Wenn Unternehmen neue Mitarbeiter einstellen oder es interne Positionswechsel gibt, hat das auch Folgen für die IT-Sicherheit, denn das neue Personal braucht natürlich Zugriffsrechte auf Dateien und Ordnerstrukturen. Oft werden dabei neue Benutzer schnell im Netzwerk freigeschaltet, selten wird aber im laufenden Betrieb geprüft, welche Konten noch worauf Zugriff haben.
Viele Abteilungen handeln bei der Verwaltung und Pflege von Berechtigungen nach dem Motto: Wir kümmern uns darum, wenn wir müssen.
(Bild: thodonal - stock.adobe.com)
Die Zahl der digitalen Identitäten in einem Unternehmen nimmt durch solche Effekte rasant zu, was es für Sicherheitsleute schwieriger denn je macht, jede einzeln zu verwalten und zu aktivieren. Diese schleichende Ansammlung von Zugriffsberechtigungen wird als Entitlement Creep bezeichnet. Den Blick über alle Privilegien zu behalten, wird noch schwieriger, wenn Unternehmen mit der Konfiguration von Berechtigungen auf Anwendungen und Infrastrukturen beauftragt werden, sobald Personen den Zugriff auf eine wachsende Vielfalt von Cloud- und lokalen Orten benötigen.
Jüngste Untersuchungen von Gartner zeigen, dass die Zahl der unterschiedlichen Berechtigungen bei verschiedenen Cloud-Service-Anbietern im Durchschnitt die 5000 überschritten hat. Darüber hinaus nutzen mehr als 95 Prozent der Konten innerhalb von IaaS-Umgebungen im Durchschnitt weniger als 3 Prozent der gewährten Berechtigungen. Es ist klar, dass IAM-Teams alle Hände voll zu tun haben, wenn sie versuchen, den schmalen Grat zwischen geschäftlicher Effizienz und Sicherheit zu überwinden. Noch offenkundiger ist, dass die Angestellten im Großen und Ganzen zu viel Zugriff haben. Abgesehen davon, dass dies unnötig ist, kann es für die IT-Sicherheit eines Unternehmens gefährlich werden.
Eile mit Weile
Der Grund für die übermäßige Zugriffsverteilung scheint einfach und in einigen Fällen sogar harmlos zu sein: Wenn Mitarbeiter den Arbeitsplatz, die Rolle oder das Projekt wechseln, oder sogar das Unternehmen verlassen, benötigen sie wahrscheinlich neue Berechtigungen, damit sie ihre Aufgaben effizient erledigen können, oder die vorhandenen müssen entfernt werden. Da Unternehmen es jedoch eilig haben, diese Mitarbeiter mit diesen Berechtigungen auszustatten, vergessen sie möglicherweise, dass sie über Prozesse verfügen, um alte Zugriffsrechte zu entfernen, die im Rahmen der neuen Rolle nicht mehr benötigt werden. Da die Mitarbeiter immer häufiger den Arbeitsplatz wechseln, kann dies zu einer schleichenden Anhäufung von Privilegien und Zugriffsrechten führen. Oftmals werden diese Berechtigungen nicht mehr benötigt und haben keine Auswirkungen auf die Produktivität, wenn sie entfernt werden. Trotzdem ist die Ausweitung von Berechtigungen in Unternehmen nur allzu häufig anzutreffen. Ohne eine angemessene Kontrolle darüber, wer auf was zugreifen darf und warum, entstehen Sicherheitslücken.
Übermäßige Privilegien wegen fehlender Übersicht
Die meisten Unternehmer sagen, dass sie sich dem Prinzip des Least Privilege verpflichtet fühlen. In einer kürzlich von ESG durchgeführten Untersuchung gaben jedoch 45 Prozent der Unternehmer zu Protokoll, dass sie Schwierigkeiten haben, zu erkennen, welche Benutzer auf welche Daten zugreifen können. Das verwundert nicht, denn ohne ein angemessenes Identitäts-Lebenszyklus-Management, mit dem veraltete Zugriffsrechte entzogen werden können, ist es leicht, diesen Grundpfeiler der Cyber-Sicherheit zu beschädigen. DDieser Fehler kommt häufig bei der Identitätsverwaltung vor, da Angestellte häufig Berechtigungsdaten aus zahlreichen Quellen importieren müssen (wie CSV-Dateien, HR-Systeme, Cloud-Infrastrukturen, Anwendungsdaten). Diese werden benötigt, um zu ermitteln, wer Zugriff auf welche Daten benötigt. Darüber hinaus konzentrieren sich Unternehmen in der Regel mehr auf die Produktivität ihrer Benutzer und verfolgen einen Laissez-faire-Ansatz bei der Sicherheit. Dies ist besonders dann der Fall, wenn Mitarbeiter schnell Zugriff auf Dinge benötigen, oder wenn Drittanbieter erweitert werden, Mitarbeiter die Abteilung wechseln oder neue Aufgaben übernehmen.
