Der Begriff Shadow-IT beschreibt informationstechnische Identitäten, Systeme, Prozesse und Organisationseinheiten, die in den Fachabteilungen eines Unternehmens neben der offiziellen IT-Infrastruktur und ohne das Wissen des IT-Bereichs angesiedelt sind. Shadow Admins sind Identitäten, die meist als Abkürzung verwendet werden, um Abläufe zu erleichtern. Praktisch, aber die bergen große Risiken.
In der Sicherheits-Community ist es schon seit einigen Jahren ein Thema: das Risiko der Shadow-IT. Aber was ist eigentlich ein Shadow-Administrator?
(Bild: jariyawat - stock.adobe.com)
Shadow-IT-Instanzen sind weder technisch noch strategisch in das IT-Service-Management der Organisation eingebunden. sie werden nicht selten als Abkürzung verwendet, um Abläufe zu erleichtern – und dies entgegen bestehender Prozesse der IT. Ob das ein USB-Stick am Firmencomputer ist oder hoch privilegierter Service-Benutzer, der für andere als die vorgesehenen Tätigkeiten missbraucht wird. Shadow-IT ist allgegenwärtig und für Firmen ein ernst zu nehmendes Risiko. Denn Sicherheitsteams fehlt oft die nötige Transparenz, um wirksame Sicherheitskontrollen einziehen zu können.
Shadow-Administratoren: Das Pendant zur Shadow-IT, allerdings für Unternehmensidentitäten.
Die Definition umfasst sämtliche hoch privilegierte Konten, von denen IT oder Sicherheitsteams nichts wissen beziehungsweise, die innerhalb des Unternehmens völlig falsch verwendet werden. Folglich werden diese Konten nicht in PAM- oder andere Lösungen für das Identity Access Management verwaltet. Zu Shadow-Administratoren zählen häufig Service-, Admin- oder Helpdesk-Benutzer, die nicht standardmäßig zur Gruppe der Domänen-Administratoren gehören. Vielmehr wurden ihnen Privilegien für Objekte, Gruppen oder Benutzer zugewiesen - in diesem Fall mit Zugriff auf den Domain Level. Sie werden häufig falsch konfiguriert oder fälschlich in Unternehmensumgebungen verteilt.
Best Practice versus Realität
Gemäß Best Practices wird ein Admin-Benutzer angelegt, indem man das betreffende Konto der Domain-Admin-Gruppe in Active Directory (AD) hinzufügt. Der Benutzer selbst hat keine Administratorenrechte. Aber als Teil der Domain-Admin-Gruppe erhält er die Erlaubnis, auf privilegierte Server zuzugreifen und entsprechende Aktivitäten auszuführen. Dadurch bekommt er einen Überblick darüber, welche Konten über welche Privilegien verfügen. Theoretisch sollten IT-Teams anhand der Benutzerliste in der Domain-Admin-Gruppe all die privilegierten Konten erkennen können, die auf die „Kronjuwelen“ des Unternehmens zugreifen oder Änderungen vornehmen können. AD zeichnet automatisch auf, wenn innerhalb der Domain-Admin-Gruppe etwas passiert. Das dient dazu, den Prüfprozess zu optimieren und die Bereitstellung von Privileged Access Management (PAM)-Lösungen zu vereinfachen. Hier lassen sich alle Domain-Admins archivieren, anstatt den Zugriff Benutzer für Benutzer verwalten zu müssen. In einer idealen Welt würde man alle Administrator- und Dienstkonten gemäß diesem Protokoll angelegen. Die Realität sieht anders aus. Es gibt verschiedene Möglichkeiten, wie man ein Konto falsch konfigurieren und es mit höheren Privilegien ausstatten kann als es eigentlich haben sollte. IT-Teams ahnen nichts von der Existenz dieser Konten und haben keinerlei Überblick über die Aktivitäten.
