profile

Michael Mayer

Wie die Kuh vorm neuen Access-Door

Published 28 days ago • 5 min read

Ich erinnere mich an ein Projekt, bei dem der Kunde gerade in die Cloud migriert, mit Office 365 und Cloud Datacenter. Die Admin-Accounts waren alle zusätzlich per Microsoft Authenticator abgesichert und alles war gut. Bis zu dem Morgen, an dem der Microsoft MFA-Dienst (Multi Faktor Authentication) streikte und man sich nicht mehr anmelden konnte. Das war ein globaler Ausfall und so standen die Admins, wie schon im Titel beschrieben, wie die Kuh vorm neuen Access-Door.

Notfallzugänge / Break-Glass-Accounts / Emergency Access

Das sind zumindest die Fachbegriffe für etwas, das wir noch als "Schlüssel unter der Türmatte" kennen. Ganz so trivial sollte es dann aber doch nicht sein. Denn immerhin ist unsere Tür nicht in der Buchengasse 5, Stiege 7, 4. Stock, Tür 9. sondern im Internet, oder internen Netzwerk.

Ein Break-Glass-Account ist also ein administratives Konto, das eigentlich nicht benutzt wird, aber für Notfälle reserviert ist. Wie ein Notfallhammer, daher auch der Name "Break-Glass".

Die IT und IT-Security stehen vor immer mehr Systemen, die von anderen zentralen Systemen abhängig sind. Ich bin ein großer Fan von SSO (Single Sign-On), aber was ist, wenn der Zugriff auf das Active Directory oder Entra ID mal nicht funktioniert?

Das kann ein temporärer Netzwerkfehler sein, aber auch eine Fehlkonfiguration. Ein Admin richtet eine neue Security-Policy ein, vergisst seinen Account davon auszunehmen, die Policy ist zu strikt und sperrt alle Admins aus. 🐄

Wenn das bei einem lokalen System passiert, könnte ich das letzte Backup wieder einspielen. Zwar hätte ich dann eine Downtime, aber alles wäre okay. Was aber, wenn ich in meinen Office 365 Tenant nicht mehr reinkomme? Hast du schon mal ein Support-Ticket dazu eröffnet? Das dauert teilweise mehrere Tage und es gibt einen sehr mühsamen Verifizierungsprozess, wo man Rechnungen, Ausweise und vieles mehr einreichen muss.

Was, wenn es sich nicht um die eigene Umgebung handelt, sondern um eine Kunden-Umgebung, die man betreibt? 😭

Selbst wenn ich alles richtig mache, aber wenn zentrale Sicherheitssysteme ausfallen, wie im Beispiel mit dem MFA-Dienst, dann steh ich trotzdem blöd da.

Wie richtet man Notfallzugänge korrekt ein?

Im besten Fall hast du pro Anwendung / System einen Notfallzugang. Wenn du dich auf dem Test-Server aussperrst, den du vielleicht 2x im Jahr verwendest, dann ist das zwar bitter, aber nicht weiter tragisch.

Es ist sinnvoll, für alle zentralen Systeme jeweils einen Break-Glass-Account einzurichten. Das sind zum Beispiel Identity Management Systeme wie Active Directory und Entra ID, aber natürlich auch Anwendungen für die FIBU und HR wie SAP.

Ich mache mal eine Liste mit den wichtigsten Punkten, die du beachten musst:

  • Nur für Notfälle: Das oberste Gebot ist, dass die Accounts nur in Notfällen verwendet werden und nicht im normalen Betrieb. Im Gegensatz zur Kuh vor dem Tor, sollte der Notfallzugang deine heilige Kuh sein, die du nicht anrührst.
  • Keine zusätzlichen Absicherungen: Das ist vermutlich der wichtigste Punkt. Du musst sichergehen, dass du dich aus diesem Account nicht aussperren kannst. In Entra ID gibt es "Conditional Access Policies", die zur Absicherung von Konten verwendet werden. Erstell eine dedizierte Policy, die deinen Notfall-Account von allem ausnimmt, oder zumindest in jeder Policy als Ausnahme vorhanden ist.
  • Komplexes Kennwort: Das Kennwort muss sehr lang, komplex und individuell sein. Also bitte nicht "Cowboy1" nehmen, sondern lass es zufällig von einem lokalen Passwort-Manager generieren – Nein, ich meine nicht den Karli aus der IT-Abteilung, sondern Tools wie KeePass oder 1Password. Ab 20 Stellen mit zufälligen Zahlen, Buchstaben und Sonderzeichen machst du mich und auch die Business Continuity Manager glücklich. Und achte darauf, nicht überall dasselbe Notfallkennwort zu verwenden.
  • Kennwort zurücksetzen: Wenn der Notfall vorbei ist, muss das Kennwort wieder zurückgesetzt werden. So stellst du sicher, dass es nicht doch wieder verwendet wird.
  • Sichere Aufbewahrung: Die Notfallzugänge solltest du nicht wie die restlichen Kennwörter in deinem Passwort-Safe aufbewahren, sondern am besten unabhängig von allen anderen IT-Systemen. Am besten druckst du sie aus und legst sie in einem verschlossenen Kuvert in einen Tresor.
  • Lokale User: Die Konten sollten für die Anwendung "lokal" sein, also nicht per SSO an das zentrale Identity Management, wie Active Directory, oder Entra ID angebunden sein. Wenn die Verbindung im Notfall offline ist, dann kommst du auch nicht rein.
  • Kein Default-Admin: Dein Notfallzugang sollte kein Standard-Admin sein. Also weder der BUILTIN Administrator, root, oder admin. Falls das nicht möglich ist, benenne ihn zumindest um. Du kannst dir auch eine Namenskonvention überlegen, dass zum Beispiel alle Notfall-Accounts nf-appname-admin heißen.
  • Logins überwachen: Wenn sich jemand mit dem Notfall-Account anmeldet, dann musst du das zeitnah mitbekommen. Du möchtest ja nicht, dass jemand deinen Schlüssel unter der Türmatte findet und jederzeit reinspazieren kann. Das wäre sehr un-kuh-l. Ja, ich weiß, zu platt. Mit Entra ID kannst du einen Alarm einrichten, der dich benachrichtigt, wenn sich jemand mit dem Account anmeldet. Bei anderen Systemen kannst auch die Anmelde-Logs an ein Monitoring anhängen. Falls das nicht möglich ist, dann notiere dir zumindest auf deinem ausgedruckten Notfall-Kuvert die letzte Verwendung. Prüfe in regelmäßigen Abständen, ob sich das letzte Anmeldedatum verändert hat. Natürlich nicht mit dem Notfall-Admin. 😂
  • Verfügbar sein: Der Tresor sollte natürlich von einer ausreichend großen Anzahl an Personen zu öffnen sein. Wenn nur ein Geschäftsführer darauf Zugriff hat, der aber gerade 6 Wochen auf Safari ist, dann ist das ein Problem. Achte darauf, dass immer zumindest 2-3 vertrauenswürdige Personen greifbar sind.
  • Schaffe einen Prozess: Es ist sehr wichtig, dass der Ablauf für den Notfall geklärt ist. Stell dir folgende Fragen: Wer darf einen Notfall ausrufen? Wer informiert wen? An wen darf das Kennwort übergeben werden? Wer setzt es wieder zurück?