Unsaubere Identitätsverwaltung ist mehr als ein weiteres Risiko
Die Zuordnung von Berechtigungsdaten aus einer Vielzahl unterschiedlicher Quellen stellt IAM-Teams und Auditoren gleichermaßen vor Herausforderungen. Da Mitarbeiter viele Berechtigungen sammeln, können ungenutzte Privilegien ein blinder Fleck für IAM- und Sicherheitsabteilungen sein und mit der Zeit zu einem Risiko werden. Verwaiste Konten sind eine wichtige Komponente der schleichenden Aneignung von Berechtigungen. Da die Mitarbeiter jedoch Zugriffsrechte behalten, die sie nicht mehr benötigen, kann die Zuweisung von Eigentumsrechten oder sogar das Auffinden und Korrelieren verwaister Konten eine zeitraubende Aufgabe sein, die Lücken in der Überwachung der Umgebung schafft. Wenn Audits anstehen, können Gruppen ohne übersichtliche Berichte zudem viel Zeit und Kraft darauf verwenden müssen, überhaupt Daten darüber zu sammeln, wer worauf Zugriff hat. Zeit wird vergeudet, aber häufig kann ein fehlgeschlagenes Audit sogar zu finanziellen Nachteilen, Rufschädigung und mehr führen, denn ein von Hackern übernommenes Benutzer-Konto, dass sehr viele Berechtigungen angehäuft hat, ist wie der Schlüssel zu den Toren der Stadt – besonders dann, wenn die IT-Verantwortlichen nicht wissen, dass dieses Konto über so viele Berechtigungen verfügt, oder überhaupt noch existiert.
Bei Nachlässigkeit droht der Schneeball-Effekt
Leider handeln viele Abteilungen bei der Verwaltung und Pflege von Berechtigungen nach dem Motto: Wir kümmern uns darum, wenn wir müssen. Das ist inakzeptabel, doch ohne eine zentralisierte Lösung kann es unnötig erscheinen, sich überhaupt die Mühe zu machen, den Leuten die Berechtigungen zu entziehen; diese hatten bereits Zugang gewährt bekommen, warum sollte man sich nun darum kümmern, diesen zu entziehen? Solch eine Denkweise kann jedoch zu einem Berg ungenutzter Rechte und Berechtigungen führen. Wenn ein Audit ansteht oder eine neue Organisationsanweisung eingeführt wird, um alle Zugriffe zu erfassen, kann es nahezu unmöglich sein, die richtigen Berechtigungen zuzuweisen. Ohne eine angemessene, kontinuierliche Erfassung der Berechtigungen kann es zu einem Schneeball-Effekt kommen. Dann fallen Hunderttausende von Berechtigungen an, die es anzulegen und aufzuholen gilt, was nicht zu bewältigen ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Gegenmaßnahmen
Umfassende Identity Governance and Administration (IGA) ist in der Lage, die Lebenszeit von digitalen Identitäten, wie Benutzerkonten, zu überblicken, sodass bei einem Wechsel dieser Identitäten von einer Abteilung zur anderen, oder bei der Verlängerung von Verträgen mit Vertragspartnern, diese automatisch mit dem richtigen Zugang ausgestattet werden, um ihre Aufgaben erfüllen zu können – mehr aber nicht. So können Identitäten auf durchdachte Weise mit ausreichendem Zugang ausgestattet werden, damit die Angestellten dahinter produktiv bleiben. Saubere IGA stellt jedoch auch sicher, dass der Zugang, der für die Ausführung einer bestimmten Aufgabe nicht mehr erforderlich ist, gekennzeichnet und automatisch deaktiviert wird. Dies ist ein Hauptanwendungsfall von IGA, der dazu beitragen kann, eine schleichende Ausdehnung der Berechtigungen zu verhindern.
Außerdem können Unternehmen IGA nutzen, um die Fähigkeit zur Erstellung von Zugriffspaketen durch Rollen oder Richtlinien zu delegieren. Diese enthalten Ressourcen, die Identitäten beantragen können und listen die Personen, die den Zugriff genehmigen müssen. Ordentliches IGA muss klarstellen, welche Arten von Berechtigungen verfügbar sind und welche Berechtigungen für die jeweilige Aufgabe erforderlich sind, damit Personen Zugriffsanfragen stellen und diese wiederum genehmigt werden können. Die Einbindung von Zertifizierungskampagnen, während derer schnell geprüft werden kann, ob Berechtigungen noch genutzt werden, ist ebenfalls eine Kernaufgabe vollwertiger IGA. Auf diese Weise entsteht erst gar kein Schneeball, sondern alle Identitäten verfügen stets bloß über die Zugriffsberechtigungen, die sie wirklich benötigen, während überflüssige Identitäten entfernt werden. Die Sicherheitslücke, dass ein Konto für Hacker besonders lukrativ wird, weil es verwaist ist und haufenweise Zugriffsberechtigungen aufweist, wird geschlossen.
