Wie der IAM Governance Designer funktioniert

Der IAM Governance Designer ist eine KI-gestützte Plattform zur Erstellung auditfähiger IAM-Governance-Dokumentation nach ISO 27001. Die Anwendung läuft vollständig lokal und führt Sie strukturiert durch drei Ebenen:

• Policy — Ihre Grundsätze und Richtlinien (was gilt bei uns?)
• Procedure — Ihre Abläufe (wie setzen wir das um?)
• Evidence — Ihre Nachweise (Fachberechtigungskonzepte je System)

Aus Ihren Antworten erzeugt die KI fertige Markdown-Dokumente — inklusive Hinweise an Stellen, an denen Beratung sinnvoll ist (markiert mit [EXPERTENTIPP]).

Es gibt zwei Einstiege — wählen Sie passend zu Ihrem Wissensstand:

Sie können die Reifegrad-Prüfung auch ohne Konto starten. Ihre Antworten werden ausschließlich in Ihrem Browser (localStorage) zwischengespeichert.

• Kein Konto, keine Registrierung — sofort loslegen.
• Antworten bleiben erhalten, solange Sie diesen Browser (und denselben Rechner) verwenden.
• Erst beim Klick auf Speichern → Konto erstellen entsteht ein dauerhaftes Konto.
• Nach der Registrierung werden Ihre bisherigen Antworten automatisch in die Datenbank übertragen.

Es gibt drei Wege ins angemeldete System:

1. Neu registrieren über Onboarding — legt Konto und erstes Projekt an.
2. Anmelden über /login — bestehender Account.
3. Aus Gast-Modus heraus — beim Speichern der anonymen Reifegrad-Prüfung öffnet sich ein Registrierungsformular. Nach erfolgreicher Anmeldung werden die anonym erfassten Antworten in Ihr neues Projekt übernommen.

Demo-Zugang: demo@musterwerk.de / demo1234

Sowohl im anonymen als auch im angemeldeten Modus finden Sie unten in der Reifegrad-Prüfung einen Knopf ↺ Zurücksetzen.

• Ein Bestätigungsdialog fragt Sie zur Sicherheit, ob Sie wirklich neu beginnen wollen.
• Anonym: Alle lokal gespeicherten Antworten werden aus diesem Browser entfernt.
• Angemeldet: Alle gespeicherten Capability-Scores dieses Projekts werden aus der Datenbank gelöscht.

Die Prüfung bewertet 22 IAM-Fähigkeiten mit jeweils drei Fragen auf einer Skala von 1 bis 3:

Auf der rechten Seite sehen Sie ein Radar-Diagramm, eine Score-Verteilung, automatisch identifizierte kritische Lücken und eine kontextsensitive KI-Empfehlung.

Mit Reifegrad-Prüfung speichern persistieren Sie die Ergebnisse — anschließend wird der Schritt Gap-Analyse freigeschaltet.

Die Gap-Analyse leitet aus Ihren Capability-Scores konkrete Handlungsfelder ab und priorisiert sie nach ISO 27001-Bezug:

• Control Coverage: Welche A.5/A.8-Controls Ihre aktuelle Reife abdeckt.
• Kritische Lücken: Capabilities mit Score < 1,5 — diese gehören meist als Erstes adressiert.
• Roadmap: Vorschlag, in welcher Reihenfolge die Module bearbeitet werden sollten.

Sie können von hier direkt in den priorisierten Fragenkatalog wechseln, um die identifizierten Lücken in der Dokumentation zu schließen.

Der Hauptteil der Anwendung ist ein strukturierter Fragenkatalog mit insgesamt 128 Fragen, verteilt auf 11 Module über alle drei Ebenen:

In der Sidebar sehen Sie pro Modul den Fortschritt in Prozent. Nicht beantwortete Module werden im Dashboard hervorgehoben. Antworten können jederzeit überarbeitet werden — die Module-Reihenfolge ist empfohlen, aber nicht zwingend.

Im Fragenkatalog kommen mehrere Eingabetypen vor:

• text — Freitext, z.B. für Beschreibungen oder Begründungen.
• boolean — Ja/Nein.
• choice — Genau eine von mehreren Optionen.
• multi_choice — Beliebig viele aus einer Liste.
• table — Strukturierte Tabelle, z.B. Rollen-Matrix.
• date — Datumsangabe.
• number — Zahl (z.B. Anzahl Mitarbeitende).
• info — Kein Eingabefeld, sondern erklärender Text als Lesehilfe.

Jede Frage hat zusätzlich:

• Einen ISO-Bezug (z.B. „A.5.15“) zur Nachvollziehbarkeit im Audit.
• Optionale Notizen, die zusammen mit der Antwort gespeichert werden.
• KI-gestützte Erläuterung, Tipp und Warnung (siehe nächster Abschnitt).

