IT-Dokumentation - Der Blog

Verwaiste Benutzer-Accounts automatisch aufspüren

Mi, 23. März 2022

Was sich in der heutigen Zeit in der IT-Welt alles als sicherheitsrelevant entpuppt, versetzt so manchen ins Staunen. Denn nahezu täglich werden neue Schwachstellen oder Hintertürchen in den bekannten Betriebssystemen und Programmen nicht nur veröffentlicht, sondern auch tatsächlich ausgenutzt. Ein aufgeräumtes und blitzsauberes IT-Netzwerk ist daher für jede professionelle IT-Abteilung Pflicht.

Aber nicht jede Schwachstelle kommt durch eine neu entdeckte Sicherheitslücke. Manchmal bauen wir auch selbst einige Löcher in unser System ein, die so individuell sind, dass mit normalen Patches und Updates kein Kraut dagegen gewachsen ist. Heute geht es um verwaiste Benutzerkonten, die zwar angelegt, aber nie oder schon lange nicht mehr benutzt wurden.

Existenz außerhalb der Sicherheitsrichtlinien

Wie in den meisten Unternehmen gibt es für die Benutzerverwaltung viele Vorgaben, um die Sicherheit des IT-Netzwerks möglichst hochzuhalten. Dabei werden Zugänge von außerhalb eingeschränkt oder auf bestimmte Locations beschränkt, mehrfach gesicherte Zugänge (MFA – Multi Factor Authentication) realisiert und auch von den Benutzern alle paar Monaten ein neues Kennwort abgefordert.

Doch was passiert mit den User Accounts, die zwar irgendwann im System angelegt wurden, aber nie zum Einsatz kamen? Gibt es nicht? Nun, das geht sicher schneller, als sich so manch einer bewusst ist.

So gut wie in jedem Unternehmen kann es vorkommen, dass sich ein Bewerber im letzten Moment die Sache anders überlegt und sich kurz vor dem Eintritt von der Unterzeichnung des Arbeitsvertrages distanziert. In der Regel wurden aber sämtliche Benutzer-Accounts, Berechtigungen und eventuelle Gerätschaften bereits im Vorfeld für den vermeintlich neuen Mitarbeiter vorbereitet und eingerichtet.

Wenn die Kommunikationskette reißt

Und nicht immer funktionieren die Informationsketten im gewünschten Ausmaß über alle Bereiche eines Unternehmens anstandslos. Natürlich weiß die HR-Abteilung (Human Resources – ich weiß, neumodischer Kram, aber auf den Begriff „Personalabteilung“ reagiert heute kaum jemand mehr), die Geschäftsleitung und die betroffene Abteilung darüber Bescheid. Oftmals bleibt es aber dann dabei und wenn nicht zufällig in der Kantine über das Fernbleiben des vermeintlich neuen Mitarbeiters geredet wird, ist das auch schnell wieder vergessen.

Wird die IT-Abteilung also nicht ganz konkret von diesem Umstand in Kenntnis gesetzt, kann es passieren, dass der frisch angelegte Benutzer-Account über einen langen Zeitraum auf seinen ersten Login wartet. Oder die Löschung aufgrund anderer, vorrangiger Arbeiten in den Hintergrund rutscht. Wie wir wissen, muss eine IT-Abteilung oftmals ziemlich rasch auf Geschehnisse reagieren und einfache Verwaltungsaufgaben stehen da gerne mal hinten an.

Und so schlummert ein bisher unbenutzter Account über Tage, Wochen oder gar Monate, gut versteckt in der Domänenverwaltung. Versehen mit einem einfachen „Starter“-Kennwort wie „123ichBINdrin!“ oder ähnlich kreativen Wortlauten.

Das Horror-Szenario, das niemals eintritt – hoffentlich

Es gibt natürlich auch andere Wege, um eine derartige Benutzerleiche im System zu haben. Zum Beispiel ein Testaccount. Ein spezieller Account für eine Software. Oder auch Zugänge, die zwar irgendwann einmal einem Benutzer zugeordnet und auch benutzt wurde, welcher sich aber schon seit langem nicht mehr im Unternehmen befindet.

