:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6f/44/6f442605378b21b6a1ad080455818d7e/0115182398.jpeg "Unternehmen sollten wirksames Risikomanagement zeitnah umsetzen, bevor sie von der endgültigen deutschen Gesetzgebung zur NIS2-Richtlinie noch überrascht werden. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Video-Tipp #58: Break Glass Account in Microsoft 365 Notfallzugriff für Microsoft 365 einrichten
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Schnell ist es passiert, dass ein Admin-Konto in Microsoft 365 gesperrt, so falsch konfiguriert, dass ein Zugriff nicht mehr möglich ist oder sogar durch Angreifer übernommen wurde. Um solchen massiven Problemen zu entgegnen, hilft ein Notfall-Konto. Dieser Break Glass Account kann Zugriff gewähren, um die Probleme zu lösen.
Durch falsche Konfigurationen, durch Übernahme eines Hackers oder aus einer Vielzahl an weiteren Gründen, kann es schnell passieren, dass sich Administratoren aus der Verwaltung von Microsoft 365 aussperren. Nutzen Unternehmen die vielfältigen Möglichkeiten zur Optimierung von Rechten in Azure AD und Microsoft 365, kann es ebenfalls schnell passieren, dass Berechtigungen verloren gehen. Schon alleine aus diesen Gründen ist ein Konto für Notfälle ein wichtiges Sicherheitsnetz. Da ein solches Konto nur für Administrationszwecke genutzt wird, benötigt es auch keine kostenpflichtige Lizenz.
Wie man für Microsoft 365 ein Notfallkonto einrichtet, zeigen wir hier im Video-Tipp und in der Bildergalerie.
:quality(80)/p7i.vogel.de/wcms/53/8b/538b3a69a6777479068a3996aadc21ff/0109717178.jpeg "Anlegen von neuen Benutzerkonten in Microsoft 365 als Konto für den Notfallzugriff.")
:quality(80)/p7i.vogel.de/wcms/d9/92/d9924cf13f799345f69b453023feaa6e/0109717181.jpeg "Break Glass-Accounts benötigen keine Produktlizenzen für den Zugriff auf Microsoft 365.")
:quality(80)/p7i.vogel.de/wcms/8f/44/8f44bc7c6a605ea274bb7fa293245ed9/0109717184.jpeg "In den optionalen Einstellungen erhält der neue Benutzer Administratorrechte für Microsoft 365.")
:quality(80)/p7i.vogel.de/wcms/e6/f2/e6f2a2834f38a1ec183348624cf33038/0109717180.jpeg "Überprüfen von neuen Benutzerkonten und deren Rechte vor dem Anlegen als Break Glass-Account.")
Ansonsten besteht die Gefahr, dass sich Benutzer und sogar Administratoren nicht mehr an Microsoft 365 und Azure AD anmelden können. Dazu kommen mögliche Störungen bei Sicherheitsdiensten von Microsoft, die ebenfalls darin resultieren, dass keine Anmeldung möglich ist. Break Glass Accounts können von vorneherein so angelegt werden, dass Störungen oder Fehlkonfigurationen das Konto nicht betreffen.
Konten für die Notfallanmeldung können schnell zum Retter in der Not werden
Wenn in einem solchen Fall ein „Break Glass Account“ vorhanden ist, also ein Notfallbenutzer, der nur in solchen Fällen zum Einsatz kommt, lassen sich die Probleme oft schneller beheben, als das Einschalten des Benutzersupport von Microsoft. Ein solches Konto ist relativ einfach angelegt, bringt im Notfall aber einen hohen Nutzen. Microsoft empfiehlt das Anlegen eines oder mehrerer Konten, die als „Konten für den Notfallzugriff“ bezeichnet werden.
Voraussetzungen und Grundlagen von Konten für den Notfallzugriff
Natürlich müssen auch die Konten für den Notfallzugriff so sicher wie möglich konfiguriert sein, müssen gleichzeitig aber sicherstellen, dass auch bei Fehlkonfigurationen oder Ausfall von Diensten wie der Multifaktor-Authentifizierung weiter ein Zugriff möglich ist. Daher sollte mindestens ein Konto angelegt sein, dass nicht nur MFA geschützt ist und idealerweise auch nicht durch Richtlinien für den bedingten Zugriff (Conditional Access). Natürlich wäre es in diesem Fall auch möglich ein Konto für den Notfallzugriff ohne MFA aber mit Conditional Access und eines mit MFA aber ohne Conditional Access zu erstellen. Das hängt von den Anforderungen der jeweiligen Organisation ab.
