MES: Definition, Funktionen & Nutzen 2026
MES (Manufacturing Execution System): Funktionen nach VDI 5600, Architekturen, Kosten und Praxisergebnisse. Mit Implementierungsdaten aus 15.000+ Maschinen.
Von Mark Kobbert · Zuletzt aktualisiert: März 2026
Was ist Rollen- und Rechtemanagement (RBAC)?
Rollen- und Rechtemanagement, häufig als RBAC (Role-Based Access Control) bezeichnet, beschreibt die strukturierte Steuerung, wer in einem Produktionsumfeld was sehen, ändern oder ausführen darf. Statt einzelnen Personen direkt Berechtigungen zuzuweisen, werden Rollen definiert: "Maschinenbediener", "Schichtführer", "Qualität", "Instandhaltung", "Produktionsleitung", "IT-Administrator". Jede Rolle besitzt genau die Rechte, die für ihre Aufgaben notwendig sind.
In der Fertigung betrifft RBAC nicht nur IT-Systeme und Passwörter. Es betrifft produktionskritische Entscheidungen: Wer darf einen Auftrag starten? Wer darf eine Rezeptur ändern? Wer darf einen Stillstandsgrund korrigieren? Wer darf eine Qualitätsfreigabe erteilen? Wer darf OEE-Berichte exportieren? Wer darf ein Dashboard konfigurieren?
Wenn diese Fragen nicht systematisch beantwortet sind, passieren zwei Dinge: Entweder hat jeder Zugriff auf alles (Risiko: unkontrollierte Änderungen, Audit-Findings, Bedienfehler) oder der Zugriff ist so restriktiv, dass die tägliche Arbeit behindert wird (Risiko: Workarounds, geteilte Passwörter, Umgehung des Systems). Beides ist schlecht. RBAC löst beide Probleme gleichzeitig.
Warum RBAC in der Fertigung anders funktioniert als in der IT
In der klassischen IT bedeutet RBAC: Wer darf welche Dateien öffnen, welche Software starten, welche E-Mails lesen. In der Fertigung geht es um physische Konsequenzen: Falsch gesetzte Maschinenparameter erzeugen Ausschuss. Unautorisierte Rezepturänderungen gefährden die Produktqualität. Versehentliche Auftragsfreigaben verursachen Materialverschwendung. Nicht dokumentierte Stillstandskorrekturen verfälschen die OEE.
| Kriterium | RBAC in der IT | RBAC in der Fertigung (MES) |
|---|---|---|
| Schadensart bei Fehler | Datenverlust, Datenschutzverletzung, Compliance-Finding. | Ausschuss, Maschinenstillstand, Rückruf, Qualitätsproblem, Audit-Finding. |
| Zeitkritikalität | Sekunden bis Stunden. Meiste Fehler sind reversibel. | Sofort. Falsche Parameteränderung wirkt beim nächsten Zyklus. Nicht reversibel (Ausschuss ist produziert). |
| Benutzerumgebung | Büro-PC, Laptop. Ein Benutzer pro Gerät. | Shopfloor-Client, gemeinsam genutzt. Schichtwechsel. Handschuhe. Scanner. Barcode-Login. |
| Login-Frequenz | Einmal pro Tag (Single Sign-On). | Mehrmals pro Schicht. Bediener wechselt Maschine. Schneller Login notwendig (EKS, Barcode, Badge). |
| Rollenanzahl | Oft hunderte Rollen in komplexen Verzeichnisdiensten. | Typisch 5-10 Rollen pro Werk: Bediener, Schichtführer, Qualität, Instandhaltung, Produktionsleitung, Engineering, IT-Admin. |
| Audit-Relevanz | IT-Audit (ISO 27001). | Produktionsaudit (IATF 16949, IFS, BRC, GMP). Wer hat wann welche Freigabe erteilt? Wer hat welche Rezeptur geändert? |
Typische Rollen in einem MES
| Rolle | Typische Rechte | Typische Einschränkungen |
|---|---|---|
| Maschinenbediener | Auftrag starten/stoppen. Stückzahlen rückmelden. Stillstandsgrund erfassen. Shopfloor-Client bedienen. | Keine Parameteränderung. Keine Rezepturänderung. Kein Zugriff auf andere Maschinen/Linien. Kein Datenexport. |