Ja klar, in einem Betrieb mit 20 Mitarbeitern mag das wohl auffallen, wenn eifrige Systemadministratoren die IT-Domänen durchstreifen. Bei hunderten Benutzern oder gar verschiedenen Standorten, wo man viele der Kollegen gar nicht kennt, wird das eher schwierig.

Um es auch klar zu verdeutlichen – eine Gefahr geht nicht immer nur von Hackern aus. Auch zu neugierige Kollegen können sich mit ein wenig Grips Zugang zu solchen Konten verschaffen. Denn die Namensgebung des Benutzeraccounts ist im Unternehmen immer gleich aufgebaut. Teile des Vornamens und Nachnamens stehen gewöhnlich ganz oben. Und das Kennwort. Ja, das Kennwort. Das ist in der Regel das Kennwort, das seit Jahren für den Neueinsteiger vergeben wird. Sie erinnern sich? „123ichBINdrin!“.

Abhilfe durch regelmäßige Kontrolle

Mit Docusnap nehmen wir dieser Gefahr von vornherein den Wind aus den Segeln. Denn bereits ab der ersten Installation stellt Docusnap entsprechende Berichte für verschiedenste Auswertungen zur Verfügung. Unter anderem lassen sich hier auch sogenannte „Benutzerleichen“ schnell und übersichtlich darstellen. Dabei werden alle User-Accounts aufgelistet, die sich bisher noch nie an der Domäne angemeldet haben.

Auswertung verwaiste User-Accounts

Neu angelegte und noch nie benutzte User-Accounts sind aber nicht die einzige Möglichkeit, die Sicherheit eines Netzwerkes zu beinträchtigen. Genauso wichtig ist es, Mitarbeiter, die aus dem Unternehmen ausgeschieden sind, auch aus der IT-Umgebung sauber zu entfernen.

Auch hier hilft Docusnap in Form eines Berichtes. Dafür steht ein weiterer Bericht zur Verfügung, bei dem die Auswertung nach dem letzten Login durchgeführt wird. Und dieses Datum kann nach belieben gesetzt werden. So können mit einem Mausklick zum Beispiel sämtliche Accounts angezeigt werden, die sich seit 90 Tagen nicht mehr im System angemeldet haben.

Natürlich beschränken wir uns dabei nicht um einmalige Aktionen. Denn eine Auswertung ist nur sinnvoll, wenn sie auch regelmäßig durchgeführt wird. Auch dabei unterstützt Docusnap auf bestmöglichem Weg.

Mehr Sicherheit durch automatische Abläufe

Eine regelmäßige und vor allem automatische Auswertung lässt sich mit wenigen Mausklicks einrichten. Als Ergebnis kann so zum Beispiel einmal pro Monat per Mail eine Übersicht gesendet werden, ohne dass eine weitere Interaktion mit Docusnap erforderlich ist.

Das erspart nicht nur eine Menge Zeit, sondern hilft auch, das eigene IT-Netzwerk stets aktuell und sauber zu halten.

Neugierig geworden?

Docusnap ist unter den professionellen IT-Dokumentations-Lösungen der Marktführer in Deutschland. Dabei wird Docusnap ständig an neue Herausforderungen, die uns das Internet im täglichen IT-Business bringt, angepasst und erweitert.

Wenn Sie von den Vorteilen einer professionellen IT-Erweiterung profitieren möchten, sich aber noch nicht zu einem Einsatz entscheiden konnten, bieten wir Ihnen eine völlig kostenfreie 30-Tage-Testversion an.

Und weil wir wollen, dass Sie vom ersten Moment an die Vorteile von Docusnap erfahren können, steht sogar in dieser kostenlosen Testphase vom ersten Tag an unser Experten-Team zu Ihrer Verfügung und unterstützt Sie bei Fragen zur Installation, Einrichtung und Bedienung von Docusnap. Ebenfalls kostenlos. Dokumentieren Sie los!