SaaS-Inventar und Zugriffsverwaltung
Wenn jemand ein kleines Unternehmen verlässt, sieht das Offboarding typischerweise so aus: Laptop zurückgegeben, Slack deaktiviert, fertig. Aber was ist mit GitHub? Der AWS-Konsole? Figma, Notion, Amplitude, dem Analytics-Dashboard, dem Admin-Panel des Zahlungsdienstleisters?
Die meisten kleinen Unternehmen können die Frage „Auf welche Dienste hat diese Person Zugriff?" nicht beantworten. Es gibt keine zentrale Liste. Mitarbeiter melden sich bei Tools an, wenn sie diese benötigen. Niemand verfolgt das. Wenn jemand geht, werden die offensichtlichen Zugänge widerrufen – E-Mail, Slack – und alles andere bleibt aktiv, bis es jemandem auffällt. Manchmal ist das Monate später.
Dieses Kapitel gibt Ihnen ein System: Erstellen Sie ein Inventar der tatsächlich genutzten Dienste, erfassen Sie, wer Zugriff auf was hat, und bauen Sie einen Offboarding-Prozess auf, der keine Lücken lässt.
Warum das wichtiger ist, als Sie denken
Sie nutzen mehr SaaS-Dienste als Sie denken. Versuchen Sie es zu zählen: E-Mail, Kalender, Dokumente (das sind bereits drei, wenn Sie Google Workspace nutzen). Slack oder Teams. GitHub oder GitLab. AWS oder GCP. Ihr CI/CD-Tool. Fehlerverfolgung. Analytics. CRM. Support-Ticketing. Design-Tools. Projektmanagement. Passwort-Manager. HR-Software. Buchhaltung. Banking. Marketing-Automatisierung. Social-Media-Management. Videokonferenzen. Jedes Team fügt eigene Tools hinzu.
Wenn Unternehmen diese Übung durchführen, liegt die Schätzung meist bei „vielleicht 30 Tools". Die tatsächliche Zahl liegt in der Regel bei über 70. Ein Startup mit 50 Mitarbeitern, das ein ordentliches Audit durchführte, fand 140 SaaS-Anwendungen – fast drei pro Mitarbeiter.
Jede davon ist ein potenzieller Einstiegspunkt. Jede speichert Unternehmensdaten. Und jede hat eine eigene Benutzerverwaltung, die niemand zentral im Blick hat.
Das Shadow-IT-Problem
Shadow IT ist keine böse Absicht. Es ist ein Entwickler, der sich für einen kostenlosen Tier eines Monitoring-Tools anmeldet, weil er es für ein Projekt braucht. Es ist das Marketing-Team, das eine neue E-Mail-Plattform ausprobiert. Es ist der CEO, der sich mit seiner Arbeits-E-Mail für ein KI-Schreibtool anmeldet.
Das Problem ist nicht, dass Mitarbeiter diese Tools nutzen. Das Problem ist, dass niemand weiß, dass sie existieren, bis:
- Die Kreditkarte belastet wird und die Buchhaltung fragt: „Was sind diese 200 €/Monat an irgendein Unternehmen namens Datadog?"
- Jemand geht und Sie feststellen, dass er der einzige Administrator eines kritischen Dienstes war
- Ein Anbieter kompromittiert wird und Sie hastig herausfinden müssen, ob Sie überhaupt Kunde sind
Zugriffsausweitung
Menschen akkumulieren Zugriffsrechte mit der Zeit. Ein Entwickler erhält Admin-Zugriff auf die Staging-Umgebung, um ein Problem zu debuggen – und dieser Zugriff wird nie widerrufen. Jemand nimmt vorübergehend an einem Projekt teil und bleibt dauerhaft im Repository. Der Praktikant von vor zwei Sommern hat noch immer Lesezugriff auf Ihre Analytics.
Es geht nicht um Vertrauen. Es geht um die Angriffsfläche. Jedes Konto mit Zugriff auf Ihre Systeme ist ein potenzieller Einstiegspunkt, wenn die Zugangsdaten dieser Person kompromittiert werden. Und kompromittierte Zugangsdaten sind häufig – Menschen verwenden Passwörter mehrfach, fallen auf Phishing herein, nutzen unsicheres WLAN.
Das Prinzip des minimalen Zugriffsrechts ist kein bürokratischer Overhead. Es ist die Erkenntnis, dass weniger Zugangspunkte weniger Angriffsmöglichkeiten bedeuten.
