MFA steht (Woche 2) — jeder Login ist jetzt besser geschützt. Diese Woche kümmern wir uns um die Konten, deren Übernahme am meisten Schaden anrichtet: die privilegierten Konten mit Administratorrechten.
Warum gerade Admin-Konten
Ein Administrator-Konto kann Daten löschen, Nutzer anlegen, Sicherheitseinstellungen ändern und MFA-Richtlinien aushebeln. Wer ein solches Konto übernimmt, übernimmt faktisch die gesamte Cloud-Umgebung. Genau deshalb sind diese Konten das bevorzugte Ziel von Angreifern — und genau deshalb verdienen sie eine Sonderbehandlung.
In vielen mittelständischen Unternehmen ist das Gegenteil der Fall: Aus Bequemlichkeit arbeiten Geschäftsführung und IT-Verantwortliche dauerhaft mit Administratorrechten, weil „man die ja manchmal braucht”. Das C5:2026-Identitätsmanagement fordert das Gegenteil — das Prinzip der minimalen Berechtigung (Least Privilege): Jeder erhält nur die Rechte, die er für seine Aufgabe tatsächlich benötigt, und privilegierte Rechte nur dann, wenn er sie gerade ausübt.
So machen Sie mit
- Erstellen Sie eine Liste aller Konten mit Administratorrechten in Ihren wichtigsten Diensten. In Microsoft 365 und Google Workspace gibt es dafür eine Übersicht im Admin-Bereich.
- Streichen Sie alle Admin-Rechte, die nicht zwingend nötig sind. Im Zweifel: entziehen und abwarten, ob jemand sie vermisst.
- Trennen Sie Alltag und Administration: Wer administriert, bekommt ein separates Admin-Konto — das normale Tagesgeschäft (Mail, Dokumente, Surfen) läuft über ein Konto ohne Sonderrechte.
- Reduzieren Sie die Zahl der Voll-Administratoren auf ein gesundes Minimum — und mindestens zwei (Vier-Augen- und Ausfallprinzip).
- Aktivieren Sie, wo verfügbar, zeitlich begrenzte Rechtevergabe (z. B. Privileged Identity Management), sodass Admin-Rechte nur bei Bedarf und befristet aktiv sind.
Stolpersteine
- Den eigenen Zugang nicht vergessen. Bevor Sie aufräumen, stellen Sie sicher, dass mindestens ein abgesichertes Notfall-Admin-Konto funktioniert (siehe Woche 2).
- Dienstleister-Zugänge. Externe IT-Partner haben oft weitreichende Rechte. Prüfen Sie, ob diese noch gebraucht werden und ob sie ebenfalls mit MFA geschützt sind.
- „Das haben wir immer so gemacht.” Der häufigste Widerstand ist Gewohnheit. Ein separates Admin-Konto ist nach einer Woche Routine — der Sicherheitsgewinn bleibt dauerhaft.
Bezug zu C5:2026
Privilegierte Zugänge sind in C5:2026 ein eigenes Augenmerk wert, weil ihr Missbrauch die größten Hebel hat. Wer hier aufräumt, reduziert das Schadenspotenzial eines erfolgreichen Angriffs drastisch — selbst wenn ein normales Konto kompromittiert wird, bleibt der Schaden begrenzt.
Fazit
Weniger Administratoren, getrennte Konten, Rechte nur bei Bedarf: Diese Woche verkleinern Sie die Angriffsfläche an ihrer empfindlichsten Stelle. Nächsten Montag wechseln wir die Perspektive zum Anbieter — Quick Win 4 zeigt, wie Sie C5-Testate einfordern und richtig lesen.
Sie möchten Ihr Berechtigungskonzept auf Least Privilege umstellen? Kontaktieren Sie uns für eine strukturierte Begleitung.