Verschachtelte Gruppenmitgliedschaft
Verschachtelte Gruppenmitgliedschaften werden normalerweise eingerichtet, weil sie die Zuweisung von Berechtigungen über mehrere Domains hinweg erleichtern. Dies senkt üblicherweise den Aufwand für IT-Administratoren erheblich. Die Beziehung zwischen den einzelnen Gruppen wird jedoch tendenziell schnell unübersichtlich. Das führt dann beispielsweise dazu, dass unbeabsichtigt Administratorenrechte für eine ganze Gruppe gewährt werden. Rechte, die diese Gruppe nicht braucht und von deren Vergabe die IT-Abteilung keine Ahnung hat. Rechte, die folglich auch nicht innerhalb einer PAM-Lösung verwaltet werden. Wenn beispielsweise Gruppe A zu Gruppe B hinzugefügt wird, Gruppe B zu Gruppe C und Gruppe C Teil eines Domain-Admins ist, tröpfeln die Privilegien von Gruppe C zu Gruppe A herunter und machen jeden Benutzer innerhalb dieser Gruppe zu einem Schatten-Admin.
In einem realen Szenario könnte die Domain-Gruppe Vertrieb zur Gruppe der Backup-Operatoren hinzugefügt werden, die wiederum Teil der Exchange-Gruppe ist und ihrerseits Teil eines Domain-Administrators ist. Auf diese Weise erbt die gesamte Vertriebsgruppe die Administratorenrechte, die allen anderen Domänen, zu denen sie gehört, gewährt wurden. Gleichzeitig entgehen ihre Mitglieder der Prüfung der Domain-Admin-Gruppe. Denn die zeigt nur die Liste der Benutzer an, die direkt zu dieser Gruppe hinzugefügt wurden. Ein ernsthaftes Sicherheitsproblem, denn plötzlich hat man eine ganze Gruppe von Schatten-Administratoren, die weder verwaltet noch überwacht werden. Ideale Voraussetzungen für einen Angreifer, sich auf dieser Basis weiter im Netzwerk vorwärts zu bewegen.
Direkte ACL
Eine Access Control List (kurz ACL) ist eine Reihe von Regeln, die festlegen, welche Benutzer welche Berechtigungen für ein bestimmtes AD-Objekt halten, z.B. andere Benutzerkonten, Domains oder Rechnerkonten. Ein Schatten-Administrator entsteht, wenn ein Benutzer einer Kombination von ACLs zugewiesen wird, die ihm die gleichen Rechte zugestehen wie einem Administrator.
Wenn man eine Unternehmensumgebung auf exponierte, nicht verwaltete und falsch konfigurierte Identitäten scannt, stößt man häufig auf Benutzer, die eine Kombination von Berechtigungen halten, die sie faktisch zu Administratorkonten macht. Und zwar, ohne dass sie Teil der Administrator-Domain sind. So kann es beispielsweise vorkommen, dass ein Level 1 Helpdesk-Administrator, der für das Zurücksetzen von Passwörtern zuständig ist, eine unerklärliche Level-3-Berechtigung zum Hinzufügen von Konten zu einem Domain-Admin hält.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Solche Vorkehrungen werden meist zu einem Zeitpunkt getroffen, zu dem sie als sinnvoll erachtet wurden. Üblicherweise, um einen bestimmten Vorgang zu vereinfachen oder zu beschleunigen. Benutzer halten also Berechtigungen, die mit einem real nicht mehr existierenden Zweck verbunden sind und folglich gerne vergessen werden. Auch das sind Schatten-Admins, denn sie können auf
privilegierte Assets zugreifen und diese ändern, ohne dass sie in einer IT- oder einer PAM-Lösung verwaltet werden.
Chain of Ownership
Eine weitere Möglichkeit durch die Schatten-Admins versehentlich entstehen, ist die Chain of Ownership von Konten. Wenn Benutzer A, der über die Berechtigung zum Anlegen neuer Konten verfügt, Benutzer B anlegt, bleibt Benutzer A Besitzer von Benutzer B. Sollte Benutzer B höhere Privilegien erhalten, hätte Benutzer A - da er diesen Benutzer angelegt hat und ihn „besitzt“ - ebenfalls Zugriff auf dem gleichen Berechtigungslevel.