Das Kennwort für das Konto muss über eine maximale Sicherheit verfügen, darf aber nicht ablaufen, damit eine Anmeldung jederzeit möglich ist. Das Kennwort können Admins schriftlich in einem Tresor ablegen oder besonders geschützt in Programmen zur Kennwortverwaltung. Grundsätzlich kann es sinnvoll sein das Kennwort in mehrere Teile aufzusplitten und an getrennten Orten durch getrennte Personen nutzen zu können, sodass eine einzelne Person keinen Zugriff erhalten kann.
Idealerweise sollte der Name der Konten für den Notfallzugriff so gewählt sein, dass Angreifer diese nicht erraten und gezielt attackieren können. Wichtig ist es beim Anlegen alle Dienste auszuschließen, die ausfallen und damit Zugriffe verhindern können. Durch eine Kombination ist es mit mehreren Konten möglich, wie bereits oben beschrieben, auf jeweils unterschiedliche Anmeldetechnologien zu setzen.
Achtung: Überwachung von Konten für den Notfallzugriff
Es muss in jedem Fall ausgeschlossen werden, dass Admins die Break Glass Accounts für Anmeldungen nutzen oder sogar missbrauchen. Die Konten sollten speziell überwacht werden, damit sichergestellt ist, dass diese ausschließlich nur im Notfall eingesetzt werden. Dazu kommt eine umfassende und entsprechend zu schützende Dokumentation für das Konto.
Wie man für Microsoft 365 ein Notfallkonto einrichtet, zeigen wir hier im Video-Tipp und in der Bildergalerie.
Praxis: Anlegen eines Kontos für den Notfallzugriff - Break Glass-Account einrichten
Die Erstellung eines Break Glass-Accounts beginnt im Microsoft 365 Admin Center bei „Benutzer -> Aktive Benutzer -> Benutzer hinzufügen“. Hier kann zunächst ein normaler Benutzer angelegt werden, dessen Bezeichnung aber nicht gleich auf ein mächtiges Adminkonto schließen sollte. Bei der Auswahl der Domäne sollte die *.onmicrosoft.com-Domäne verwendet werden, da es bei eigenen Domänen ebenfalls zu Verbindungsproblemen kommen kann.
Das Kennwort sollte so sicher wie nur möglich konfiguriert werden. Auf der Seite „Zuweisen von Produktlizenzen“ kann die Option „Benutzer ohne Produktlizenz erstellen“ ausgewählt werden. Bei „Optionale Einstellungen“ wird bei „Rollen“ die Option „Admin Center-Zugriff“ und „Globaler Administrator. Auf der letzten Seite erscheint eine Zusammenfassung und mit „Hinzufügen fertig stellen“ wird das Konto schließlich erstellt. Danach sollte noch das Ablaufen des Kennwortes für diesen Benutzer deaktiviert werden.
Die Verwaltung dafür lässt sich am besten mit der PowerShell durchführen. Dazu muss das entsprechende Modul zuvor installiert werden. Das erfolgt mit:
Install-Module -Name AzureADDanach erfolgt die Anmeldung an Microsoft 365 mit:
Connect-MSOLServiceJetzt können die Benutzerkonten in Microsoft 365 in der PowerShell verwaltet werden. Um zu verhindern, dass für das Konto für den Notfallzugriff das Kennwort abläuft, kann folgender Befehl genutzt werden. Dazu wird zuerst überprüft, wie die entsprechende Einstellung für den Benutzer aussieht, zum Beispiel mit:
Get-MsolUser -UserPrincipalName ThomasEmergency@testjoos.onmicrosoft.com | Select PasswordNeverExpiresHier wird normalerweise als Wert „False“ für „PasswordNeverExpires“ festgelegt. Um die Einstellung auf True zu setzen, kommt der folgende Befehl zum Einsatz:
Set-MsolUser -UserPrincipalName ThomasEmergency@testjoos.onmicrosoft.com -PasswordNeverExpires $trueDarüber hinaus sollte der Benutzer von anderen Sicherheitsoptionen wie MFA und Conditionale Access befreit sein. Alternativ werden verschiedene Benutzer angelegt.
Wie man für Microsoft 365 ein Notfallkonto einrichtet, zeigen wir hier im Video-Tipp und in der Bildergalerie.
(ID:49190286)
:quality(80)/p7i.vogel.de/wcms/a4/20/a420f91e29ad3dee85cc487e2f6d1038/0112775164.jpeg "Reichte beim On-Premises-Einsatz von Active Directory Enhanced Security Admin Environment zur Absicherung aus, muss es bei einer Kombination mit Azure AD jetzt Zero-Trust und eine Privileged-Access-Strategy sein. (Bild: © magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ec/fa/ecfa8056696fdd7953ae046089fc0530/0109386213.jpeg "Mit der Pass-through-Authentication (PtA) ermöglicht Microsoft einfachere Zugriffe in hybriden Netzwerken, da sich Anwender nicht verschiedene Anmeldeinformationen merken müssen. (Bild: geniusstudio - stock.adobe.com)")