Wir haben unser Pentesting-Team gefragt: Was sind Eure häufigsten Findings?
Die Antwort:
- falsch zugeordnete Gruppen mit administrativen Rechten
- Fehlkonfigurationen im Active Directory
- identische lokale Administrator-Passwörter
- verwaiste oder nie bereinigte Konten
- unkontrollierte Service-Accounts
Technisch wirken diese Probleme unterschiedlich. In der Praxis haben sie jedoch meist dieselbe Ursache: Unternehmen verlieren schrittweise den Überblick darüber, wer worauf Zugriff hat und warum.
Hinzu kommt eine Entwicklung, die viele Sicherheitsstrategien grundlegend verändert. Mitarbeitende arbeiten mobil, Systeme liegen in der Cloud, externe Partner greifen auf Anwendungen zu, immer mehr Prozesse werden automatisiert oder KI-gestützt ausgeführt. Dadurch entsteht eine neue Realität: Die klassische Netzwerkgrenze verliert zunehmend an Bedeutung. Die eigentliche Sicherheitsgrenze eines Unternehmens ist heute immer häufiger die Identität selbst. Und daraus entstehen ganz reale Risiken: fehlende Nachvollziehbarkeit von Zugriffen, unnötige Angriffsflächen und im Ernstfall erhebliche Haftungs- und Sicherheitsprobleme.
Externe Anforderungen verändern die Sicht auf Identity Management
Klassischerweise betrachten Unternehmen Identity Management noch immer primär als operatives IT-Thema. Mit regulatorischen Anforderungen wie NIS2 verändert sich diese Perspektive grundlegend. Denn plötzlich reicht es nicht mehr aus, Berechtigungen technisch bereitzustellen. Unternehmen müssen nachvollziehbar belegen können, warum ein Zugriff existiert, wer ihn verantwortet und wie Missbrauch verhindert wird. Genau hier beginnt Identity Governance.
Gleichzeitig steigt die Anzahl technischer Identitäten inzwischen deutlich schneller als die der eigentlichen Benutzer. Service-Accounts, API-Zugänge oder automatisierte Prozesse entstehen häufig dezentral im laufenden Betrieb. Nicht selten besitzen diese Konten weitreichende Berechtigungen, ohne dass Verantwortlichkeiten klar definiert sind.
Die Folge: Unternehmen verlieren nicht nur den Überblick über Benutzerrechte, sondern zunehmend auch über die digitalen Systeme, die eigenständig auf Daten und Anwendungen zugreifen.
Der häufigste Denkfehler: Tool-first statt Architektur-first
Viele Unternehmen starten mit der Frage nach dem richtigen Tool und investieren früh in Plattformen und Schnittstellen. Die eigentlichen Berechtigungsstrukturen bleiben jedoch unverändert. Das System digitalisiert dann lediglich die bestehende Unordnung.
Identity & Access Management (IAM) und Identity Governance & Administration (IGA) sind keine klassischen IT-Infrastrukturprojekte. Sie verändern, wie Unternehmen Zugriffe vergeben, Verantwortlichkeiten steuern und Identitäten über ihren gesamten Lebenszyklus kontrollieren. Und genau daran scheitern viele Projekte. Denn ein System kann fehlende Governance nicht kompensieren. Es macht sie lediglich sichtbar.
Ein sinnvoller Einstieg beginnt deshalb nicht mit Technologie, sondern mit Transparenz. Unternehmen sollten zunächst die kritischsten Zugriffe identifizieren:
- Wer besitzt welche administrativen Rechte?
- Welche Konten werden seit Monaten nicht mehr genutzt?
- Welche technischen Konten greifen automatisiert auf sensible Daten zu?
- Welche externen Dienstleister haben Zugriff auf produktive Systeme?
Erst wenn diese Transparenz vorhanden ist, lassen sich spätere Automatisierung und Systemintegration sinnvoll aufbauen.
Komplexitätsfalle Zero-Trust
Das Problem fehlender Identity
Governance zeigt sich aktuell besonders deutlich bei vielen
Zero-Trust-Initiativen. Die Grundidee ist nachvollziehbar: Jeder Zugriff soll
überprüfbar und kontrollierbar sein. In historisch gewachsenen IT-Landschaften
fehlt dafür jedoch häufig die notwendige Grundlage. Berechtigungen sind über
Jahre gewachsen, Rollenmodelle inkonsistent und Verantwortlichkeiten unklar. Hinzu
kommen Legacy-Systeme, technische Konten ohne klaren Owner oder dauerhafte
Ausnahmefreigaben für einzelne Benutzer.
Ohne Transparenz über bestehende
Identitäten und Zugriffe erhöht Zero Trust deshalb häufig zunächst die
operative Komplexität, statt Sicherheitsrisiken tatsächlich zu reduzieren.
Gerade im Mittelstand empfiehlt sich deshalb ein pragmatischer Ansatz. Nicht jedes Unternehmen benötigt sofort ein vollständig ausgebautes Zero-Trust-Modell. Sinnvoller ist es, klar abgegrenzte und besonders kritische Handlungsfelder zu priorisieren:
- privilegierte Administratorzugriffe
- verwaiste Konten ohne Verantwortliche
- Freigabeprozesse für neue Berechtigungen
- technische Konten mit weitreichenden Zugriffsrechten
So entsteht schrittweise ein Zero-Trust-Fundament, das organisatorisch beherrschbar bleibt und gleichzeitig unmittelbar Risiken reduziert.
Mehr zu Berechtigungen und Identity Management im nächsten Beitrag: >>Berechtigungen sind der eigentliche Angriffsvektor<<