| Schichtführer | Alle Bediener-Rechte plus: Stillstandsgründe korrigieren. Aufträge umpriorisieren. Schichtüberblick. Schichtbuch führen. | Keine Rezepturänderung. Keine Stammdatenpflege. Kein werksübergreifender Zugriff. |
| Qualität | Qualitätsprüfungen durchführen und dokumentieren. Freigaben erteilen oder verweigern. Qualitätsberichte einsehen. | Keine Auftragssteuerung. Keine Parameteränderung. Kein Zugriff auf Instandhaltungsfunktionen. |
| Instandhaltung | Maschinenalarme einsehen. Wartungsaufträge bearbeiten. Stillstandshistorie analysieren. Technische Stillstände qualifizieren. | Keine Auftragssteuerung. Keine Qualitätsfreigaben. Kein Zugriff auf Rezepturen. |
| Produktionsleitung | Alle Dashboards und Berichte. OEE-Analysen. Werksüberblick. Datenexport. KPI-Konfiguration. | Keine Stammdatenpflege. Keine Benutzerverwaltung. Lesender Zugriff auf Shopfloor-Funktionen. |
| Engineering / KVP | Rezepturen und Parameter pflegen. Störgrundkataloge verwalten. Stammdaten konfigurieren. Analysen und Reports. | Keine Benutzerverwaltung. Keine Auftragssteuerung im laufenden Betrieb. |
| IT-Administrator | Benutzerverwaltung. Rollenzuweisung. Systemkonfiguration. Schnittstellenverwaltung. Berechtigungsaudits. | Idealerweise kein Zugriff auf Produktionsdaten und -funktionen (Trennung von IT-Administration und Produktionsverantwortung). |
In der Praxis hat ein Werk mit 50-200 MES-Benutzern typischerweise 5-8 Rollen. Bei Multi-Werk-Rollouts kommt eine zusätzliche Dimension hinzu: Welche Rolle sieht welche Werke? Ein Produktionsleiter in Werk A sieht die Daten von Werk A. Ein COO sieht alle Werke. Ein externer Dienstleister sieht nur die Maschinen, die er betreut.
RBAC im MES: Wie es technisch funktioniert
| Ebene | Was wird gesteuert | Beispiel |
|---|---|---|
| Authentifizierung (Wer bist du?) | Identitätsprüfung: Login-Dialog, Barcode-Scan, Badge, elektronisches Schlüsselsystem (EKS), Single Sign-On (SSO) über Azure Active Directory. | Bediener scannt seinen Badge am Shopfloor-Client. System erkennt "Max Müller, Rolle: Maschinenbediener, Schicht: Früh, Sprache: Deutsch". |
| Autorisierung (Was darfst du?) | Rechtezuweisung basierend auf Rolle: Welche Funktionen sind sichtbar? Welche Aktionen sind erlaubt? Welche Daten sind zugänglich? | Maschinenbediener sieht: Auftragsstart, Stückzahl, Stillstandserfassung. Sieht nicht: Rezepturänderung, Datenexport, andere Linien. |
| Datenscope (Was siehst du?) | Einschränkung des sichtbaren Datenbereichs: Welches Werk? Welche Linie? Welche Maschine? Welcher Zeitraum? | Werksleiter Werk A sieht OEE aller Linien in Werk A. COO sieht OEE aller Werke. Bediener sieht nur seine Maschine. |
| Audit-Trail (Wer hat was gemacht?) | Dokumentation jeder Aktion mit Zeitstempel, Benutzer, Rolle und Kontext. Unveränderlich. | "15.03.2026 14:22 - Max Müller (Bediener) - Stillstandsgrund erfasst: Materialwechsel - Maschine M3 - Auftrag FA-2026-0815." |
Bei SYMESTIC wird RBAC auf mehreren Ebenen umgesetzt: Unbegrenzte Benutzeranzahl in allen Paketen, Azure Active Directory Integration im Enterprise-Paket für Single Sign-On und zentrale Benutzerverwaltung, Login Control am Shopfloor-Client über elektronisches Schlüsselsystem (EKS), Login-Dialog oder Barcode-Scan mit Autorisierungsprüfung und benutzerspezifischer Sprache, und Operator-Level-Dokumentation in der Traceability (jedes Teil wird mit Bediener und Security Level erfasst).
