Die Verwaltung von Benutzerkonten und Zugriffsrechten ist kein so spannendes Aufgabenfeld wie zum Beispiel die Planung des ersten Einsatzes einer KI-gesteuerten Software im Unternehmen. Trotzdem ist Management und Kontrolle von Zugriffen allgegenwärtig und leider viel zu häufig von unterschätzter Wichtigkeit.
Berechtigungsmanagement ist auf Grund der Dynamik von Unternehmen sehr zeitintensiv und fehleranfällig.
Die Rechteverwaltung selbst ist keine komplexe Angelegenheit, tatsächlich sind die notwendigen Arbeitsschritte größtenteils Routine-Aufgaben, doch genau hier liegt ein Risiko. In einer von SolarWinds durchgeführten Umfrage wurden die drei größten „Pain Points“ definiert, die im nachfolgend näher beleuchtet werden.
1. Das Verschieben, Hinzufügen oder Verändern von Berechtigungen
24 Prozent der Befragten führten das Verändern von Berechtigungen als größten Pain Point auf, was dem dafür notwendigen Zeitaufwand geschuldet ist. Unternehmen arbeiten heute viel dynamischer als in der Vergangenheit. Ebenso werden für viele Aufgaben externe Ressourcen hinzugezogen. Und diese Dynamik erfordert stete Veränderungen an Benutzerrechten und -rollen.
Über viele Jahre wurde die Verwaltung von Benutzern und deren Berechtigungen innerhalb von Active Directory® (AD) mit dem Bordwerkzeug „Active Directory-Benutzer und -Computer“ durchgeführt. Später unterstützte das das „Active Directory-Verwaltungscenter“ weitere Attribute, die im Laufe der Jahre hinzugefügt wurden. Beide Tools sind noch vorhanden, aber die Standardaufgaben werden mittlerweile über PowerShell® durchgeführt. PowerShell ermöglicht Automatisierung – Benutzernamen, Rollen und Berechtigungen werden als einfach Variablen eingepflegt. Für die klassischen Szenarien wie das Aufschalten eines Ordnerzugriffs oder das Verschieben in eine andere Gruppe gibt es vorgefertigte Scripts zu Hauf zu finden in verschiedenen PS-Repositorien, kostenlos und getestet.
Viele Administratoren pflegen ihre eigenen Repositorien, um gleich weitere Aufgaben mit dem gleichen Script erledigen zu können, wie etwa das Anlegen eines Kontos bei einer Drittanbieter-Lösung, vielleicht einem Webportal, das von den Mitarbeitern genutzt wird. Das Erstellen und Pflegen der Scripts erfordert viel Sachverstand, welcher sich häufig erst über einen längeren Zeitraum angeeignet werden muss.
Weitere Hürden sind oft hausgemacht. Wenn keine ordentliche Gruppenstruktur vorhanden ist und Berechtigungen einzeln vergeben werden, stößt PowerShell ebenso schnell an Grenzen wie in sehr großen Umgebungen, in denen die schiere Anzahl an „Organizational Units“ schon Komplexität erzeugt. Ein geeignetes Werkzeug minimiert die Komplexität nicht nur, sondern beschleunigt die Erledigung der Aufgaben und beseitigt Fehlerquellen, die bei manuellem Bearbeiten aufkommen.
Am Beispiel von SolarWinds Access Rights Manager (ARM) wird die Durchführung des Benutzerbereitstellungsprozesses in drei Phasen zusammengefasst, die als Joiner, Mover und Leaver bezeichnet werden:
In die Joiner-Phase fällt der Onboarding-Prozess. Dazu gehört die Bereitstellung eines neuen Benutzerkontos inklusive aller notwendigen Berechtigungen bis hin zu Dateifreigaben und dem Anlegen von Konten in anderen Systemen.
In der Mover-Phase wechseln Mitarbeiter beispielsweise in eine andere Abteilung und es können die Zugriffsrechte widerrufen oder unmittelbar vom Dateneigentümer erteilt werden.
Schließlich, in der Leaver-Phase, wenn ein Mitarbeiter aus dem Unternehmen ausscheidet, informiert die Personalabteilung den Helpdesk.
2. Die Durchführung eines Audits und der Nachweis der Konformität
Weitere 24 Prozent der Befragten sehen die Durchführung eines Audits als Herausforderung. Im Hinblick auf die aktuellen Anforderungen durch das IT-Sicherheitsgesetz 2.0, aber auch klassisch nach dem BSI IT-Grundschutz, muss der Aufwand zum Schutz der Sicherheit der Daten sowie der IT generell betrieben werden. Die Dokumentation dazu ist leider keine sehr erfüllende Aufgabe und wird gerne vernachlässigt, was bei einem Audit zu Problemen führen kann.
Ein Security-Audit benötigt Vorarbeit. Audit-Richtlinien, etwa zum Objekt-Zugriff, müssen gesetzt sein damit Events gesammelt werden können. Im Idealfall werden die Events von einer zentralen SIEM Lösung gesammelt, welche sinnvolle Berichte zur per Mausklick generieren kann.