Aufbau Ihres SaaS-Inventars
Das ist unglämouröse Arbeit, aber sie ist grundlegend. Sie können nicht sichern, was Sie nicht wissen, dass es existiert.
Schritt 1: Mit dem Offensichtlichen beginnen
Listen Sie jeden Dienst auf, den Sie persönlich bei der Arbeit nutzen. Bitten Sie dann Ihre Teamleiter, dasselbe zu tun. So erhalten Sie den Großteil Ihres Inventars schnell.
Erstellen Sie eine Tabelle mit diesen Spalten:
- Dienstname
- URL
- Kategorie (Infrastruktur, Entwicklung, Kommunikation, Produktivität usw.)
- Kontoinhaber (Abrechnung/Administrator)
- Authentifizierungsmethode (individuelle Konten, SSO, gemeinsame Zugangsdaten)
- Sensibilität (auf welche Daten hat er Zugriff?)
- Kosten (kostenlos, kostenpflichtig, wie viel)
- Nutzerzahl (ungefähr)
Schritt 2: SSO/IdP prüfen
Wenn Sie Google Workspace, Okta, Azure AD oder einen anderen Identity Provider nutzen, prüfen Sie, welche Drittanbieter-Apps Zugriff erhalten haben. In Google Workspace:
Admin-Konsole → Sicherheit → API-Steuerung → Drittanbieter-App-Zugriff
Sie werden Dienste finden, die Sie vergessen haben. Irgendein Mitarbeiter hat sein Google-Konto vor drei Jahren mit einer zufälligen App verbunden – und sie ist noch immer aktiv.
Schritt 3: Finanzunterlagen prüfen
Rufen Sie Ihre Kreditkarten- und Spesenabrechnung der letzten 6 Monate ab. Jede wiederkehrende Abbuchung an ein Softwareunternehmen ist ein SaaS-Tool. Das erfasst bezahlte Tools, die durchgerutscht sind.
Schritt 4: DNS und E-Mail prüfen
Schauen Sie sich den SPF-Eintrag Ihrer E-Mail-Domain und alle DNS-Einträge an. Dienste verlangen oft, dass Sie DNS-Einträge zur Domain-Verifizierung hinzufügen. Der Mailchimp-CNAME, den Sie eingerichtet haben? Das ist ein Dienst in Ihrem Inventar.
Prüfen Sie E-Mail-Aliase – gibt es Adressen wie [email protected], die an ein Helpdesk-Tool weitergeleitet werden?
Schritt 5: Nachfragen
Senden Sie eine unternehmensweite Nachricht: „Wir erstellen ein Inventar aller Tools, die wir nutzen. Wenn Sie sich mit Ihrer Arbeits-E-Mail für irgendeine Software angemeldet haben, tragen Sie diese bitte in [dieses Formular] ein."
Mitarbeiter werden sich an Dinge erinnern. Die zufällige Airtable-Datenbank. Das Calendly-Konto. Das KI-Transkriptionstool von diesem einen Meeting.
Tools für automatisierte SaaS-Erkennung
Wenn Sie diesen Prozess automatisieren möchten (oder Ihr Unternehmen über 50 Mitarbeiter hinauswächst), gibt es dedizierte Tools, die Shadow IT scannen und Ihr Inventar automatisch aufbauen.
Kostenlose oder günstige Optionen:
- Nudge Security — Kontinuierliche SaaS-Erkennung über E-Mail-Analyse. Findet Apps, für die sich Mitarbeiter mit ihrer Arbeits-E-Mail angemeldet haben. Hat eine kostenlose Stufe für kleine Teams.
- JumpCloud — Identity-Plattform mit integrierter SaaS-Erkennung. Kostenlose Stufe für bis zu 10 Nutzer und 10 Geräte. Gut, wenn Sie sowieso einen IdP benötigen.
- Saasmetrix — Erkennt SaaS über SSO-Integration und Buchhaltungssystem-Importe. Fokussiert auf KMUs.
Mittelklasse-Optionen:
- Lumos — Shadow-IT-Erkennung plus Zugriffsanfrage-Workflows. Gut für Unternehmen, die über Tabellen hinauswachsen.
- Josys — Browser-Erweiterungs-basierte Erkennung. Erfasst Apps, die nicht in SSO integriert sind.
- Auvik — Netzwerk-basierte SaaS-Erkennung. Macht auch Netzwerk-Monitoring, falls nötig.
