Privilegierte Konten sind kein Detail
Ein normaler Benutzer-Account ist ein Schaden. Ein kompromittierter Admin-Account ist ein Vorfall mit Tenant-weiter Reichweite: Benutzer löschen, MFA umkonfigurieren, Mail-Forwarding einrichten, Lizenzen verschieben, Backups manipulieren.
Genau deshalb ist die Frage „Wer ist Admin?" eine der wichtigsten in jedem KMU.
Vier Regeln für Admin-Konten
1. Kein persönliches Tagesgeschäft auf Admin-Konten. Admin-Konten sind getrennt vom täglichen Arbeitskonto. Anmeldung am Admin-Konto nur wenn nötig.
2. Stärkste verfügbare MFA-Methode. Phishing-resistent: FIDO2-Sicherheitsschlüssel oder Authenticator mit Number-Matching. SMS für Admins ist nicht angemessen.
3. Break-Glass-Konto definieren. Mindestens ein Notfall-Admin-Konto, das bei Policy-Fehlern oder MFA-Ausfällen funktioniert. Sehr starkes Passwort, sicher abgelegt (z. B. Tresor), nicht im Alltag benutzt, mit Sign-in-Alert überwacht.
4. Least Privilege. Niemand braucht permanenten Global Admin. Spezifische Rollen reichen meistens.
Rollen statt „Global Admin"
In Entra ID (M365) gibt es viele spezifische Admin-Rollen: User Admin, Exchange Admin, SharePoint Admin, Security Admin, Helpdesk Admin. Für die meisten Aufgaben reichen diese, Global Admin nur dann, wenn wirklich nötig.
| Aufgabe | Empfohlene Rolle |
|---|---|
| Passwort-Reset | Helpdesk Admin |
| Benutzer anlegen | User Admin |
| Mailbox-Themen | Exchange Admin |
| Sicherheits-Themen | Security Admin |
| Audit/Logs | Reports Reader |
| Wirklich alles | Global Admin (sehr restriktiv) |
Was oft falsch läuft
Drei Personen sind Global Admin. Eine davon ist gar nicht mehr in der Firma.
Admin-Konto = Standard-Konto. Eine Phishing-Mail trifft nicht den User, sondern den Admin.
Kein Break-Glass-Konto. Wenn die Conditional-Access-Policy falsch greift, ist niemand mehr drin.
SMS-MFA für Admins. Phishing-anfällig.
Admin-Aktivitäten unbeobachtet. Sign-in-Logs werden nicht geprüft, Alerts nicht eingerichtet.
Beispiel aus dem KMU-Alltag
Ein Handelsbetrieb verschärft Conditional Access an einem Donnerstag. Eine Regel sperrt versehentlich auch Admin-Konten. Niemand kommt mehr rein. Zum Glück existiert ein Break-Glass-Konto, das von der Policy ausgenommen ist, mit dem wird die Regel zurückgesetzt. Ohne Break-Glass-Konto wäre Microsoft-Support der nächste Schritt gewesen, mit Stunden Wartezeit.
Konkrete Empfehlung
- Admin-Konten getrennt vom Alltag
- FIDO2 oder Authenticator mit Number-Matching für alle Admin-Konten
- Mindestens ein Break-Glass-Konto, sicher abgelegt, mit Alert
- Privileged Identity Management für Just-in-Time-Rechte (wenn lizenziert)
- Admin-Inventar mit Owner und Begründung, quartalsweise prüfen
- Sign-in-Alerts auf Admin-Konten
Wann wir helfen
Wir prüfen das Admin-Inventar, definieren Rollen-Modell und Break-Glass-Konten und richten Sign-in-Alerts ein. Teil von Managed Workplace & Microsoft 365. Siehe auch MFA für KMU und Cyberversicherung, IT-Nachweise.
Häufige Fragen
Wie viele Global Admins braucht ein KMU? Typisch 2, einer aktiv, einer als Backup oder Break-Glass.
Was ist ein Break-Glass-Konto genau? Ein Notfall-Admin-Konto, das auch bei kaputten Policies funktioniert. Nicht im Alltag, mit sehr starkem Passwort, sicher abgelegt, überwacht.
Brauche ich PIM (Privileged Identity Management)? In M365 ab E3/P2 verfügbar. Sinnvoll bei mehreren Admins, nicht zwingend für sehr kleine KMU.
Welche MFA-Methode? FIDO2-Sicherheitsschlüssel ist phishing-resistent. Authenticator mit Number-Matching ist die nächstbeste Wahl.
Wo speichere ich das Break-Glass-Passwort? Verschlüsselt, mit Vier-Augen-Zugang, getrennt vom Alltag. Tresor oder versiegeltes Couvert sind legitim.