Sonderfall Entra ID / Office 365

Seit diesem Jahr hat Microsoft verpflichtend eingeführt, dass alle Admin-Accounts mit einem zweiten Faktor abgesichert werden müssen. Ja, auch die Notfallaccounts. Ich habe immer gesagt, dass man keine zusätzlichen Absicherungen braucht, und jetzt das. Es gibt aber zwei praktikable Lösungen:

Du kannst ein Notfall-Smartphone in den Tresor legen, auf dem eine MFA-Authenticator App installiert ist. Das holst du im Notfall raus und kannst dich damit anmelden, aber nur wenn der MFA-Dienst nicht gerade streikt. Aber denk dran, du musst das Smartphone einmal im Monat reaktivieren, den Akku laden, alle Apps aktualisieren und die Zugänge überprüfen.

Wenn dir das zu aufwändig, oder impraktikabel ist, dann empfehle ich dir einen physischen Security-Key, wie zum Beispiel einen YubiKey. Dort kannst du dann einen PassKey einrichten, der mit einer PIN abgesichert ist. Für die Notfallzugänge kannst du sogar die PIN und den Key im selben Tresor aufbewahren. Wenn du schon dabei bist, empfehle ich dir nicht nur einen Key zu kaufen, sondern gleich zwei. Wie jedes technische Gerät, können auch diese Security-Keys kaputt werden und dann ist Feierabend! Die sind verschlüsselt, aus denen bekommst du nichts mehr raus. Nicht mal, wenn du sie in einen fensterlosen Raum sperrst, mit einer 2000-Watt-Glühbirne anstrahlst, ihr Gewalt androhst und danach eine Zigarette anbietest.

Fazit

Die Aufwände für Notfallzugänge sind sehr gering und der Effekt ist aber riesengroß. Wenn du die Basics beachtest, sind die Zugänge innerhalb von wenigen Minuten eingerichtet. Achte einfach darauf, dass du sie im Notfall parat hast, sie auch funktionieren und ausreichend abgesichert sind.

Im Notfall wirst du mir dafür danken, dass du sie eingerichtet hast. 🤠

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Hacker, Erklärbär, Unternehmer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Wenn Hacker wie die “Feuchten Banditen” in Kevin allein zu Haus unbemerkt durch dein Netzwerk schleichen, möchtest du das sicher wissen. Der Film ist ein Paradebeispiel für Honeypots! Kevin lockt sie von einer Falle in die nächste und die Diebe tappen einfach hinein. Marv geht nicht durch die vereiste Haustür, sondern findet eine offene Kellertür, und sein Kopf wird von einem Bunsenbrenner gegrillt. Herrlich! Da bekommt man schon zu Ostern wieder Lust auf den Film. 😂 Was sind Honeypots genau?...

about 9 hours ago • 3 min read

Letzte Woche ging es um Passwort-Manager für Anwender, heute um Passwort-Manager für Computer. Zumindest indirekt. 😉 In deinem Netzwerk hast du bestimmt hunderte Windows Clients und Windows Server, die über sogenannte Golden-Master-Images aufgesetzt werden. Das spart viel Arbeit und Zeit und schafft eine Basis, auf die du dich verlassen kannst. Das Problem ist nur, dass du damit auch überall dasselbe Passwort für deinen lokalen Administrator gesetzt hast. Selbst wenn die Clients und Server...

7 days ago • 4 min read

Ich weiß echt nicht, was mich gerade mehr traurig macht. Dass wir 2025 immer noch Passwörter haben, oder dass wir darüber diskutieren, wie man sie richtig verwendet. Wer kennt es nicht, dass man bei der Verwandtschaft sitzt, beim Laptop den E-Mail-Client neu verbindet und der Onkel einen Schweißausbruch bekommt, wenn man ihm nach dem Passwort fragt. – "Passwort? Ich hab kein Passwort. Das hast du doch." Meist ist dann doch eines der drei Lieblingskennwörter, die vom Online-Banking bis hin zum...

14 days ago • 3 min read