Eine gute Vorbereitung auf den nächsten Audit ist sinnvoll, aber nicht immer weiß man genau, worauf man sich vor dem Eintreffen der Auditoren konzentrieren sollte und welche Fragen sie stellen werden. Für die Einhaltung gesetzlicher Vorschriften ist insbesondere der Überblick über den Datenzugriff von grundlegender Bedeutung.
Eine detaillierte Berichterstellung anhand interner sowie externer Richtlinien ist für eine erfolgreiche Vorbereitung auf IT-Audits unabdingbar.
Egal ob der Audit-Prozess auf der DSGVO, ISO27001, PCI DSS, ISO, SOX oder allen vier Verordnungen gleichzeitig basiert, eine detaillierte Berichterstellung ist immer ein kritischer Erfolgsfaktor für die Compliance. Dieser Beitrag stellt sieben Berichte vor, die Technikexperten vor der nächsten Bewertung erstellt haben sollten. Denn indem sie die wichtigsten Ergebnisse, die die Compliance bedrohen können, schon vor dem Audit erstellen, sorgen sie dafür, dass der Audit-Prozess unkomplizierter, schneller und wesentlich problemloser abläuft.
Bericht 1: Benutzer und Gruppenzugriff
Zu wissen, worauf ein bestimmter Benutzer oder ein Gruppenmitglied Zugriff hat, ist ein geeigneter erster Schritt, um festzustellen, ob dieser Zugriff angemessen ist. Denn eine Auflistung aller Zugriffsrechte auf Fileserververzeichnisse für Benutzerkonten und Gruppenmitglieder liefert Auditoren wichtige Informationen, die belegen, dass man einen sicheren Kontenverwaltungsprozess umsetzt.
Allerdings ist dadurch noch nicht geklärt, ob dieser Zugriff auch angemessen ist. Ohne den Kontext der operativen Befehlskette kann man beispielsweise nicht wissen, ob ein bestimmter Benutzer Zugriff auf Dateien und Ordner haben sollte. Die Experten für ihre Daten und deren Relevanz sind die Dateneigentümer. Mithilfe von Rechtemanagement können beispielsweise Active Directory (AD) Benutzer mit dem Attribut „Manager“ mit bestimmten Fileserverressourcen verbunden werden. Damit kann man ein „Wo haben Mitarbeiter eines Managers Zugriff?“-Report erstellen und somit den Auditoren demonstrieren, dass kontinuierlich überprüft wird, ob ein Benutzerzugriff angemessen ist.
Bericht 2: Konten mit übermäßigen Zugriffsrechten
Das Prinzip der geringsten Rechte ist eine unumstößliche Grundregel der Cybersicherheit. Auditoren fragen möglicherweise nach Belegen, dass man dieses Prinzip durchsetzt, oder möchten wissen, wie Verstöße gekennzeichnet werden. Die unnötige Nutzung von Konten mit erweiterten Rechten kann schnell zu kostspieligen Fehlern führen, die das Unternehmen potenziellen Risiken aussetzen. Die Überwachung und Einschränkung privilegierter Kontenzugriffe ist eine gängige Anforderung zahlreicher rechtlicher Vorschriften und eine Best Practice im Datenschutz.
Sogenannte „Jeder“-Berechtigungen (z. B. authentifizierte Benutzer, Domänenbenutzer) können jedoch in Active Directory nicht automatisch entfernt werden. Indem Technikexperten einen Bericht zu allen Zugriffsrechten für das „Jeder“-Konto erstellen, den Bericht auf sensible Verzeichnisse überprüfen und die Zugriffsrechte für „Authentifizierte Benutzer“ entfernen, können außerdem global zugängliche Verzeichnisse identifiziert werden, um weitere Risiken zu vermeiden.
Bericht 3: Riskante Gruppenkonfigurationen
Mitgliederlose Gruppen in AD erschweren die Verwaltung und können Audits verlängern. Verschachtelte oder rekursive Gruppenmitgliedschaften können zusätzlich zur Unübersichtlichkeit und Komplexität beitragen. Indem man komplizierte Konfigurationen von AD-Gruppenmitgliedschaften vor Audits bereinigt, lässt sich der gesamte Compliance-Prozess optimieren.
Doch möglicherweise sind in manchen Gruppen keine Mitglieder mehr vorhanden oder Mitglieder befinden sich – verschachtelt oder rekursiv – in mehreren Gruppen. Wenn kein Überblick über diese riskanten Gruppenkonfigurationen besteht, führt dies im Laufe der Zeit zu zunehmenden Komplikationen und das Risiko von Datenverlusten steigt. Mithilfe eines Risikobewertungs-Dashboards können Gruppen in Rekursion identifiziert werden, sodass man Risiken proaktiv minimieren und Gruppenmitgliedschaftskonfigurationen optimieren kann.
Bericht 4: Interaktive und temporäre Konten
Ungenutzte oder inaktive Konten werden gerne von Angreifern ausgenutzt, die damit unter dem Deckmantel eines autorisierten Benutzers Daten stehlen und manipulieren. Temporäre Konten, die nicht mehr benötigt, aber auch nicht gelöscht werden und inaktiv bleiben, setzen das Unternehmen Risiken aus und machen Audits und Bewertungen unnötig kompliziert. PCI DSS 8.1.4 erfordert sogar, dass temporäre oder inaktive Konten innerhalb von 90 Tagen gelöscht oder deaktiviert werden.
