Verwaistes Konto (orphan account)
Ein verwaistes Konto (orphan account) ist das Gegenteil von einem aktiven Benutzerkonto. Dabei handelt es sich um ein Konto, dass beispielsweise einem Mitarbeiter zugeordnet ist. Zu den Typen von Konten, die anfällig dafür sind, einen verwaisten Status zu erreichen, gehören Active-Directory- und OpenLDAP-Konten.
Wenn ein Mitarbeiter ein Unternehmen verlässt, innerhalb des Unternehmens die Rolle ändert oder ein Konto nicht mehr benötigt, sollte jede Organisation über einen entsprechenden, definierten Prozess verfügen. Dieser sorgt dann für eine ordnungsgemäße Deaktivierung dieser Konten. Typischerweise werden diese Konten, die nicht mehr benötigt werden, für eine kurze, vorher definierte Zeitspanne, „aufbewahrt“, für den Fall einer Statusänderung. Nach Ablauf dieser Frist sollte das Unternehmen das Konto löschen und alle zugehörigen Informationen entfernen. Ein Prozess, der als Deprovisioning bezeichnet wird. Wird dieser Vorgang nicht ordnungsgemäß abgeschlossen, werden diese Konten zu verwaisten Konten, die nicht genutzt werden, aber im ursprünglichen System weiter existieren.
Idealerweise sollten es in einem Unternehmen keine verwaisten Konten geben, denn diese sind mit hohen Sicherheitsrisiken verbunden. Wenn ein Mitarbeiter ein Unternehmen verlässt, aber den Zugang über seine Mitarbeiterdaten behält, könnte er potenziell die Möglichkeit haben weiterhin auf Kundendaten zuzugreifen. Und natürlich können Angreifer diese Konten gezielt ausnutzen, um Zugriff auf Systeme im Unternehmen zu bekommen.
Verwaiste Konten und die Sicherheit
Aus folgenden Gründen können verwaiste Konten ein Sicherheitsrisiko darstellen:
Sie bieten nicht autorisierten Nutzern eine Angriffsfläche. Ungenutzte Konten können immer noch Zugriff auf Informationen wie E-Mail-Postfächer, Anmeldeinformationen für Anwendungen, sensible personenbezogene Daten oder geistiges Eigentum bieten. Ehemalige Kontobesitzer oder Angreifer können so Zugriff auf private Informationen und wertvolle Ressourcen erhalten, obwohl das Konto nicht mehr mit legitimen Berechtigungen verbunden ist.
Verwaiste Konten können die weitere Ausführung von Anwendungen ermöglichen. Anwendungskonten, die nicht ordnungsgemäß deaktiviert wurden, könnten potenziell weiter betrieben werden und Ressourcen oder auch Bandbreite beanspruchen. Dieses Problem tritt häufig bei Dienstkonten auf, da oft andere Anwendungen das Konto aufgrund eines Fehlers oder einer Fehlkonfiguration weiter verwenden.
Im Laufe der Zeit werden die verwaisten Konten unter Umständen anfälliger. Wenn sich ein Benutzer nicht mehr bei einem Konto anmeldet, entwickelt sich das Konto nicht weiter im Hinblick auf die implementierten Sicherheitsverfahren. Änderungen an den Sicherheitsrichtlinien werden unter Umständen nicht auf die verwaisten Konten angewandt, was dazu führt, dass sie mit schwachen Anmeldedaten angreifbarer sein könnten.
Verwaiste Konten erhöhen die Wahrscheinlichkeit eines unrechtmäßigen Zugriffs. Selbst wenn der ursprüngliche Kontobesitzer nicht versucht, erneut auf das Konto zuzugreifen, besteht ein Risiko. Unter Umständen wurden die Anmeldeinformationen auch andernorts verwendet, so dass es Angreifern möglich wird, ein ganzes System auszuspionieren. Dies kann eine große Bedrohung darstellen, da die IT ja keine Kenntnis hat, welches Passwort der Anwender eingesetzt hat und dies so nicht identifizieren kann.
Verwaiste Konten vermeiden
Aufgrund der Risiken und der Anfälligkeit, die mit verwaisten Konten verbunden sind, sollten Unternehmen unbedingt vermeiden, dass diese in ihrer Umgebung vorhanden sind. Der effizienteste Weg, verwaiste Konten zu identifizieren und unangemessene Zugriffe zu unterbinden, ist die Durchführung eines Audits der Benutzerkonten – Stichwort Rezertifizierung von Zugriffsrechten. Bei jedem Audit sollte festgestellt werden, auf welche Ressourcen legitime Konten zugreifen müssen, welcher Zweck mit der Autorisierung verfolgt wird. Darüber hinaus muss überprüft werden, welche Konten nicht regelmäßig genutzt werden und welche Konten nicht den Sicherheitsrichtlinien entsprechen. Durch die Identifizierung dieser Aspekte wird sichergestellt, dass autorisierte Anwender weiterhin ununterbrochen Zugriff auf benötigte Informationen haben, während ungenutzte Konten entfernt werden.