RBAC und Compliance in der Fertigung
In regulierten Industrien verlangen Normen und Auditoren, dass nur autorisierte Personen produktionsrelevante Daten ändern oder freigeben dürfen. RBAC ist die technische Grundlage dafür:
| Norm / Standard | RBAC-Anforderung | Wie das MES die Anforderung erfüllt |
|---|---|---|
| IATF 16949 (Automotive) | Kontrollierte Änderungsprozesse. Nachvollziehbarkeit von Freigaben. Dokumentierte Verantwortlichkeiten. | Nur Rolle "Engineering" darf Rezepturen ändern. Jede Änderung mit Zeitstempel, Benutzer und Begründung. Qualitätsfreigaben nur durch Rolle "Qualität". |
| IFS / BRC (Lebensmittel) | Zugangskontrollen zu produktionsrelevanten Parametern. Hygiene- und HACCP-bezogene Freigaben dokumentiert. | Parameterzugriff nur für autorisierte Rollen. CCP-Freigaben mit Benutzer-ID und Zeitstempel. Audit-Trail für alle Änderungen. |
| GMP (Pharma-Verpackung) | Elektronische Unterschriften (21 CFR Part 11). Getrennte Rollen für Ausführung und Freigabe (Vier-Augen-Prinzip). | Login mit Benutzer-ID und Passwort oder Badge. Freigabe nur durch definierte Rolle. Ausführende und freigebende Person müssen unterschiedlich sein. |
| ISO 27001 (IT-Sicherheit) | Prinzip der geringsten Berechtigung. Regelmäßige Berechtigungsaudits. Dokumentierte Rollendefinitionen. | Jede Rolle hat nur die minimal notwendigen Rechte. Rollenzuweisungen sind exportierbar für das IT-Audit. Azure AD Integration für zentrale Steuerung. |
Bei Klocke hat SYMESTIC den Einsatz im regulierten GMP-Umfeld ermöglicht: Erfassung von Stückzahlen und Stillständen über DI-Gateway, unidirektionale Anbindung an das Navision ERP, und rollenbasierter Zugriff, der sicherstellt, dass nur autorisierte Personen produktionsrelevante Daten sehen und ändern können. Die Skalierung innerhalb von nur 3 Wochen auf alle Linien am Standort Weingarten zeigt, dass RBAC bei SYMESTIC kein Implementierungsaufwand ist, sondern in der Plattform eingebaut.
RBAC bei Multi-Werk-Rollouts
Die eigentliche Komplexität von RBAC entsteht nicht im Einzelwerk, sondern beim Multi-Werk-Rollout. Wenn dasselbe MES in 3, 5 oder 10 Werken läuft, braucht das Rollenmodell eine zusätzliche Dimension: den Datenscope.
| Rolle | Funktionsrechte | Datenscope |
|---|---|---|
| Bediener Werk A | Shopfloor-Funktionen (Auftragsstart, Rückmeldung, Stillstand). | Nur seine Maschine in Werk A. |
| Produktionsleiter Werk A | Alle Dashboards, OEE-Analysen, Berichte, Datenexport. | Alle Linien in Werk A. |
| KVP-Manager (konzernweit) | Analysen, Vergleiche, Best-Practice-Identifikation. | Alle Werke. Lesender Zugriff. |
| COO | Multi-Site-Dashboard, Konzern-KPIs, strategische Berichte. | Alle Werke, alle Linien. |
| IT-Admin (zentral) | Benutzerverwaltung, Rollenzuweisung, Systemkonfiguration. | Alle Werke (Verwaltungsfunktionen). Kein Zugriff auf Produktionsdaten. |
| Externer Dienstleister | Maschinenalarme einsehen, Wartungsprotokoll führen. | Nur die Maschinen, die er betreut. Zeitlich begrenzt. |
Bei Meleghy Automotive hat SYMESTIC das MES innerhalb von 6 Monaten auf 6 Werke skaliert (Wilnsdorf, Gera, Brandys CZ, Bernsbach, Reinsdorf, Miskolc HU). Jedes Werk hat lokale Rollen (Bediener, Schichtführer, Werksleiter), und die Konzernleitung hat werksübergreifenden Zugriff auf OEE-Vergleiche und Konzern-KPIs. Der modulare Baukasten ermöglicht eigenständige Skalierung durch Meleghy, ohne dass bei jedem neuen Werk die Rollendefinition von Grund auf neu erstellt werden muss.
Bei Carcoustics wurde die Skalierung auf 500+ Anlagen in allen Werken (Deutschland, Polen, Slowakei, Tschechien, Mexiko, USA, China) umgesetzt. "Konzernweite Analyse zu Performance Kennzahlen" funktioniert nur, wenn das RBAC-Modell sauber definiert ist: Jedes Werk verwaltet seine lokalen Benutzer, die Konzernebene hat lesenden Zugriff auf alle Werke.
Typische Fehler beim RBAC in der Fertigung
Fehler 1: Jeder hat Admin-Rechte. Um Reibung zu vermeiden, bekommen alle Benutzer volle Rechte. Konsequenz: Bediener ändern versehentlich Rezepturen, Stillstandsgründe werden überschrieben, Audit-Findings bei jeder Prüfung. Die Lösung: 5-8 sauber definierte Rollen statt einer Einheitsrolle.
Fehler 2: Geteilte Logins. Ein Login pro Schicht statt pro Person. "Bediener_Frühschicht" statt "Max Müller". Konsequenz: Keine Nachvollziehbarkeit. Im Rückruffall nicht rekonstruierbar, wer welche Freigabe erteilt hat. In regulierten Umgebungen ein schweres Finding.
