Um sicherzustellen, dass ein Unternehmen selbst keinen Zugriff auf Microsoft 365 oder Azure verliert, gibt es Break Glas-Accounts. Diese lassen sich auch mit MFA absichern, was seit Juli 2024 Pflicht in Azure ist. Allerdings gilt hier besondere Vorsicht walten zu lassen, um sich nicht selbst aus der Cloud auszusperren.
Die Zeit drängt: Microsoft hat seit Juli 2024 die MFA-Pflicht für Break Glas-Accounts in Azure und Microsoft 365 eingeführt und bis Ende 2024 sollten alle Unternehmen spätestens ihre Notfallzugänge umgestellt haben.
(Bild: Dall-E / KI-generiert)
Beim Einsatz von Azure und Microsoft 365 ist die Einrichtung vo Notfallaccounts, sogenannter "Break Glass"-Accounts eine wichtige Maßnahme zur Gewährleistung der kontinuierlichen Administrationsfähigkeit, auch in Notfällen. Diese speziellen, hoch privilegierten Konten dienen dazu, im Falle eines Verlusts des Zugangs zu regulären Administrator-Accounts, etwa durch Fehlkonfigurationen oder Cyberangriffe, weiterhin kritische Systemzugriffe sicherzustellen. Break Glass-Accounts sollten nicht dem normalen Authentifizierungs- oder Multifaktor-Authentifizierungsprozess unterliegen, um sicherzustellen, dass sie im Notfall sofort verfügbar sind. Gleichzeitig müssen diese Accounts streng überwacht und nur in Ausnahmefällen verwendet werden, um Missbrauch zu verhindern.
Wir haben uns bereits in einem eigenen Beitrag mit dem Thema auseinandergesetzt. In einem Video zu dem Thema zeigen wir ebenfalls die Möglichkeiten eines Break Glas-Kontos.
Microsoft hat seit Juli 2024 MFA-Pflicht eingeführt und bis Ende 2024 sollten alle Unternehmen spätestens ihre Break Glas-Accounts auf MFA umgestellt haben. Im folgenden Beitrag gehen wir darauf ein, was dabei wichtig ist.
Benachrichtigung aktivieren bei Break Glas-Accounts
Break Glas-Accounts sollten nur in Ausnahmen zum Einsatz kommen, zum Beispiel wenn es keine Möglichkeit mehr gibt sich mit herkömmlich Admin-Konten zu verbinden. Aus diesem Grund ist es auch sinnvoll Benachrichtigungen zu konfigurieren, die automatisch auslösen, wenn das Konto zum Einsatz kommt. Das kann Missbrauch deutlich eindämmen. Für die Überwachung kopiert man zunächst den Anmeldenamen des entsprechenden Nutzerkontos im Microsoft 365 Admin Center, zum Beispiel bei „Benutzer -> Aktive Benutzer“. Das Break Glas-Konto braucht keinerlei Lizenzen, da es sich nur anmelden muss, um im Notfall wieder Zugang zur Umgebung zu erhalten.
Benachrichtigungen für Break Glas-Accounts lassen sich nur umsetzen, wenn ein Entra ID P1- oder P2-Abonnement vorliegt. Für die Überwachung wird in Azure ein Log Analytics Workspace benötigt. Die weitere Einrichtung findet danach im Azure-Portal (portal.azure.com) über „Microsoft Entra ID“ und der Auswahl von „Diagnoseeinsteellungen“ bei „Überwachung“ statt. Wenn ein Log-Analytics-Arbeitsbereich vorliegt, lassen sich die im Fenster angezeigten Informationen mit dem Link „Diagnoseeinstellung hinzufügen“. Im neuen Fenster sollten bei „Protokolle“ alle Protokolle aktiviert sein und bei „Zieldetails“ die Option „An Log Analytics-Arbeitsbereich senden“.