Mitunter erschweren mitgliederlose Gruppen oder lokale Konten in AD die Verwaltung und können Audits verlängern. Verschachtelte oder rekursive Gruppenmitgliedschaften können zusätzlich zur Unübersichtlichkeit und Komplexität beitragen. Indem man komplizierte Konfigurationen von AD-Gruppenmitgliedschaften vor Audits bereinigt, lässt sich der gesamte Compliance-Prozess optimieren.
Temporäre Konten, die nicht mehr benötigt, aber auch nicht gelöscht werden und inaktiv bleiben, setzen das Unternehmen Risiken aus und machen Audits und Bewertungen unnötig kompliziert. PCI DSS 8.1.4 erfordert sogar, dass temporäre oder inaktive Konten innerhalb von 90 Tagen gelöscht oder deaktiviert werden. Denn ungenutzte oder inaktive Konten werden gerne von Angreifern ausgenutzt, die damit unter dem Deckmantel eines autorisierten Benutzers Daten stehlen und manipulieren.
Im Internet sind zahlreiche kostenlose Tools zu finden, die beispielsweise jederzeit effektive Berechtigungen einzelner Konten anzeigen. Das ist sinnvoll, um einen einzelnen Datensatz zu überprüfen, auch für den Helpdesk falls gerade an einem Ticket gearbeitet wird. Für einen Audit benötigt es jedoch mehr Tiefe, wie Berichte zu beliebigen Gruppen, Benutzern oder Ressourcen, sowie historischen Informationen über Zugriffe und Veränderungen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Für Active Directory allein sind Berichte der folgenden Kategorien empfehlenswert:
Worauf können Benutzer und Gruppen zugreifen
Welche Mitarbeiter verwaltet ein Manager
Benutzerkonten Detail-Ansicht
Inaktive Konten
OU Mitglieder und Gruppenmitgliedschaften
Veränderungen an Benutzern und Gruppen
Lokale Konten identifizieren
Reporte sollten mit weiteren Filtern versehen werden können, um nach bestimmten Benutzern oder einer Kombination von Gruppen und Ressourcen zu suchen. Zertifizierte Auditoren sind im Umgang mit gängigen Tools vertraut und können sich in kürzester Zeit selbst die notwendigen Berichte erstellen, oder nutzen ad-hoc Funktionen, um gezielte Cross-Checks durchzuführen.
Nach dem Anlegen notwendiger Berichte ist es eine gute Idee, diese zu automatisieren, um zeitnah Ereignisse und Änderungen zu identifizieren. Damit können böse Überraschungen beim Audit vermieden werden, aber auch ernstzunehmende Zwischenfälle aufgedeckt werden.
3. Das Verstehen von rekursiven Gruppenmitgliedschaften
Das Verständnis der rekursiven Gruppenzugehörigkeit wurde als dritter Pain Point in der Rechteverwaltung von 21 Prozent der Befragten genannt.
Gruppen haben nicht nur Konten als „Kinder,“ sondern unter Umständen auch weitere Gruppen. Verschachtelte Gruppen sind sinnvoll und notwendig, aber auch schwer überschaubar und es kann über mehrere Gruppen hinweg dazu kommen, dass ein Ring entsteht und eine Untergruppe das eigene Elternteil darstellt. Dadurch kommt es zur Situation, dass jedes Mitglied dieses Konstruktes alle Berechtigungen aller Gruppen bekommt.
Mit Boardmitteln („Mitglied von“) kann man diese über eine Tiefe von zwei, vielleicht drei Stufen noch manuell überblicken, aber in der Realität hat man es meistens mit größeren Versionen zu tun, und die Nachvollziehbarkeit individueller Berechtigungen ist nicht mehr gegeben.
Verschiedene Werkzeuge auf dem Markt sind in der Lage, das gesamte Konstrukt zu erkennen und an beliebiger Stelle aufzubrechen, um dem Administrator eine Übersicht samt möglicher Lösungen zu bieten.
Fazit
Berechtigungsmanagement ist auf Grund der Dynamik von Unternehmen sehr zeitintensiv und fehleranfällig und konkurriert mit dem Anlegen und Pflegen einer Dokumentation zur Vorbereitung auf ein Audit um die knappen Ressourcen im IT-Team. PowerShell Scripts können helfen, benötigen jedoch weiteren Sachverstand und sind nicht ohne Anpassungen und nicht in jeder Situation einsetzbar. Die in der Umfrage genannten Probleme sind nicht neu, daher gibt es verschiedene Lösungen auf dem Markt, um dem Administrator den Alltag zu erleichtern.
Über den Autor: Sascha Giese ist Head Geek bei SolarWinds.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/ec/2a/ec2ad76ab4e804ea6906fb941e06aed5/0122201339v1.jpeg "Entra Cloud Sync ermöglicht die Synchronisierung von Gruppen aus der Cloud in lokale AD-Umgebungen. (Bild: Joos - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/db/24/db24b9eccbb9be47303f236b490ddbd2/0123925606v1.jpeg "Sascha Kreutziger, Leiter Business Development bei HiScout. (Bild: HiSense)")