Fehler 3: RBAC nur in der IT, nicht am Shopfloor. Die ERP-Berechtigungen sind sauber definiert, aber am MES-Shopfloor-Client kann jeder alles. Das ist der kritische Punkt: Am Shopfloor werden die produktionsrelevanten Entscheidungen getroffen.
Fehler 4: Rollen nie überprüft. Ein Mitarbeiter wechselt von der Instandhaltung in die Qualität, behält aber seine alten Rechte. Über Jahre sammeln sich Berechtigungen an. Die Lösung: Vierteljährlicher Review der Rollenzuweisungen.
Fehler 5: Kein Audit-Trail. Das System hat Rollen, aber dokumentiert nicht, wer was wann geändert hat. Bei einem Qualitätsproblem ist nicht rekonstruierbar, welcher Benutzer welche Änderung vorgenommen hat. RBAC ohne Audit-Trail ist wirkungslos.
Häufige Fragen zum Rollen- und Rechtemanagement
Was ist der Unterschied zwischen RBAC und individuellen Berechtigungen?
Bei individuellen Berechtigungen wird jedem Benutzer direkt zugewiesen, was er darf. Bei 100 Benutzern sind das 100 individuelle Konfigurationen. Bei RBAC werden Rollen definiert (z.B. "Bediener", "Qualität", "Instandhaltung"), und jeder Benutzer wird einer Rolle zugewiesen. Neue Mitarbeiter bekommen sofort die richtigen Rechte, indem sie einer Rolle zugeordnet werden. Änderungen an einer Rolle wirken sofort für alle Benutzer dieser Rolle. RBAC ist wartbar, individuelle Berechtigungen nicht.
Wie funktioniert Login am Shopfloor, wenn Bediener Handschuhe tragen?
Moderne MES-Systeme bieten mehrere Login-Methoden für den Shopfloor: elektronische Schlüsselsysteme (EKS), Barcode-Scan des Mitarbeiterausweises, RFID-Badge oder einfacher Login-Dialog mit großen Tasten. Welche Methode passt, hängt von der Umgebung ab. In sauberen Montagelinien funktioniert ein Badge. In öligen Metallbearbeitungsumgebungen ist ein EKS robuster. Das MES muss alle Varianten unterstützen.
Brauche ich RBAC auch in einem kleinen Werk mit 20 Benutzern?
Ja, aber mit weniger Komplexität. Auch in einem kleinen Werk sollten mindestens drei Rollen existieren: Bediener (Shopfloor-Funktionen), Engineering/KVP (Konfiguration, Analyse), und Admin (Benutzerverwaltung). Das verhindert, dass der Bediener versehentlich Stammdaten ändert, und stellt sicher, dass bei Audits die Verantwortlichkeiten dokumentiert sind.
Wie funktioniert RBAC bei Multi-Werk-Rollouts?
Bei Multi-Werk-Rollouts wird das Rollenmodell um den Datenscope erweitert: Dieselbe Rolle "Produktionsleiter" existiert in jedem Werk, aber der Datenscope ist auf das jeweilige Werk begrenzt. Konzernrollen (COO, KVP-Manager) haben werksübergreifenden Zugriff. Cloud-native MES-Systeme mit zentraler Benutzerverwaltung (z.B. Azure Active Directory) machen das technisch einfach, weil Benutzer und Rollen zentral verwaltet und werksspezifisch zugewiesen werden.
Welche Verbindung besteht zwischen RBAC und Rückverfolgbarkeit?
Direkte Verbindung. Wenn das MES bei jedem Produktionsschritt den Bediener mit Rolle und Security Level dokumentiert, entsteht eine teilebezogene Benutzerhistorie: Welcher Bediener hat an welcher Station welches Teil bearbeitet, mit welcher Qualifikation, zu welchem Zeitpunkt. Im Rückruffall oder bei Qualitätsproblemen ist das der Nachweis, dass die richtige Person mit der richtigen Berechtigung die richtige Aktion ausgeführt hat.
Über den Autor:
Mark Kobbert
CTO der symestic GmbH. Verantwortet die Cloud-MES-Architektur seit 2014. B.Sc. Wirtschaftsinformatik.
LinkedIn
Exklusives Whitepaper
Lernen Sie die modernsten Ansätze der Industrie 4.0, die Sie in Ihrer Produktion schon morgen umsetzen können, um innerhalb von 4 Wochen Ihre Kosten um gut 20% zu reduzieren.
mehr erfahrenDigitalisierung der Produktion
Der schnelle Weg in die Digitalisierung
Profitabler werden – einfach und schnell
Effizienz durch Echtzeit-Daten
Kennzahlen für Ihren Erfolg
Ohne Investitionskosten optimieren
OEE SaaS – heute gebucht, morgen startklar