Enterprise-Optionen (für weniger als 100 Mitarbeiter wahrscheinlich überdimensioniert):
- Axonius — Vollständiges Asset-Inventar einschließlich SaaS, Geräte, Cloud-Ressourcen.
- Grip Security — Kontinuierliche SaaS-Erkennung mit Sicherheitsbewertung.
Für die meisten kleinen Unternehmen funktioniert der manuelle Ansatz (Schritte 1–5) anfangs gut. Erwägen Sie ein Tool, wenn:
- Sie schneller Mitarbeiter einstellen, als Sie manuell verfolgen können
- Sie Vorfälle durch unbekannte SaaS-Konten hatten
- Sie Compliance nachweisen müssen und manuelle Tabellen nicht ausreichen
Kaufen Sie kein Tool, um die anfängliche Inventararbeit zu vermeiden. Sie müssen Ihre Landschaft verstehen, bevor Sie deren Überwachung automatisieren.
Die Inventarvorlage
Hier ist eine praktische Vorlage. Sie brauchen kein ausgefallenes Tool – eine Tabelle reicht für Unternehmen unter 100 Mitarbeitern.
| Dienst | Kategorie | Inhaber | Authentifizierungsmethode | Datensensibilität | Nutzer | Monatliche Kosten | Zuletzt geprüft |
|---|---|---|---|---|---|---|---|
| Google Workspace | Kern | CTO | SSO | Hoch – E-Mail, Dokumente | Alle | $800 | 2024-01 |
| GitHub | Entwicklung | VP Eng | SSO + MFA | Hoch – Quellcode | 25 | $500 | 2024-01 |
| AWS | Infrastruktur | CTO | IAM + MFA | Kritisch – Produktion | 8 | $3000 | 2024-01 |
| Slack | Kommunikation | CTO | SSO | Mittel – interner Chat | Alle | $400 | 2024-01 |
| Figma | Design | Design Lead | E-Mail/Passwort | Mittel – Designs | 5 | $75 | 2024-01 |
| Notion | Produktivität | PM Lead | SSO | Mittel – Dokumente | 30 | $150 | 2024-01 |
| Amplitude | Analytics | Produkt | E-Mail/Passwort | Mittel – Nutzerdaten | 10 | Kostenlos | 2024-01 |
| Stripe | Zahlungen | CFO | E-Mail + MFA | Kritisch – Finanzdaten | 3 | Transaktionsgebühr | 2024-01 |
Kategorisierung nach Risiko
Nicht alle Dienste sind gleich. Kategorisieren Sie danach, was passiert, wenn der Dienst kompromittiert wird:
Kritisch — Eine Kompromittierung verursacht sofortigen schwerwiegenden Schaden
- Cloud-Infrastruktur (AWS, GCP, Azure)
- Zahlungsabwicklung (Stripe, Banking)
- Kundendatenspeicher (Datenbanken, CRM mit sensiblen Daten)
- Produktionsdeployment-Zugriff
Hoch — Eine Kompromittierung verursacht erheblichen Schaden
- Quellcode-Repositories
- E-Mail und Authentifizierung
- Interne Dokumentation mit vertraulichen Informationen
- HR-Systeme mit Mitarbeiterdaten
Mittel — Eine Kompromittierung verursacht moderaten Schaden
- Analytics und Monitoring
- Projektmanagement-Tools
- Design-Tools
- Marketing-Automatisierung
Niedrig — Eine Kompromittierung verursacht minimalen direkten Schaden
- Öffentlich zugängliche Social-Media-Kanäle
- Allgemeine Produktivitätstools
- Nicht-sensible interne Tools
Konzentrieren Sie Ihre Sicherheitsbemühungen auf Kritisch und Hoch. Diese benötigen MFA, strenge Zugriffskontrollen und sorgfältiges Offboarding.
Implementierung des minimalen Zugriffsrechts
Das Prinzip: Mitarbeiter sollten den minimalen Zugriff haben, der für ihre Arbeit erforderlich ist. Nicht „Zugriff auf alles, falls sie es irgendwann brauchen".