Auf jeder Frageseite begleitet Sie rechts ein KI-Panel — die AIRail:

• Kontext / Erklärung: Warum ist diese Frage wichtig? Worauf zielt sie ab?
• Tipp: Praxisnahe Empfehlung, die zu typischen Unternehmenskontexten passt.
• Warnung: Wenn Ihre Antwort gegen Best Practices oder ISO-Anforderungen verstößt.
• Konsistenzprüfung: Bei Widersprüchen zwischen Policy und Procedure schlägt das System Alarm.

Bei der Dokumentengenerierung wird die KI streamend geladen — Sie sehen den Text in Echtzeit entstehen. Standard-Provider ist Anthropic Claude; bei Ausfall greift OpenAI als Fallback.

Unter Dokumente & Releases in der Sidebar finden Sie pro Modul das passende Dokument. Pro Dokument sehen Sie:

• Ebene (POLICY / PROCEDURE / EVIDENCE) — farblich markiert.
• Status: DRAFT (KI-Entwurf) → REVIEW (in Prüfung) → APPROVED (freigegeben) → RELEASED (veröffentlicht).
• Version (z.B. 0.1.0) und Generierungs-Datum.

Aktionen:

• Generieren / Neu generieren — startet die KI mit den aktuellen Antworten.
• Vorschau — zeigt das Markdown-Dokument inline an.
• In Release aufnehmen — siehe nächster Abschnitt.

Im generierten Markdown sind Stellen mit [EXPERTENTIPP] markiert, an denen die KI Beratung empfiehlt — diese Stellen sollten Sie vor dem Audit fachlich überprüfen.

Ein Release bündelt mehrere Dokumente unter einer gemeinsamen Versionsnummer (z.B. v1.0.0) — typischerweise als Audit-Snapshot oder nach einem Review-Zyklus.

• Versionsnummer, Titel und Notizen frei vergeben.
• Dokumente per Checkbox auswählen.
• Release wird mit Zeitstempel und Verantwortlichem gespeichert.
• Frühere Releases bleiben einsehbar — auch nach späteren Änderungen am Inhalt.

Unter Projekt-Setup verwalten Sie alle projektbezogenen Stammdaten:

• Projekt-Info — Projektname, Unternehmen, Projekt-ID (z.B. IG-2026-001).
• Team-Mitglieder — wer arbeitet mit welcher Rolle?
• Einladungen — Pending Invites, Token-Links, Gültigkeitsdauer.
• Domänen / Systeme — Anlage von Fachberechtigungskonzepten (z.B. „SAP HCM“, „Salesforce CRM“).
• Organisations-Ebenen — z.B. Werk, Kostenstelle, Abteilung — für die Modellierung.

Es gibt sechs Rollen, die unterschiedliche Bereiche abdecken:

Modul E1 ist anders als die übrigen Module: Statt einer einzigen Antwort pro Frage entsteht pro System / Fachbereich ein eigenes Konzept — z.B. eines für SAP, eines für Salesforce, eines für HR.

• Sie legen Domänen unter Projekt-Setup → Domänen an.
• Jeder Domäne kann ein Domain Owner zugeordnet werden, der nur sein Konzept sieht.
• E1 enthält 6 Blöcke (A–F): Metadaten, Funktionen, Rollen, Technik, Zuweisung, Rezertifizierung.
• Im Sidebar-Eintrag Fragenkataloge erscheint pro Domäne eine eigene E1-Zeile.

Unter Projekt-Setup → Einladungen können Sie weitere Personen ins Projekt einladen. Der Ablauf:

1. E-Mail-Adresse, Rolle und (bei DOMAIN_OWNER) Domäne festlegen.
2. Einladung erzeugt einen Link /invite/<token>.
3. Empfänger öffnet den Link, sieht Projektdetails und kann ein Konto erstellen — oder sich anmelden, falls er bereits einen Account hat.
4. Nach Annahme wird der Status auf ACTIVE gesetzt.
5. Standard-Gültigkeit: 7 Tage; abgelaufene Einladungen können neu erstellt werden.

• Die Anwendung läuft vollständig lokal (PostgreSQL + Next.js).
• Keine Cloud-Synchronisation — Antworten verlassen Ihren Server nicht.
• Einzige externe Abhängigkeit: KI-Aufrufe an Anthropic / OpenAI während der Generierung. Diese werden mit Ihrer Frage / Ihren Antworten als Kontext aufgerufen.
• Im anonymen Modus: alles bleibt ausschließlich im localStorage Ihres Browsers — keine DB-Persistenz, kein User-Eintrag.
• Im angemeldeten Modus werden Antworten in der lokalen Postgres-DB gespeichert; die Verknüpfung läuft über Projekt + Modul + (ggf.) Domäne + Fragen-ID.