Diese Art von Schatten-Administratoren ist beispielsweise in Helpdesk-Gruppen üblich. In einem Fall entdeckte Illusive beim Scannen der potenziellen Angriffsfläche eines Unternehmens eine komplette Helpdesk-Gruppe, die effektiv Schatten-Administratoren waren. Diese Helpdesk-Gruppe hatte zunächst die Erlaubnis, neue Domain-Administratoren zu erstellen, die ihr danach wieder entzogen wurde. Nach dem Entzug der Privilegien verblieb der Gruppe aber die Eigentümerschaft an allen von ihr erstellten Domain-Admins. Einem Angreifer war es in der Folge gelungen, diese zu kompromittieren. So gelang es ihm, sich durch die gesamte Chain of Ownership zu bewegen und auf privilegierte Konten zuzugreifen.
Dies gilt auch für deaktivierte Konten. Übliche Scan-Tools heben Beziehungen zwischen aktiven Konten hervor und ignorieren diejenigen, die deaktiviert wurden. Wird ein Konto deaktiviert, verbleibt es im Besitz desjenigen Benutzers, der es ursprünglich angelegt hat. Auch hier kann ein Angreifer nach einer Kompromittierung das Konto wieder aktivieren und Privilegien ausweiten.
Schatten-Administratoren: Denken wie ein Angreifer, Risiken senken
Das Risiko eines Schatten-Administrators kommt selten allein. In einer Unternehmensumgebung gibt es normalerweise eine Fülle von nicht korrekten Konfigurationen und Fehlern, die gleichzeitig auftreten. Lokal auf einem System gespeicherte Anmeldeinformationen, gespeicherte FTP-, SSH- und Datenbank-Anmeldeinformationen und veraltete Passwörter für privilegierte Domain-Konten - die Liste lässt sich beliebig fortsetzen. Das Ganze verschlimmert sich zumeist, wenn ein AD in die Jahre kommt: Die Entropie steigt, neue Benutzer und neue Domänen werden angelegt und gerne Abkürzungen genommen. Gelingt es einem Angreifer, einen Schatten-Administrator zu kompromittieren, sind die Kronjuwelen oft nur noch einen Schritt weit entfernt. Das ist dann der "letzte Schritt" bis zur Übernahme der gesamten Domain. Unternehmen nutzen üblicherweise Penetrationstests, um Identitätsrisiken, wie z.B. Schatten-Administratoren, zu identifizieren. Red Teams verwenden Tools wie AdFind, Mimikatz und BloodHound, um solche Identitäten zu erkennen und den Weg zu den wichtigsten Unternehmens-Assets zu finden. Dieser Ansatz kommt jedoch schnell an seine natürlichen Grenzen. Denn er vermittelt nur ein statisches und unvollständiges Bild aller in der Umgebung existierenden Schatten-Administratoren. Dieses Bild reicht nicht aus, um Firmen vor den Risiken zu schützen, die durch Fehlkonfigurationen, andere Fehler und Versäumnisse im Geschäftsbetrieb ständig entstehen.
Sinnvoll ist eine kontinuierliche Überwachung der kompletten Angriffsfläche, um Schatten-Administratoren zu erkennen und zu beseitigen, sobald sie entstanden sind. Moderne Umgebungen verändern sich mit rasantem Tempo und entwickeln sich stetig weiter. Gleichzeitig werden die von Angreifern verwendeten Tools immer raffinierter. Im Idealfall sollte man die betroffenen Identitäten automatisiert erkennen und eindämmen können. Basis sind individuell definierte Richtlinien und die potenzielle Nähe zu den wichtigsten Unternehmens-Assets. Wenn Sicherheitsteams fortschrittliche Ransomware abwehren und den wichtigsten Angriffsvektor von heute, Identitäten, schützen wollen, dann müssen sie die Wege kennen, die ein Angreifer benutzen würde.
Über den Autor: Jochen Rummel ist Director Sales D/A/CH bei Illusive.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/d5/38/d538c3e0f42fef61c34b1cadf2e6883c/0121532646v2.jpeg "Privileged Access Management (PAM) ist ein Sicherheitskonzept zur Absicherung privilegierter Konten mit erweiterten Berechtigungen.
(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/9c/82/9c8253e6cad827e50f25a83e0a6c6561/0128119178v1.jpeg "Nach Einschätzung von Jayavignesh PA, Head of Growth for IAM Suite bein ManageEngine, entstehen die gravierendsten Vorfälle dort, wo fragmentierte Identitäten und übersehene Berechtigungen unkontrolliert wachsen. (Bild: ManageEngine)")