Über den Autor: Andrew Silberman ist Product Marketing Director bei Omada.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/dc/ed/dceda47e1a2110dfb9937eed1226d5b8/0129425365v3.jpeg "Die Lieferkette hat oft schwache Glieder und ist deshalb ein beliebtes Ziel für Cyberangriffe. Das trifft auch auf die Software-Lieferkette zu. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/0b/0b0bf8dd9dc859897cef8ae371f848c1/0129476551v2.jpeg "Claude-Hersteller Anthropic habe sich dazu entschieden, die gemeldete Schwachstelle vorerst nicht zu beheben, obwohl diese den Analysten von Layerx zufolge zu einer vollständigen Systemübernahme führen könnte. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/ae/f9ae9c429d322859241c2149e14bcd47/0129152047v2.jpeg "Am 14. Oktober 2025 endete der offizielle Suport für Windows 10. Unternehmen, die keine Alternative nutzen, sind Sicherheitslücken ausgeliefert. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/34/1d/341d2ec96cf12f54d5baa76cda2ffba7/0129424332v2.jpeg "Der EU AI Act macht Cybersicherheit zur Compliance-Pflicht für KI-Systeme. Gerade Hochrisiko-KI-Systeme sind besonders schutzbedürftig. Ein risikobasierter Rechtsrahmen soll helfen. (Bild: © Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/4c/9f4c8b769319bae704bc65017a4ada98/0129424999v2.jpeg "Cyber-Resilienz 2026 bedeutet Handlungsfähigkeit unter laufendem Angriff, aber unkontrollierte Identitäten untergraben genau diese Fähigkeit und machen Systeme unsteuerbar. (Bild: © AminaDesign - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/5f/635fa941b839d13c5f8c58ebbaeecb96/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/1e/29/1e29d053c13587649cf5fbe0e204d588/0129230471v2.jpeg "Zwar liegen in deutschen Unternehmen Notfallpläne und -strategien vor, doch werden sie Dell zufolge zu selten getestet. (© Zerbor - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/cd/dacd0e89cad4438353a1e68ce241ee08/0129347964v1.jpeg "Für die zentrale Verarbeitung von Log- und Ereignisdaten liefert die Windows-Ereignisweiterleitung die technische Basis. (Bild: © TommyNa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/55/235504bbda4efcf043fbef7c7acc23d3/0129423267v2.jpeg "Omnichannel-Inboxen verbinden alle Kundenkanäle in einer Plattform, aber ohne Zero-Trust-Architektur wird diese zentrale Schnittstelle zum Einfallstor für Angreifer. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/de/13de074170ecd30e7a7f7a9788c2ad35/0129343385v2.jpeg "Aisle entdeckte mit seiner KI jahrealte Sicherheitslücken in der OpenSSL-Bibliothek. Die Code-Analyse mit KI könnte die Auswirkungen auf die Erbringung von Security Services haben. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f1/db/f1dbe322f0469f58d749a8d7439e02aa/0129455085v1.jpeg "ITDR-Lösungen erkennen Konfigurationsprobleme sowie Anomalien in Echtzeit, bevor Angreifer gestohlene Zugangsdaten ausnutzen können. (Bild: aldomurillo / gettyimages)")
:quality(80)/p7i.vogel.de/wcms/74/2e/742e28431b7c5c98c5f11c3ae9e51303/0128671170v2.jpeg "Microsoft ermöglicht unter Windows 11 die Verwendung externer Passwortmanager wie Bitwarden und 1Password für die Speicherung und Nutzung von Passkeys. (Bild: Hein - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/9c/82/9c8253e6cad827e50f25a83e0a6c6561/0128119178v1.jpeg "Nach Einschätzung von Jayavignesh PA, Head of Growth for IAM Suite bein ManageEngine, entstehen die gravierendsten Vorfälle dort, wo fragmentierte Identitäten und übersehene Berechtigungen unkontrolliert wachsen. (Bild: ManageEngine)")
:quality(80)/p7i.vogel.de/wcms/59/b5/59b588114a2e0986f3aebb77d5505821/0125660820v1.jpeg "Erfahren Sie, wie AWS IAM zur Cloud-Sicherheit beiträgt – mit Best Practices für Zugriffskontrolle, RBAC und Schutz vor Fehlkonfigurationen. (Bild: © geniusstudio - stock.adobe.com)")