Verwaiste Benutzerkonten

Was sind verwaiste Benutzerkonten?

Unter einem verwaisten Benutzerkonto (engl. orphaned account) versteht man in der IT inaktive Benutzerkonten, die im System weiterhin bestehen bleiben, obwohl sie nicht mehr verwendet werden oder der zugehörige Benutzer die Organisation inzwischen verlassen hat. Ein typisches Beispiel sind vergessene Konten im Active Directory des Firmennetzwerks, aber auch Accounts in Drittanwendungen oder anderen Datenbanken können zu einem verwaisten Konto werden.

Verwaiste Benutzerkonten entstehen, wenn ein nicht mehr benötigtes Konto nicht rechtzeitig geschlossen wird. Oft liegt es an Problemen in der internen Kommunikation, etwa weil die Personal-Abteilung das IT-Team nicht darüber informiert, dass ein Angestellter das Unternehmen verlässt. Auch durch Abteilungswechsel oder Beförderungen können alte Accounts überflüssig werden. Mit einem automatisierten User Lifecycle Management, das Konten bei Bedarf selbstständig erstellt und entfernt, lassen sich solche Fehler vermeiden.

Übrigens: Wird ein Benutzerkonto gelöscht, ohne den zugehörigen Eintrag in der Access Control List zu entfernen, bleibt eine verwaiste SID zurück. Diese ist weitgehend harmlos, schadet jedoch der Übersicht.

Sicherheitsrisiken durch verwaiste Benutzerkonten

Wer glaubt, dass verwaiste Konten einen harmlosen Fehler darstellen, liegt falsch. Zum einen können überflüssige Konten weiterhin Software-Lizenzen belegen und dadurch die laufenden Kosten steigern. Zum anderen erhöhen verwaiste Konten das Risiko für Cyberangriffe und Datendiebstahl. Werden VPN- und Microsoft-365-Zugänge nicht deaktiviert, können ehemalige Mitarbeiter jederzeit und überall auf Firmendaten zugreifen.

Auch für Hacker sind vergessene Konten ein beliebtes Ziel, da diese nicht auf dem neuesten Stand gehalten werden, was Passwortrichtlinien und ähnliche Sicherheitsmaßnahmen angeht. Zudem gibt es hier keinen User, der wegen verdächtiger Aktivität auf dem eigenen Konto Alarm schreit. Inaktive, aber einsatzbereite Konten sind daher ein gefährliches Einfallstor für Cyberkriminelle. Dieser Bericht der Cybersecurity-Firma Sophos zeigt etwa, wie Kriminelle in zwei untersuchten Fällen Ransomware über verwaiste Konten in geschützte Systeme einschmuggeln konnten.

Statistik: Wie häufig sind verwaiste Benutzerkonten?

Aus Sicherheitsgründen sollten verwaiste Benutzerkonten umgehend gelöscht werden bzw. durch ein automatisches User Lifecycle Management gar nicht erst entstehen. Dennoch handelt es sich dabei um ein gängiges Problem, das in vielen Organisationen besteht.

Konkrete Zahlen liefert etwa der Data Risk Report des von Varonis. Im Bereich Industrie und Produktion hatten 44% der untersuchten Betriebe mehr als 1.000 verwaiste Konten. Im Finanzbereich lag der Wert bei 64 Prozent, im Gesundheitswesen sogar bei 79 Prozent aller Organisationen.

Wie finde ich inaktive Benutzerkonten?

Eine Möglichkeit, um verwaiste Konten im Firmennetzwerk ausfindig zu machen, ist der Einsatz von PowerShell. Mit einem passenden Skript lassen sich alle Accounts im Active Directory auflisten, die sich z.B. seit 90 Tagen nicht eingeloggt haben. Dazu eignen sich das CMDlet Search-ADAccount und der Parameter -AccountInactive. Ein mögliches Skript könnte z.B. so aussehen:

  • Search-ADAccount -AccountInactive -UsersOnly -TimeSpan 90.00:00:00 |

    Where {$_.Enabled -eq “True”} |

    Sort -property LastLogonDate -desc |

    ft UserPrincipalName, LastLogonDate -autosize

Die so produzierte Liste an inaktiven Konten ist aber nur ein erster Anhaltspunkt für die weitere Untersuchung. Immerhin kann es legitime Gründe dafür geben, dass ein Benutzerkonto längere Zeit nicht verwendet wurde (z.B. Urlaub oder Karenz). Beim Löschen von Nutzern im Active Directory ist außerdem darauf zu achten, auch Konten in Drittanwendungen zu schließen, die nicht mit AD verknüpft sind.

Um das Problem vergessener Konten langfristig zu bekämpfen, braucht es eine geeignete Lösung für die Benutzerverwaltung. tenfold hilft Ihnen nicht nur bei der Automatisierung von Joiner-Mover-Leaver-Prozessen in ihrer Organisation, sondern erleichtert auch die regelmäßige Überprüfung von Konten und Berechtigungen (der sogenannten Rezertifizierung) dank automatischer Benachrichtigungen.

Mehr über die Vorteile von Identity und Access Management mit tenfold erfahren Sie in unserem Artikel Was ist IAM?


[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download


Go to Top