mibeon
K02 / Kategorie

Authentifizierung und Rollen

Sichere Anmeldung, klare Berechtigungen und saubere Rollenstrukturen — die Grundlage jedes Web-Portals.

Einleitung

Das unterschätzte Fundament

Ein Web-Portal lebt davon, dass nur die richtigen Personen die richtigen Dinge sehen und tun dürfen. Klingt selbstverständlich — und ist trotzdem einer der Bereiche, in dem Portal-Projekte am häufigsten stolpern. Authentifizierung wird zu kompliziert gedacht oder zu naiv umgesetzt. Rollenmodelle werden im Laufe der Zeit so aufgebohrt, dass niemand mehr versteht, wer was darf.

Wer hier sauber anfängt, spart später viel Reibung. Dieser Artikel ordnet die wichtigsten Konzepte ein, ohne in technische Tiefe zu verfallen — aber mit klarem Blick auf das, was im Mittelstand wirklich gebraucht wird.

Authentifizierung

Authentifizierung: Wer ist da?

Authentifizierung beantwortet die Frage: „Wer behauptet, da zu sein — und stimmt das?" Die wichtigsten Varianten in der Praxis:

  • Klassisches Login mit Passwort. Standard für die meisten Portale. Wichtig: sichere Passwort-Speicherung (kein Klartext, sondern moderne Hash-Verfahren), Schutz gegen Brute-Force-Angriffe, vernünftige Passwort-Richtlinien.
  • Zwei-Faktor-Authentifizierung (2FA). Zusätzliche Sicherheitsschicht über App, SMS oder E-Mail. Sinnvoll bei sensiblen Portalen — Pflicht bei Mandanten-, Lieferanten- oder Verwaltungsbereichen.
  • Single Sign-On (SSO). Anmeldung über einen zentralen Identitätsanbieter — etwa Microsoft Entra ID, Google Workspace oder ein internes Active Directory. Praktisch in Unternehmen, in denen Nutzer ohnehin schon zentral verwaltet sind.
  • Magic Links und Passwortlose Verfahren. Anmeldung über einen Link in der E-Mail, ohne Passwort. Bequem für Endnutzer, aber abhängig vom E-Mail-Kanal.
  • OAuth über externe Anbieter. Anmeldung über Google, GitHub, LinkedIn — vor allem für öffentlich zugängliche Portale oder Community-Bereiche relevant.
Berechtigungen

Rollen und Berechtigungen: Wer darf was?

Nach der Frage „Wer ist da?" kommt „Was darf diese Person?" — und genau hier wird es im Alltag schnell unübersichtlich. Ein paar Modelle, die sich in der Praxis bewährt haben:

Einfache Rollen

Eine überschaubare Anzahl klar definierter Rollen (z. B. Kunde, Admin, Mitarbeiter). Schnell verständlich, ausreichend für viele Mittelstandsportale.

Hierarchische Rollen

Rollen erben Rechte von übergeordneten Rollen. Übersichtlich, wenn klare Organisationsstrukturen vorhanden sind. Praktisch bei Mandanten- oder Filial-Logiken.

Rollen mit Rechte-Sets

Jede Rolle besitzt eine Liste konkreter Rechte (Bestellungen sehen, Rechnungen freigeben). Flexibler, etwas aufwendiger, gut für mittlere Portale.

Attributbasierte Berechtigungen

Rechte hängen nicht nur von der Rolle ab, sondern von Eigenschaften (nur eigene Bestellungen, nur Dokumente des eigenen Unternehmens). Mächtig, aber komplexer zu pflegen.

Anforderungen

Was bei Portalen besonders zählt

Über die Grundkonzepte hinaus gibt es Aspekte, die im Mittelstand oft den Unterschied zwischen einem brauchbaren und einem belastenden Portal ausmachen:

  • Sichere Sessions. Wie lange bleibt ein Login aktiv? Was passiert, wenn der Browser geschlossen wird? Wann wird automatisch abgemeldet?
  • Passwort-Reset ohne Reibung. Vergessen ist Standard — der Reset sollte funktionieren, ohne den Support zu blockieren.
  • Audit-Log. Wer hat sich wann eingeloggt? Wer hat was geändert? Pflicht bei sensiblen Portalen — und ein Nachweis bei Reklamationen.
  • Onboarding neuer Nutzer. Wie kommt eine neue Person ins System? Per Einladung, per Selbstregistrierung mit Freigabe, oder zentral durch Admin? Diese Frage wird oft zu spät gestellt.
  • Offboarding. Was passiert, wenn ein Mitarbeiter geht, ein Kundenvertrag endet, eine Person nicht mehr berechtigt ist? Klares Sperr- und Lösch-Konzept gehört dazu.
  • DSGVO-Konformität. Personenbezogene Daten brauchen klare Verarbeitungsregeln, Auskunftsrechte und Löschpfade.
Stolperfallen

Was im Alltag oft übersehen wird

Drei Punkte, an denen Authentifizierungs- und Rollen-Konzepte regelmäßig in der Praxis hakeln:

  • Rollen-Wildwuchs. Über die Zeit entstehen immer neue Sonderrollen, weil ein einzelner Anwendungsfall nicht in das bestehende Modell passte. Nach einem Jahr versteht niemand mehr, wer was darf. Sauber: regelmäßig aufräumen.
  • Vergessene Test-Accounts. Während der Entwicklung entstehen Accounts mit umfangreichen Rechten. Wenn sie nach dem Go-Live nicht deaktiviert werden, sind sie ein Sicherheitsrisiko.
  • 2FA als nachträglicher Aufsatz. 2FA fühlt sich an wie ein „kann man später ergänzen" — in der Realität wird der nachträgliche Einbau aufwendig, weil viele Stellen im Portal davon betroffen sind. Besser von Anfang an mitplanen.
Vorgehen

Pragmatisches Vorgehen für Berechtigungen

Bewährtes Vorgehen in Portal-Projekten:

  1. Rollen früh klären. Welche Personentypen wird es geben? Welche Aufgaben hat jede Rolle? Schon in der Konzeptphase festhalten — vor der ersten Codezeile.
  2. Mit dem einfachsten Modell starten. Einfache Rollen reichen für die meisten Portale. Komplexere Modelle nur, wenn der konkrete Bedarf sie wirklich verlangt.
  3. Wachstum einplanen. Rollen können sich vermehren, Rechte können sich verfeinern. Die Architektur sollte das aushalten, ohne neu gebaut werden zu müssen.
  4. 2FA und Audit-Log mitdenken — auch wenn nicht sofort aktiv. Beides nachträglich einzubauen kostet deutlich mehr.
  5. Pflegeprozess festlegen. Wer pflegt Rollen, wer prüft Berechtigungen, wer dokumentiert Änderungen? Ohne klare Verantwortlichkeit driften Rollenmodelle.
/ Nächster Schritt

Authentifizierung und Rollen sauber aufsetzen?

Beratung anfragen