Die ständig wachsende Anzahl der Cyberangriffe auf Wirtschaftsunternehmen und andere Institutionen erfordern stets großes Augenmerk auf die möglichen Einfallstore in die IT-Infrastruktur der jeweiligen Einrichtungen. Vor allem Administratorenkonten sind ein beliebter Angriffspunkt, weil sie nach erfolgreichem Angriff vielerlei Handlungsmöglichkeiten bieten. In diesem Beitrag zeigen wir Ihnen, wie Benutzerrollen möglichst sicher organisiert werden können, und wie mit der Rolle „Globaler Administrator“ in einer Microsoft Organisation umgegangen werden sollte.
Ein Globaler Administrator hat die unbegrenzte Kontrolle aller Produkte in einem Tenant, dem Hauptkonto einer Microsoft 365 Umgebung. Er kann sämtliche Einstellungen in einer Microsoft-Umgebung ändern und hat dadurch weitreichenden Einfluss. Diese Rolle sollte nicht leichtsinnig vergeben werden, da eine hohe Anzahl an Administratorenkonten auch die Chance erhöht, dass eines dieser Konten kompromittiert wird. Microsoft empfiehlt beispielsweise die Anzahl der Administratorenkonten auf zwei bis maximal vier Konten pro Tenant zu begrenzen.
Trotzdem finden wir oft die Situation vor, dass Organisationen zu großzügig mit Administratorrollen umgehen, weil sie sich ihres Handlungsspielraumes entweder nicht bewusst sind, oder weil temporäre Rollenvergaben nicht dokumentiert wurden und deshalb in Vergessenheit geraten sind. Um Sicherheitslücken durch unüberwachte Administratorrechte bestmöglich zu schließen, sollte jede Organisation über ein Rollenkonzept verfügen.
Ein Rollenkonzept funktioniert nach dem „so viel wie nötig, so wenig wie möglich“ -Prinzip. Es sorgt dafür, dass alle Mitarbeiter:innen genügend Rechte haben, um ihre Arbeit ohne Probleme auszuführen und verhindert dabei, dass sie mehr Rechte haben als nötig. So wird das Schadensrisiko durch einen Identitätsklau auf den Handlungsspielraum des Accounts minimiert.
Um ein Rollenkonzept zu entwickeln muss zunächst identifiziert werden, welche Personengruppen welche Rechte benötigen. Anschließend können Rollen für bestimmte Personengruppen mit definierten Rechten entwickelt werden. Für einige Personengruppen gibt es von Microsoft schon vorgefertigte Rollen-Templates. Beispielsweise gibt es für SharePoint Administratoren eine vorgefertigte SharePoint-Administratorrolle. Diese berechtigt zum Erstellen und Löschen von Websites und zum Verwalten von Websitesammlungen sowie globalen SharePoint-Einstellungen.
Zusätzlich zu den Rechten, die Personen über ihre zugeteilte Rolle erhalten haben, können zeitlich begrenzte Administratorrechte über ein gesondertes Genehmigungsverfahren erteilt werden. Hierfür wird das sogenannte Privileged Identity Management (PIM) im Azure Active Directory (AD) verwendet, für dessen Einrichtung allerdings besondere Lizenzen benötigt werden. Damit kann ein SharePoint Administrator beispielsweise Zugriffsrechte für einen anderen Bereich anfordern, welche von einem globalen Administrator für einen begrenzten Zeitraum freigegeben werden können. So kann verhindert werden, dass Accounts überflüssig mit Administratorrechten versehen sind, obwohl diese nur selten benötigt werden.
Mit unserem diversen Dienstleistungsportfolio für Microsoft 365 Organisationen bieten wir Ihnen gerne Hilfestellung bei der Analyse Ihrer aktuellen Rollenstruktur und unterstützen Sie bei der Entwicklung eines Rollenkonzeptes. So können Sie den Schaden durch Identitätsangriffe beachtlich einschränken! Lesen Sie auch unseren Artikel zur Multi-Faktor Authentifizierung.