Praktische Umsetzung
Rollenbasierter Zugriff, keine individuellen Berechtigungen
Erstellen Sie Rollen, die Arbeitsfunktionen entsprechen:
- Entwickler: Repositories, an denen sie arbeiten, Staging-Umgebungen, Entwicklungstools
- DevOps: Infrastruktur, CI/CD, Produktion mit Audit-Protokollierung
- Designer: Design-Tools, gemeinsame Asset-Bibliotheken, Read-Only auf Code-Repositories
- Produkt: Analytics, Projektmanagement, Read-Only wo nötig
- Administrator: Alles, mit umfangreichem Logging und MFA
Wenn jemand beitritt, weisen Sie ihm eine Rolle zu. Wenn er das Team wechselt, aktualisieren Sie seine Rolle. Häufen Sie keine Berechtigungen einzeln an.
Standardmäßig weniger Zugriff
Wenn jemand Zugriff auf etwas beantragt, lautet die erste Frage: „Benötigen Sie wirklich Schreibzugriff, oder würde Read-Only ausreichen?"
Beginnen Sie mit Read-Only. Erweitern Sie auf Schreibzugriff, wenn ein echter Bedarf besteht. Das klingt bürokratisch, dauert aber 30 Sekunden und verhindert Zugriffsausweitung.
Zeitgebundener Zugriff für temporäre Bedürfnisse
Ein Entwickler benötigt Produktionsdatenbank-Zugriff, um ein Problem zu debuggen? Gewähren Sie ihn für 24 Stunden, nicht dauerhaft. Die meisten Plattformen unterstützen temporären Zugriff, oder Sie können eine Kalender-Erinnerung setzen, um ihn zu widerrufen.
Getrennte Konten für Operationen mit hohen Rechten
Ihr CTO sollte wahrscheinlich nicht dasselbe Konto für das Lesen von Slack und die Verwaltung des AWS-Root-Zugriffs verwenden. Erwägen Sie für kritische Systeme separate Administrator-Konten, die nur für Admin-Aufgaben genutzt werden.
Zugriffsüberprüfungsprozess
Setzen Sie eine vierteljährliche Kalender-Erinnerung: „Zugriff überprüfen." Für jeden kritischen Dienst:
- Nutzerliste exportieren
- Mit der aktuellen Mitarbeiterliste vergleichen
- Auf Rollenkonflikte prüfen (hat der Marketing-Praktikant noch GitHub-Zugriff?)
- Alles widerrufen, was nicht sein sollte
Das dauert 2–3 Stunden pro Quartal. Es lohnt sich.
Die Onboarding-Checkliste
Ein neuer Mitarbeiter fängt an. Was passiert?
Essentials für Tag 1
Vor ihrer Ankunft:
- E-Mail-Konto anlegen
- Zu den wichtigsten Kommunikationstools hinzufügen (Slack, Kalender)
- Zum Passwort-Manager mit entsprechendem Tresorzugriff hinzufügen
- Liste der rollenspezifischen Tools vorbereiten, die sie benötigen werden
An Tag 1:
- Passwort-Manager-Einrichtung und MFA-Registrierung gemeinsam durchgehen
- Zugriff auf rollenspezifische Tools gewähren
- Gewährten Zugriff dokumentieren (Inventar aktualisieren)
Die Onboarding-Vorlage
Erstellen Sie eine Checkliste für jede Rolle. Hier ein Beispiel für einen Entwickler:
Entwickler-Onboarding-Checkliste
| Aufgabe | Tool | Zugriffsebene | Erledigt |
|---|---|---|---|
| Google-Workspace-Konto anlegen | Google Admin | Standardnutzer | ☐ |
| Zum Slack-Workspace hinzufügen | Slack Admin | Mitglied | ☐ |
| Zum Passwort-Manager einladen | Passwork Admin | Teammitglied | ☐ |
| GitHub-Org-Zugriff gewähren | GitHub Admin | Teammitglied | ☐ |
| Zu relevanten Repositories hinzufügen | GitHub | Schreibzugriff auf zugewiesene Repos | ☐ |
| AWS-IAM-Nutzer anlegen | AWS Console | Entwickler-Policy | ☐ |
| Zu relevanten Notion-Spaces hinzufügen | Notion Admin | Bearbeiter | ☐ |
| Zu Fehlerverfolgung hinzufügen | Sentry Admin | Entwickler | ☐ |
| Zu Staging-Umgebung hinzufügen | CI/CD Admin | Deployment in Staging | ☐ |
| MFA auf allen kritischen Tools überprüfen | — | — | ☐ |
Passen Sie dies an Ihren Stack an. Der Schlüssel ist, eine Checkliste zu haben, der jemand folgt – und sich nicht auf das Gedächtnis zu verlassen.