Wenn inaktive Konten vorhanden sind, liegt das oft an Fehlern in Betriebsabläufen oder der abteilungsübergreifenden Kommunikation. Diese Fehler müssen von der IT-Abteilung schnell identifiziert und behoben werden. Nach der Durchsicht des Berichts zu inaktiven Konten können Technikexperten wahlweise das Konto und seine gesamten AD-Zugriffsrechte löschen oder aber es nur vorläufig löschen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Bericht 5: Unsichere Kontokonfigurationen
Unsichere Kontokonfigurationen wie Kennwörter, die nie ablaufen, verstoßen gegen die Sicherheitsrichtlinien und setzen Unternehmen dem Risiko interner Bedrohungen und unbefugter Zugriffe aus. So verlangt beispielsweise die PCI-DSS-Bestimmung 2 unter anderem das Zurücksetzen von Kennwörtern alle 90 Tage und die DSGVO hebt die Notwendigkeit „angemessener Sicherheitsvorkehrungen“ hervor.
Eine mangelnde Standardisierung bei der Erstellung von Active Directory-Konten führt oft zu unsicheren Kontenkonfigurationen, die den Compliance-Status gefährden könnten. Ohne einen Überblick über die Kontenkonfigurationen können diese verborgenen Risiken schnell gefährlich werden. Indem man die Domäne automatisch nach Benutzerkonten mit nicht ablaufenden Kennwörtern scannt, können diese Probleme proaktiv behoben werden.
Bericht 6: Überwachung von Berechtigungsdifferenzen
Schlecht verwaltete Administratorrechte erhöhen das Risiko interner Bedrohungen. Ob es um eine unnötige Eskalation von Rechten oder schlicht um betriebliche Fehler geht - die Überwachung von Berechtigungsänderungen ist für die Reaktion auf Vorfälle und die Compliance unverzichtbar. So ist auch in Artikel 5, Absatz 2 der DSGVO festgelegt, dass datenverarbeitende Organisationen den Zugriffs- und Berechtigungsverlauf aller Verzeichnisse nachweisen können müssen.
Im Nachhinein ist es jedoch oft schwierig Änderungen an Zugriffsrechtekonfigurationen in Active Directory zu überprüfen. Das Onboarding von Benutzern erfolgt oft sehr schnell und entsprechend häufig geschehen Fehler, die nur schwer aufzuspüren sind, bevor sie sich auf die Sicherheit und die Compliance auswirken. Mit einem „Berechtigungsdifferenz-Report“ können die Zugriffsrechte auf dem Fileserver zu zwei verschiedenen Zeitpunkten verglichen werden und zeigt, wie sich der Kontext der Zugriffsrechte verändert hat.
Bericht 7: Active Directory-Strukturen im Verlauf
Frühere Momentaufnahmen des AD-Benutzerzugriffs sind wichtig für die Untersuchung von Datenschutzverletzungen. Auf diese Weise erhalten die Technikexperten die Informationen, um die Quelle eines Angriffs herauszufinden. Mit solchen Berichten kann gegenüber Auditoren auch nachgewiesen werden, dass effektiv auf Vorfälle reagiert wird.
Das Erstellen einer eindeutigen Zeitleiste mit nativen AD-Funktionen ist jedoch kompliziert. Indem man erfasst, wer zum Zeitpunkt eines Sicherheitsvorfalls Zugriff hatte, erhält man die kritischen Überwachungspfadnachweise, die für Untersuchungen benötigt werden. Verlaufsscans können dabei sofortige Einblicke in die Active Directory-Zugriffsrechte zum Zeitpunkt des Sicherheitsvorfalls geben.
Fazit
Eine detaillierte Berichterstellung anhand interner sowie externer Richtlinien ist für eine erfolgreiche Vorbereitung auf IT-Audits unabdingbar. Die oben aufgeführten Maßnahmen helfen den Verantwortlichen, die entsprechenden Datenauswertungen zielgenau, unkompliziert und verständlich aufzubereiten.
Der beste Tipp zum Schluss: Warten Sie nicht bis zum nächsten Audit mit der Überprüfung der genannten Punkte. Die Bösewichte da draußen warten auch nicht.
Über den Autor: Sascha Giese ist als Head Geek von SolarWinds am EMEA-Hauptsitz des Unternehmens in Cork, Irland tätig. Giese verfügt über zahlreiche technische Qualifikationen aus dem Cisco-, Microsoft-, VMware- und AWS-Umfeld. Er hat über 10 Jahre technische Erfahrung im IT-Bereich und war davon vier Jahre als Senior Pre-Sales Engineer bei SolarWinds tätig.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/13/8a/138a6d1d1e572c351da4a34c512813c2/0122987893v1.jpeg "Strenge Sicherheitsrichtlinien sind für den Schutz von AD-Umgebungen vor Risiken entscheidend. (Bild: Specops Software)")
:quality(80)/p7i.vogel.de/wcms/db/24/db24b9eccbb9be47303f236b490ddbd2/0123925606v1.jpeg "Sascha Kreutziger, Leiter Business Development bei HiScout. (Bild: HiSense)")