Technical Automation Blog | NudgeIT

Wenn die Lizenz nicht zur Rolle passt und zu einem erhöhten Risiko führt

Geschrieben von Thomas Madsen | 18.05.2026 13:02:24

Rollendrift und Sicherheitslücken sind zwei Seiten desselben Problems. Wenn die Lizenzierung nicht mehr widerspiegelt, wie Menschen arbeiten oder welchen Bedrohungen sie ausgesetzt sind, ist die Durchsetzungsebene Ihres Betriebsmodells bereits veraltet.

 In den ersten beiden Beiträgen dieser Serie  (blog 1: Identity Entropy und blog 2:  Governance Debt Hiding in Plain Sight),  ging es um Identity Entropy und verwaiste Accounts. Beide Probleme entstehen aus derselben Realität: Microsoft 365 verändert sich langsamer als die Unternehmen, die darauf arbeiten. 

Es gibt jedoch ein drittes Muster. Weniger sichtbar. Oft gefährlicher.

Viele Unternehmen arbeiten heute mit Lizenz- und Sicherheitsmodellen, die nicht mehr der Realität entsprechen. Rollen haben sich verändert. Verantwortlichkeiten haben sich verschoben. Sicherheitsrisiken ebenfalls.

Die Lizenzierung hingegen basiert oft noch auf Annahmen aus vor zwei oder drei Jahren.  Das Resultat:

Die technische Kontrollschicht passt nicht mehr zur Organisation.

Und genau dort entsteht das eigentliche Risiko.

Das Problem beginnt beim Onboarding

Microsoft-365-Lizenzen werden meist einmal sauber vergeben:

  • Rolle definieren
  • Lizenz auswählen
  • Account provisionieren
  • Fertig

Danach wird nur noch punktuell angepasst. Das Problem: Rollen bleiben nicht statisch. Mit der Zeit:

  • übernimmt ein Projektleiter operative Führungsverantwortung,
  • ein Finance-Mitarbeiter arbeitet plötzlich regulatorisch,
  • Teams werden umgebaut,
  • Datenzugriffe verändern sich,
  • Verantwortlichkeiten wachsen.

Die Lizenz bleibt trotzdem oft dieselbe. Das nennt man Role Drift. Die Lizenz bildet nicht mehr die aktuelle Funktion ab, sondern die Vergangenheit.

Das ist kein Kostenproblem. Sondern ein Kontrollproblem. 

Viele Unternehmen betrachten Lizenzabweichungen primär als Optimierungsthema:

  • jemand hat „zu viel“ Lizenz,
  • jemand anderes „zu wenig“.

Das greift zu kurz. In Microsoft 365 steuern Lizenzmodelle direkt, welche Sicherheitsmechanismen überhaupt technisch verfügbar sind:

  • Conditional Access
  • Data Loss Prevention (DLP)
  • Advanced Auditing
  • Defender-Funktionen
  • Privileged Identity Management
  • erweiterte Log-Retention

Wenn Rollen wachsen, die Lizenzierung jedoch stehen bleibt, entstehen Sicherheitslücken nicht durch Fehlverhalten, sondern durch organisatorische Drift.

Ein Mitarbeiter mit erweiterten Compliance-Aufgaben hat möglicherweise nicht die notwendigen DLP-Funktionen.

Ein anderer besitzt weiterhin Enterprise-Rechte, obwohl die Rolle längst vereinfacht wurde.

Die Sicherheitsarchitektur wird inkonsistent. Und Inkonsistenz ist auditrelevant. Auch ohne Sicherheitsvorfall.

Die gefährlichste Lücke: Bezahlt, aber nicht aktiviert

Noch problematischer ist eine zweite Form der Fehlanpassung. Viele KMU haben Sicherheitsfunktionen lizenziert, aber nie vollständig umgesetzt.

Das passiert ständig:

  1. Security wurde eingekauft,
  2. das Risiko wurde diskutiert,
  3. die Lizenz wurde bestellt,
  4. die Einführung begann,
  5. dann kam das Tagesgeschäft.

