatisch in Ihr neu angelegtes Projekt übernommen. Anschließend wird der lokale Browser-Speicher bereinigt, damit es keine Doppelgleise gibt.

Kann ich später noch zwischen den Pfaden wechseln?

Ja. Sie können jederzeit zur Reifegrad-Prüfung zurückkehren und auch parallel im Fragenkatalog arbeiten. Die Daten sind unabhängig.

Wie zuverlässig sind die generierten Dokumente?

Der Designer erstellt etwa 80 % einer audit-tauglichen Vorlage. Die mit[EXPERTENTIPP]markierten Stellen sollten Sie fachlich überprüfen — sie sind Marker für Beratungs- oder Entscheidungsbedarf.

Kann ich mehrere Projekte gleichzeitig führen?

Ja. Sie können mehrere Projekte anlegen; standardmäßig wird Ihr zuletzt erstelltes Projekt angezeigt. Für klar getrennte Mandanten empfiehlt sich ein eigenes Konto je Mandant.

Wie setze ich die Reifegrad-Prüfung zurück?

Über den ↺ Zurücksetzen-Knopf in der Reifegrad-Ansicht. Mehr Details im Abschnitt Reset-Funktion.

§Glossar

ABAC
Attribute-Based Access Control — Berechtigungen ergeben sich aus Attributen (z.B. Abteilung, Projekt).
AD
Active Directory — Verzeichnisdienst von Microsoft zur Verwaltung von Nutzern und Rechten.
CISO
Chief Information Security Officer — Verantwortliche Person für Informationssicherheit.
DLP
Data Loss Prevention — Schutzmaßnahmen gegen den Abfluss sensibler Daten.
EDR
Endpoint Detection and Response — Erkennung von und Reaktion auf Bedrohungen direkt auf Endgeräten.
Evidence
Nachweisdokument: Wie wird es pro System konkret umgesetzt? (Fachberechtigungskonzept)
HR
Human Resources — Personalwesen.
IAM
Identity & Access Management — Wer darf auf was zugreifen, und wie wird das verwaltet.
IdP
Identity Provider — Zentraler Authentifizierungsdienst, der Identitäten bereitstellt.
IEC
International Electrotechnical Commission — Internationale Elektrotechnische Kommission (Normungsgremium).
IGA
Identity Governance & Administration — Übergeordnete Steuerung von Identitäten und Berechtigungen.
ISMS
Information Security Management System — Informationssicherheits-Managementsystem.
ISO
International Organization for Standardization — Internationale Normungsorganisation (z.B. ISO 27001).
ISO 27001 A.5 / A.8
Control-Bereiche der Norm: A.5 = organisatorische Controls, A.8 = technologische Controls.
IT
Information Technology — Informationstechnologie.
JIT
Just-in-Time Access — Privilegierte Rechte werden nur temporär bei Bedarf vergeben.
JML
Joiner-Mover-Leaver — Lebenszyklus eines Mitarbeitenden (Eintritt, Wechsel, Austritt), an den Berechtigungen geknüpft sind.
LDAP
Lightweight Directory Access Protocol — Protokoll für den Zugriff auf Verzeichnisdienste.
Least Privilege
Prinzip der minimalen Rechte: jede Identität erhält nur die wirklich nötigen Berechtigungen.
MDM
Mobile Device Management — Zentrale Verwaltung und Absicherung mobiler Endgeräte.
MFA
Multi-Factor Authentication — Mehrere Faktoren beim Login (Passwort + zweiter Faktor).
NIS2
EU-Richtlinie zur Cybersicherheit; ihre Umsetzung verlangt häufig auditfähige IAM-Dokumentation.
OU-Struktur
Organizational-Unit-Struktur — Hierarchische Gliederung von Objekten (z.B. im Active Directory) in Organisationseinheiten.
PAM
Privileged Access Management — Gesonderte Verwaltung privilegierter Konten (Admins, Service-Accounts).
Policy
Grundsatzdokument: Was gilt? (z.B. „Wir verwenden Least Privilege.")
Procedure
Ablaufdokument: Wie setzen wir das um? (z.B. konkreter Genehmigungs-Workflow)
RBAC
Role-Based Access Control — Berechtigungen werden über Rollen vergeben statt einzeln.
Rezertifizierung
Regelmäßige Überprüfung, ob bestehende Berechtigungen noch nötig sind.
SIEM
Security Information and Event Management — Zentrale Sammlung und Auswertung sicherheitsrelevanter Ereignisse und Logs.
SoD
Segregation of Duties — Funktionstrennung: bestimmte Rollenkombinationen sind unvereinbar (Vier-Augen-Prinzip).
SSO
Single Sign-On — Eine Anmeldung gilt für mehrere Systeme.
UEBA
User and Entity Behavior Analytics — Erkennung auffälligen Nutzer- und System-Verhaltens anhand von Verhaltensmustern.
VPN
Virtual Private Network — Verschlüsselter Fernzugriff auf ein internes Netzwerk.
ZTNA
Zero Trust Network Access — Netzwerkzugriff nach Zero-Trust-Prinzip: jede Anfrage wird einzeln geprüft, kein implizites Vertrauen.