Im Anschluss können im ausgewählten Log-Analytics-Arbeitsbereich bei „Überwachung“ Alarme eingerichtet werden. Dazu wird der Anmeldenamen des Break Glas-Accounts benötigt, der in die Abfrage der Protokolle durch den Alarm abgefragt wird. Sobald dann in den Protokollen der Anmeldename des Brea Glas-Accounts auftaucht.
Wenn der Break Glas-Account in Azure/Microsoft 365 nicht über MFA abgesichert ist, besteht durchaus die Gefahr, dass Angreifer das Konto leichter kapern können. Auf der anderen Seite besteht aber die Gefahr, dass kein Zugang zu Azure/Microsoft 365 aufgebaut werden kann, weil MFA nicht funktioniert, falsch konfiguriert ist, oder die Dienste und Zugänge zu MFA Probleme haben.
FIDO2-Keys sind ideal für Break Glas-Accounts in Azure und Microsoft 365
Sinnvoll ist die Verwendung von FIDO2-Keys in den Authentifizierungsmethoden. Dadurch lassen sich die Break Glas-Accounts mit MFA absichern, ohne komplett auf Clouddienste oder Apps angewiesen zu sein. FIDO-Keys (Fast Identity Online) bieten eine starke und phishing-resistente Multifaktor-Authentifizierung (MFA) für Azure und Microsoft 365. Im Gegensatz zu herkömmlichen MFA-Methoden wie SMS oder Authenticator-Apps, die anfällig für verschiedene Angriffsvektoren sind, basieren FIDO-Keys auf hardwarebasierter Authentifizierung.
Diese Schlüssel speichern kryptografische Schlüssel lokal auf einem physischen Gerät, etwa einem USB- oder NFC-Token, was bedeutet, dass Angreifer keinen direkten Zugang zu den Anmeldeinformationen erhalten können. Für Unternehmen, die Azure und Microsoft 365 einsetzen, bieten FIDO-Keys eine sichere Möglichkeit, den Zugang zu sensiblen Cloud-Diensten zu schützen sowie den Schutz von Break-Glas-Accounts zu gewährleisten. Die Einrichtung in Entra ID ermöglicht eine einfache Verwaltung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Einrichtung von MFA für das Break Glas-Konto erfolgt über die Seite https://aka.ms/mfasetup. Hier erfolgt die Einrichtung von mindestens zwei FIDO-Keys sowie des notwendigen PINs. Die PINs sollten natürlich notiert werden. Da MFA in Azure und Microsoft 365 unumgänglich ist, macht der Einsatz eines Hardware-Keys durchaus Sinn. Der Schlüssel kann in einem Safe eingeschlossen werden. Der Einsatz von zwei Schlüsseln ist sinnvoll, um den Ausfall eines Schlüssels abzufangen.
Die Verwendung von FIDO2-Keys für die Absicherung von Break Glass-Accounts ist besonders ideal, da diese Authentifizierungsmethode ein hohes Maß an Sicherheit und Verfügbarkeit bietet. Break Glass-Accounts müssen in Krisensituationen sofort und zuverlässig zugänglich sein, ohne dabei Kompromisse bei der Sicherheit einzugehen. FIDO2-Keys sind hardwarebasiert und widerstehen gängigen Angriffsmethoden wie Phishing oder Man-in-the-Middle-Angriffen, da sie keine wiederverwendbaren Anmeldeinformationen übertragen. Gleichzeitig bieten sie eine einfache, schnelle und sichere Authentifizierung, die unabhängig von externen Faktoren wie der Erreichbarkeit von Mobilfunknetzen funktioniert. Dadurch sind FIDO2-Keys für Break Glass-Accounts eine optimale Wahl, da sie die notwendige Sicherheit und Verfügbarkeit in kritischen Momenten garantieren.
