Verwaiste Benutzerkonten

Bleiben nicht mehr benรถtigte Accounts im System zurรผck, spricht man von verwaisten Benutzerkonten. Wie es dazu kommt, welche Risiken mit inaktiven Konten verbunden sind und wie man diese effektiv bekรคmpft.

Was sind verwaiste Benutzerkonten?

Unter einem verwaisten Benutzerkonto (engl. orphaned account) versteht man in der IT inaktive Benutzerkonten, die im System weiterhin bestehen bleiben, obwohl sie nicht mehr verwendet werden oder der zugehรถrige Benutzer die Organisation inzwischen verlassen hat. Ein typisches Beispiel sind vergessene Konten im Active Directory des Firmennetzwerks, aber auch Accounts in Drittanwendungen oder anderen Datenbanken kรถnnen zu einem verwaisten Konto werden.

Verwaiste Benutzerkonten entstehen, wenn ein nicht mehr benรถtigtes Konto nicht rechtzeitig geschlossen wird. Oft liegt es an Problemen in der internen Kommunikation, etwa weil die Personal-Abteilung das IT-Team nicht darรผber informiert, dass ein Angestellter das Unternehmen verlรคsst. Auch durch Abteilungswechsel oder Befรถrderungen kรถnnen alte Accounts รผberflรผssig werden. Mit einem automatisierten User Lifecycle Management, das Konten bei Bedarf selbststรคndig erstellt und entfernt, lassen sich solche Fehler vermeiden.

รœbrigens: Wird ein Benutzerkonto gelรถscht, ohne den zugehรถrigen Eintrag in der Access Control List zu entfernen, bleibt eine verwaiste SID zurรผck. Diese ist weitgehend harmlos, schadet jedoch der รœbersicht.

Sicherheitsrisiken durch verwaiste Benutzerkonten

Wer glaubt, dass verwaiste Konten einen harmlosen Fehler darstellen, liegt falsch. Zum einen kรถnnen รผberflรผssige Konten weiterhin Software-Lizenzen belegen und dadurch die laufenden Kosten steigern. Zum anderen wirken sich etwa verwaiste Konten im AD negativ auf die Active Directory Sicherheit aus und erhรถhen das Risiko fรผr Cyberangriffe und Datendiebstahl. Werden VPN- und Microsoft-365-Zugรคnge nicht deaktiviert, kรถnnen ehemalige Mitarbeiter jederzeit und รผberall auf Firmendaten zugreifen.

Auch fรผr Hacker sind vergessene Konten ein beliebtes Ziel, da diese nicht auf dem neuesten Stand gehalten werden, was Passwortrichtlinien und รคhnliche SicherheitsmaรŸnahmen angeht. Zudem gibt es hier keinen User, der wegen verdรคchtiger Aktivitรคt auf dem eigenen Konto Alarm schreit. Inaktive, aber einsatzbereite Konten sind daher ein gefรคhrliches Einfallstor fรผr Cyberkriminelle. Dieser Bericht der Cybersecurity-Firma Sophos zeigt etwa, wie Kriminelle in zwei untersuchten Fรคllen Ransomware รผber verwaiste Konten in geschรผtzte Systeme einschmuggeln konnten.

Statistik: Wie hรคufig sind verwaiste Benutzerkonten?

Aus Sicherheitsgrรผnden sollten verwaiste Benutzerkonten umgehend gelรถscht werden bzw. durch ein automatisches User Lifecycle Management gar nicht erst entstehen. Dennoch handelt es sich dabei um ein gรคngiges Problem, das in vielen Organisationen besteht.

Konkrete Zahlen liefert etwa der Data Risk Report des von Varonis. Im Bereich Industrie und Produktion hatten 44% der untersuchten Betriebe mehr als 1.000 verwaiste Konten. Im Finanzbereich lag der Wert bei 64 Prozent, im Gesundheitswesen sogar bei 79 Prozent aller Organisationen.

Wie finde ich inaktive Benutzerkonten?

Eine Mรถglichkeit, um verwaiste Konten im Firmennetzwerk ausfindig zu machen, ist der Einsatz von PowerShell. Mit einem passenden Skript lassen sich alle Accounts im Active Directory auflisten, die sich z.B. seit 90 Tagen nicht eingeloggt haben. Dazu eignen sich das CMDlet Search-ADAccount und der Parameter -AccountInactive. Ein mรถgliches Skript kรถnnte z.B. so aussehen:

  • Search-ADAccount -AccountInactive -UsersOnly -TimeSpan 90.00:00:00 |
    Where {$_.Enabled -eq โ€œTrueโ€} |
    Sort -property LastLogonDate -desc |
    ft UserPrincipalName, LastLogonDate -autosize

Die so produzierte Liste an inaktiven Konten ist aber nur ein erster Anhaltspunkt fรผr die weitere Untersuchung. Immerhin kann es legitime Grรผnde dafรผr geben, dass ein Benutzerkonto lรคngere Zeit nicht verwendet wurde (z.B. Urlaub oder Karenz). Beim Lรถschen von Nutzern im Active Directory ist auรŸerdem darauf zu achten, auch Konten in Drittanwendungen zu schlieรŸen, die nicht mit AD verknรผpft sind.

Um das Problem vergessener Konten langfristig zu bekรคmpfen, braucht es eine geeignete Lรถsung fรผr die Benutzerverwaltung. tenfold hilft Ihnen nicht nur bei der Automatisierung von Joiner-Mover-Leaver-Prozessen in ihrer Organisation, sondern erleichtert auch die regelmรครŸige รœberprรผfung von Konten und Berechtigungen (der sogenannten Rezertifizierung) dank automatischer Benachrichtigungen.

Mehr รผber die Vorteile von Identity und Access Management mit tenfold erfahren Sie in unserem Artikel Was ist IAM?

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Joe Kรถller

Als tenfolds Content Manager verantwortet Joe Kรถller den IAM Blog, wo er Themen rund um Compliance, Cybersecurity und digitale Identitรคten tiefgehend beleuchtet. Komplexe Materie verstรคndlich zu erklรคren ist sein oberstes Ziel, egal, ob es um gesetzliche Regelwerke oder technische Hintergrรผnde der Zugriffssteuerung geht. Vor seiner Rolle bei tenfold hat Joe viele Jahre รผber Games und digitale Medien berichtet.