Verwaiste Benutzerkonten
Bleiben nicht mehr benötigte Accounts im System zurück, spricht man von verwaisten Benutzerkonten. Wie es dazu kommt, welche Risiken mit inaktiven Konten verbunden sind und wie man diese effektiv bekämpft.
Was sind verwaiste Benutzerkonten?
Unter einem verwaisten Benutzerkonto (engl. orphaned account) versteht man in der IT inaktive Benutzerkonten, die im System weiterhin bestehen bleiben, obwohl sie nicht mehr verwendet werden oder der zugehörige Benutzer die Organisation inzwischen verlassen hat. Ein typisches Beispiel sind vergessene Konten im Active Directory des Firmennetzwerks, aber auch Accounts in Drittanwendungen oder anderen Datenbanken können zu einem verwaisten Konto werden.
Verwaiste Benutzerkonten entstehen, wenn ein nicht mehr benötigtes Konto nicht rechtzeitig geschlossen wird. Oft liegt es an Problemen in der internen Kommunikation, etwa weil die Personal-Abteilung das IT-Team nicht darüber informiert, dass ein Angestellter das Unternehmen verlässt. Auch durch Abteilungswechsel oder Beförderungen können alte Accounts überflüssig werden. Mit einem automatisierten User Lifecycle Management, das Konten bei Bedarf selbstständig erstellt und entfernt, lassen sich solche Fehler vermeiden.
Übrigens: Wird ein Benutzerkonto gelöscht, ohne den zugehörigen Eintrag in der Access Control List zu entfernen, bleibt eine verwaiste SID zurück. Diese ist weitgehend harmlos, schadet jedoch der Übersicht.
Sicherheitsrisiken durch verwaiste Benutzerkonten
Wer glaubt, dass verwaiste Konten einen harmlosen Fehler darstellen, liegt falsch. Zum einen können überflüssige Konten weiterhin Software-Lizenzen belegen und dadurch die laufenden Kosten steigern. Zum anderen wirken sich etwa verwaiste Konten im AD negativ auf die Active Directory Sicherheit aus und erhöhen das Risiko für Cyberangriffe und Datendiebstahl. Werden VPN- und Microsoft-365-Zugänge nicht deaktiviert, können ehemalige Mitarbeiter jederzeit und überall auf Firmendaten zugreifen.
Auch für Hacker sind vergessene Konten ein beliebtes Ziel, da diese nicht auf dem neuesten Stand gehalten werden, was Passwortrichtlinien und ähnliche Sicherheitsmaßnahmen angeht. Zudem gibt es hier keinen User, der wegen verdächtiger Aktivität auf dem eigenen Konto Alarm schreit. Inaktive, aber einsatzbereite Konten sind daher ein gefährliches Einfallstor für Cyberkriminelle. Dieser Bericht der Cybersecurity-Firma Sophos zeigt etwa, wie Kriminelle in zwei untersuchten Fällen Ransomware über verwaiste Konten in geschützte Systeme einschmuggeln konnten.
Statistik: Wie häufig sind verwaiste Benutzerkonten?
Aus Sicherheitsgründen sollten verwaiste Benutzerkonten umgehend gelöscht werden bzw. durch ein automatisches User Lifecycle Management gar nicht erst entstehen. Dennoch handelt es sich dabei um ein gängiges Problem, das in vielen Organisationen besteht.
Konkrete Zahlen liefert etwa der Data Risk Report des von Varonis. Im Bereich Industrie und Produktion hatten 44% der untersuchten Betriebe mehr als 1.000 verwaiste Konten. Im Finanzbereich lag der Wert bei 64 Prozent, im Gesundheitswesen sogar bei 79 Prozent aller Organisationen.
Wie finde ich inaktive Benutzerkonten?
Eine Möglichkeit, um verwaiste Konten im Firmennetzwerk ausfindig zu machen, ist der Einsatz von PowerShell. Mit einem passenden Skript lassen sich alle Accounts im Active Directory auflisten, die sich z.B. seit 90 Tagen nicht eingeloggt haben. Dazu eignen sich das CMDlet Search-ADAccount und der Parameter -AccountInactive. Ein mögliches Skript könnte z.B. so aussehen:
Search-ADAccount -AccountInactive -UsersOnly -TimeSpan 90.00:00:00 |
Where {$_.Enabled -eq “True”} |
Sort -property LastLogonDate -desc |
ft UserPrincipalName, LastLogonDate -autosize
Die so produzierte Liste an inaktiven Konten ist aber nur ein erster Anhaltspunkt für die weitere Untersuchung. Immerhin kann es legitime Gründe dafür geben, dass ein Benutzerkonto längere Zeit nicht verwendet wurde (z.B. Urlaub oder Karenz). Beim Löschen von Nutzern im Active Directory ist außerdem darauf zu achten, auch Konten in Drittanwendungen zu schließen, die nicht mit AD verknüpft sind.
Um das Problem vergessener Konten langfristig zu bekämpfen, braucht es eine geeignete Lösung für die Benutzerverwaltung. tenfold hilft Ihnen nicht nur bei der Automatisierung von Joiner-Mover-Leaver-Prozessen in ihrer Organisation, sondern erleichtert auch die regelmäßige Überprüfung von Konten und Berechtigungen (der sogenannten Rezertifizierung) dank automatischer Benachrichtigungen.
Mehr über die Vorteile von Identity und Access Management mit tenfold erfahren Sie in unserem Artikel Was ist IAM?
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.