Bildquelle: extern
Ein externer Admin-Zugang ist im richtigen Moment hilfreich. Er ermöglicht Wartung, Support, Migration oder schnelle Hilfe im Ausfall. Das Risiko beginnt, wenn nach dem Einsatz niemand sicher belegen kann, ob dieser Zugang wieder entzogen wurde.
Für ITSM-Generalisten ist das kein reines Security-Spezialthema. Externe Zugänge verbinden Lieferantensteuerung, Change Management, Incident Response und Identitätsverwaltung. Ein privilegierter Zugang erlaubt besonders weitreichende Aktionen, etwa Änderungen an Systemen, Daten oder Konfigurationen. Deshalb reicht es nicht, den Zugriff nur technisch einzurichten. Der Betrieb muss auch wissen, wer ihn beantragt hat, wofür er genutzt wurde, wann er enden sollte und wer die Schließung geprüft hat.
Der gefährliche Teil kommt nach der erfolgreichen Hilfe
Externe Admin-Zugänge entstehen oft aus nachvollziehbaren Gründen. Ein Hersteller muss ein Problem analysieren. Ein Dienstleister richtet eine Schnittstelle ein. Ein Projektteam braucht vor dem Go-live Unterstützung. Im Notfall zählt Geschwindigkeit. Genau deshalb werden Zugänge manchmal großzügiger, länger oder pragmatischer vergeben, als es im Normalbetrieb vorgesehen wäre.
Solange der Einsatz läuft, ist der Zweck meist klar. Nach dem Einsatz wird es schwieriger. Das Ticket ist geschlossen, der Projekttermin vorbei, der Dienstleister nicht mehr täglich im Gespräch. Bleibt der Zugang aktiv, entsteht ein stilles Risiko. Es ist nicht sichtbar wie ein laufender Ausfall, kann aber später zum Einfallstor, zum Auditproblem oder zur ungeklärten Verantwortlichkeit werden.
Ein Ablaufdatum ist stärker als eine gute Erinnerung
Der wichtigste Kontrollpunkt ist ein verbindliches Ende. Ein externer Zugang sollte nicht nur eine Begründung haben, sondern auch ein Ablaufdatum oder eine konkrete Bedingung für den Entzug. Diese Grenze gehört in das Ticket, in den Change, in den Lieferantenauftrag oder in das Zugriffsreview. Eine lose Erinnerung im Kalender eines einzelnen Verantwortlichen ist zu schwach.
Praktisch hilft eine einfache Regel: Jeder privilegierte Fremdzugang braucht Besitzer, Zweck, Zeitraum, Freigabe, Protokollierung und Abschlussprüfung. Fehlt einer dieser Punkte, ist der Zugang nicht sauber steuerbar. Besonders kritisch sind Sammelkonten, alte VPN-Berechtigungen, lokale Administratorkonten, gemeinsam genutzte Supportzugänge und Ausnahmen, die für einen Vorfall eingerichtet wurden und danach nicht in den normalen Kontrollfluss zurückkehren.
Service Desk und Einkauf sehen unterschiedliche Warnsignale
Der Service Desk erkennt oft zuerst, dass ein externer Zugang im Alltag weiterlebt. Wiederkehrende Rückfragen, unklare Zuständigkeiten oder alte Supportkontakte in Tickets zeigen, dass die Zugriffslage nicht sauber abgeschlossen wurde. Einkauf und Provider Management sehen andere Signale: abgelaufene Verträge, beendete Projekte, geänderte Ansprechpartner oder Dienstleister, deren operative Rolle kleiner geworden ist.
Gerade deshalb darf die Kontrolle nicht nur in einem Team liegen. Identitätsverwaltung prüft, ob der Zugang technisch aktiv ist. ITSM prüft, ob der Zweck noch besteht. Provider Management prüft, ob die Leistung und der Vertrag noch passen. Security prüft, ob Protokollierung, Mehrfaktor-Anmeldung und Risikoausnahme sauber dokumentiert sind. Erst zusammen entsteht ein verlässliches Bild.
Nachweise sind wichtiger als Bauchgefühl
Im Audit oder nach einem Sicherheitsvorfall reicht die Aussage „müsste geschlossen sein“ nicht. Der Betrieb braucht einen Nachweis. Wann wurde der Zugang deaktiviert? Wer hat es bestätigt? Gab es noch Anmeldungen nach dem geplanten Ende? Wurde ein temporäres Konto gelöscht oder nur gesperrt? Sind API-Schlüssel, Servicekonten und Notfallkennungen ebenfalls betrachtet worden?
Diese Fragen wirken klein, entscheiden aber über Vertrauen. Ein sauberer Nachweis zeigt, dass Zugriff nicht nur vergeben, sondern über seinen gesamten Lebenszyklus gesteuert wurde. Frameworks wie das NIST Cybersecurity Framework betonen Identitätsmanagement, Zugriffskontrolle und Überwachung als Teil wirksamer Schutzmaßnahmen. Die CIS Controls nennen Account Management und Access Control Management als zentrale Sicherheitsdisziplinen. Für den ITSM-Alltag bedeutet das: Ein Zugang ist erst erledigt, wenn sein Ende sichtbar geprüft ist.
Ein kurzer Kontrolllauf verhindert lange Spurensuche
Ein praktikabler Kontrolllauf muss nicht kompliziert sein. Der Betrieb kann monatlich oder nach jedem größeren Projekt eine Liste externer privilegierter Zugänge ziehen. Dann werden vier Fragen geprüft: Gehört der Zugang noch zu einem aktiven Auftrag? Gibt es einen bestätigten Besitzer im Unternehmen? Gab es Anmeldungen nach dem geplanten Ende? Ist der Entzug oder die Verlängerung im Ticket oder Review dokumentiert?
Findet das Team dabei aktive Zugänge ohne klaren Zweck, sollte es nicht nur einzelne Konten schließen. Es sollte auch den Grund erkennen. Fehlt ein Pflichtfeld im Freigabeprozess? Werden Dienstleisterwechsel nicht an die Identitätsverwaltung gemeldet? Gibt es keinen Rückbau-Schritt im Change? Oder behandelt der Betrieb externe Zugänge wie technische Nebensache, obwohl sie ein zentrales Sicherheitsrisiko sind?
Die beste Kontrolle beginnt vor der Freigabe
Am wirksamsten ist der Entzug, wenn er schon bei der Freigabe mitgedacht wird. Jeder Antrag auf externen Admin-Zugang sollte die Frage beantworten, wie der Zugriff wieder endet. Das klingt bürokratisch, spart aber später Arbeit. Wer Zweck, Zeitraum und Besitzer am Anfang festlegt, muss am Ende weniger rekonstruieren.
Für ITSM-Verantwortliche ist die Lehre klar: Externe Hilfe darf schnell sein, aber nicht spurlos. Der Betrieb braucht eine Routine, die nach Projektende, Wartung oder Notfall nicht nur den Erfolg der Arbeit prüft, sondern auch die Rücknahme der besonderen Rechte. Genau dort zeigt sich, ob Zugriffskontrolle ein gelebter Prozess ist oder nur eine Hoffnung auf das nächste Review.
Quellen und Einordnung: NIST Cybersecurity Framework 2.0, CIS Controls zu Account Management und Access Control Management, CISA-Einordnung zu Mehrfaktor-Anmeldung und Kontoschutz, NIST SP 800-53 Control AC-2 zu Kontenmanagement. Stand der Quellenprüfung: 05.07.2026. Bildquelle: Pexels, Foto-ID 279810.