Zertifikatsbasierte Authentifizierung als Alternative zu FIDO2-Keys
Zertifikatsbasierte Authentifizierung (CBA) stellt eine alternative Lösung zur Verwendung von Hardware-FIDO2-Keys dar, insbesondere in Umgebungen, in denen physische Geräte unpraktisch oder schwer zu verwalten sind. Bei CBA werden digitale Zertifikate verwendet, die auf dem Client-Gerät oder einer Smartcard gespeichert sind, um eine sichere Authentifizierung zu ermöglichen. Der Vorteil dieser Methode liegt in der bereits weit verbreiteten Infrastruktur, da viele Unternehmen ohnehin ein Public Key Infrastructure (PKI)-System zur Verwaltung von Zertifikaten einsetzen. Zudem sind keine zusätzlichen Hardware-Keys erforderlich, was die Verwaltung vereinfachen kann.
Auf der anderen Seite birgt die zertifikatsbasierte Authentifizierung einige Risiken. Zertifikate können ablaufen, kompromittiert oder gestohlen werden, insbesondere wenn sie auf lokalen Geräten gespeichert sind. Zudem erfordert die Verwaltung einer PKI-Lösung erhebliche personelle und technische Ressourcen, um sicherzustellen, dass Zertifikate stets aktuell und sicher sind. Im Vergleich zu FIDO2-Keys, die eine physische Komponente für erhöhte Sicherheit bieten, kann CBA anfälliger für Missbrauch sein, vor allem, wenn Geräte oder Zertifikate kompromittiert werden.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/51/66/51660e057f62d85982b75b6404a6bbac/0129159958v1.jpeg "Mit Detail über die sechs Sicherheitslücken in seiner Web-Help-Desk-Plattform hält sich Solarwinds zurück. Das Update 2026.1 löst die Probleme. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/b1/4d/b14dc1a620af2a4ba6d24f26a05d5959/0121432961v1.jpeg "Break Glas-Accounts lassen sich überwachen, um die Anmeldungen unter Kontrolle zu behalten.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/2f/67/2f67bc3583f05bc9f6b35828b0eb7f30/0121432958v1.jpeg "Konfigurieren der Protokollierung für Break Glas-Accounts.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/ea/ac/eaac207c4aa9c1882ff0701fc6307721/0121432957v1.jpeg "Anpassen der Authentifizierungs-Methoden für Entra ID und Microsoft 365.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/1d/09/1d090608d4a48dc59ff6cc02a2014457/0121432956v1.jpeg "Einrichten von FIDO2-Schlüsseln als Absicherung von Break Glass-Accounts.(Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/e8/72/e872a328d09b689b97a703ec21c14743/0109723025.jpeg "Konten für die Notfallanmeldung können auch bei Microsoft 365 schnell zum Retter in der Not werden. (Bild: alswart - stock.adobe.com - Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/8e/b28e6468cb67adb305d0d777462bc156/0121168009v2.jpeg "Ein Zugang zu einem Konto mit Administrator-Rechten ist der Jackpot für jeden Cyberkriminellen. Mit Microsoft Entra Privileged Identity Management lässt sich ein wirksamer Schutz gegen Mißbrauch etablieren. (Bild: Zaleman - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/c2/88c21dddcd162e38602dc56abe947a42/0117748055.jpeg "Microsoft 365 und Gmail sind aktuell im Fokus von Cyberkriminellen, die auch den MFA-Schutz angreifen. (Bild: Gstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/99/63995c4556cd1ea33c5d9074172856ce/0120904290v2.jpeg "Maximale Sicherheit mit Entra ID in Microsoft 365 ermöglicht die Minimierung von Sicherheitsrisiken durch effektive Rollenverwaltung im Entra Admin Center. (Bild: Song_about_summer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/07/330715e07e85cb5ab855b87277dd2bd8/0123215790v2.jpeg "Entra ID und Microsoft 365 mit Passkeys nutzen: So geht’s. (Bild: BillionPhotos.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/2b/ed2b4da99471d60843aabacf642f6ed6/0122209847v1.jpeg "Dynamische Gruppen erweitern regelbasiert die Flexibilität und Automatisierung bei der Verwaltung von Sicherheits- und Microsoft 365-Gruppen. (Bild: © sdecoret - stock.adobe.com)")