Die Funktion existiert im Tenant, aber nicht im Betrieb. Typische Beispiele:

  • Conditional-Access-Regeln mit „temporären“ Ausnahmen, die seit Jahren bestehen
  • Defender-Pläne mit erweiterten Funktionen, von denen nur Basisfeatures genutzt werden
  • DLP-Richtlinien für einzelne Bereiche, während andere Daten komplett ungeschützt bleiben
  • MFA für „fast alle“, ausser historische Ausnahmegruppen

Die Rechnung suggeriert Sicherheit. Die Realität oft nicht. Eine Lizenz ist keine Schutzmassnahme. Erst Konfiguration und Durchsetzung machen daraus Kontrolle.

 Die gefährliche Illusion stabiler Kosten

Viele CIOs interpretieren eine stabile Microsoft-365-Rechnung als Zeichen von Kontrolle. Keine Überraschungen. Keine Eskalation. Alles ruhig.

Aber stabile Kosten bedeuten nicht, dass die Sicherheitsarchitektur noch zur Organisation passt. Im Gegenteil: Genau dort verstecken sich oft:

  • Überlizenzierung,
  • fehlende Sicherheitsfunktionen,
  • alte Ausnahmeregeln,
  • nie abgeschlossene Security-Rollouts.

In anderen Bereichen würden solche Inkonsistenzen sofort auffallen. Wenn Produktionssysteme an jedem Standort unterschiedlich konfiguriert wären, wäre das Problem sichtbar. Bei Identitäten, Lizenzen und Zugriffsmodellen bleibt die Fehlanpassung oft jahrelang unsichtbar.

Bis ein Audit kommt, oder ein Incident.

Warum diese Lücken bleiben

Die Ursachen sind selten technisch. Sie sind organisatorisch.

  • Rollen ändern sich informell
  • IT wird nicht systematisch eingebunden
  • Lizenzreviews finden nur sporadisch statt
  • Security wird als Projekt behandelt, nicht als Betriebsdisziplin
  • Niemand prüft regelmässig, ob lizenzierte Sicherheitsfunktionen tatsächlich aktiv sind

Gerade in KMU ist das nachvollziehbar. Der Fokus liegt auf Betrieb, Verfügbarkeit und Delivery. Aber Microsoft-365-Lizenzierung ist heute kein administratives Nebenthema mehr. Sie definiert direkt:

  • wer worauf zugreifen kann,
  • welche Kontrollen technisch möglich sind,
  • und welche Risiken überhaupt begrenzbar sind.

 

Was Unternehmen stattdessen brauchen 

Nicht permanente Reorganisation, sondern regelmässige Re-Baselining-Prozesse. Konkret bedeutet das:

  • Lizenzierung regelmässig gegen tatsächliche Nutzung prüfen
  • Rollenwechsel automatisch mit Access- und Lizenzreviews koppeln
  • kontrollieren, ob lizenzierte Sicherheitsfunktionen wirklich aktiv sind
  • historische Ausnahmen in MFA-, DLP- und Conditional-Access-Regeln bereinigen

Das ist keine „Lizenzoptimierung“ - Das ist operative Governance.

Drei Fragen für CIOs 

Die meisten Unternehmen brauchen keinen externen Benchmark, um ihre Situation einzuschätzen.

Drei Fragen reichen:

  1. Wann wurden Lizenzmodelle zuletzt gegen reale Rollen und Nutzung validiert?
  2. Welche Sicherheitsfunktionen sind tatsächlich aktiv – nicht nur eingekauft?
  3. Sind Rollenwechsel formal mit Access-Reviews verbunden oder basiert alles auf informeller Kommunikation?


Wenn diese Prozesse nicht klar definiert sind, bestehen die Lücken mit hoher Wahrscheinlichkeit bereits. Nicht wegen fehlender Kompetenz, sondern weil Organisationen sich schneller verändern als ihre Kontrollmechanismen.

Das eigentliche Risiko

Role Drift und Security Capability Gaps erzeugen selten sofort sichtbare Probleme.

Keine Alerts.
Keine roten Warnlampen.
Keine auffälligen Rechnungen.

Aber kleine Fehlanpassungen summieren sich über Jahre:

  • in unnötigen Kosten,
  • in Audit-Risiken,
  • und vor allem in der Differenz zwischen angenommener und tatsächlicher Sicherheit.

Die entscheidende Frage lautet deshalb nicht, ob diese Lücken existieren. Sondern ob das Unternehmen definiert hat, wann und wie sie systematisch korrigiert werden. Bevor ein Audit, ein Security Incident oder die nächste Microsoft-Preisrunde daraus ein dringendes Problem macht

 

 
Vollständigen Beitrag anzeigen