Die Offboarding-Checkliste
Jemand verlässt das Unternehmen. Was passiert?
Hier scheitern die meisten Unternehmen. Sie widerrufen die offensichtlichen Zugänge und übersehen die Hälfte.
Die goldene Regel
Offboarding sollte schneller sein als Onboarding. Wenn es zwei Stunden gedauert hat, Zugriff zu gewähren, sollte das Widerrufen 30 Minuten dauern – weil Sie eine Checkliste haben.
Vor dem letzten Arbeitstag
- Alle Daten exportieren, die das Unternehmen benötigt
- Eigentümerschaft geteilter Dokumente, Projekte und Konten übertragen
- Dienste identifizieren, bei denen sie der einzige Administrator sind (kritisch!)
Am letzten Arbeitstag
- E-Mail-Konto deaktivieren (nicht löschen – 30 Tage an den Vorgesetzten weiterleiten)
- Aus Slack entfernen
- Passwort-Manager-Zugriff widerrufen (dadurch werden geteilte Passwörter, auf die sie Zugriff hatten, automatisch rotiert, wenn Sie Passwork mit der richtigen Tresorstruktur verwenden)
- Das SaaS-Inventar durchgehen und den Zugriff auf jeden Dienst widerrufen
- VPN-Zugriff widerrufen
- SSH-Schlüssel von Servern entfernen
- Cloud-Konsolen-Zugriff widerrufen
Nach dem Ausscheiden
- Alle geteilten Zugangsdaten rotieren, die sie kannten (Root-Passwörter, API-Schlüssel, gemeinsame Konten)
- Auf persönliche Konten bei Firmendiensten prüfen (haben sie ein persönliches GitHub-Konto, das noch in der Organisation ist?)
- Inventar aktualisieren, um Zugriffsänderungen zu reflektieren
Die Offboarding-Vorlage
| Aufgabe | Tool | Administrator-Kontakt | Erledigt |
|---|---|---|---|
| E-Mail deaktivieren | Google Workspace | IT | ☐ |
| Aus Slack entfernen | Slack | IT | ☐ |
| Passwort-Manager-Zugriff widerrufen | Passwork | Security Champion | ☐ |
| Geteilte Zugangsdaten rotieren | Passwork | Security Champion | ☐ |
| Aus GitHub-Organisation entfernen | GitHub | VP Eng | ☐ |
| AWS-IAM-Nutzer löschen | AWS | DevOps Lead | ☐ |
| Aus CI/CD entfernen | Jenkins/GitHub Actions | DevOps Lead | ☐ |
| VPN-Zugriff widerrufen | VPN-Anbieter | IT | ☐ |
| SSH-Schlüssel entfernen | Server | DevOps Lead | ☐ |
| Aus Notion entfernen | Notion | PM Lead | ☐ |
| Aus Figma entfernen | Figma | Design Lead | ☐ |
| … (für alle Dienste im Inventar fortsetzen) |
Erstellen Sie diese Liste aus Ihrem SaaS-Inventar. Jeder Dienst mit Nutzerzugriff benötigt einen Eintrag.
Passwork für die Zugriffsverwaltung nutzen
Ihr Passwort-Manager ist ein zentrales Element der Zugriffsverwaltung. Bei richtiger Einrichtung löst er mehrere Probleme:
Rotation geteilter Zugangsdaten beim Offboarding
Wenn jemand das Unternehmen verlässt, sollten alle geteilten Passwörter, auf die er Zugriff hatte, rotiert werden. Passwork verfolgt, wer auf welche Zugangsdaten zugegriffen hat – das macht diesen Prozess unkompliziert. Dienste in geteilten Tresoren können systematisch identifiziert und rotiert werden.
Granulare Zugriffskontrolle
Erstellen Sie Tresore nach Team oder Sensibilitätsstufe:
- Infrastruktur-Tresor: nur DevOps und CTO
- Produktionszugangsdaten: nur Senior-Entwickler
- Entwicklungszugangsdaten: alle Entwickler
- Marketing-Tools: Marketing-Team
Wenn jemand die Rolle wechselt oder das Unternehmen verlässt, aktualisieren Sie seinen Tresorzugriff. Der Zugriff auf einzelne Zugangsdaten folgt automatisch.
Audit-Trail
Passwork protokolliert, wer wann auf welche Zugangsdaten zugegriffen hat. Bei einer Sicherheitsüberprüfung oder Vorfallsuntersuchung können Sie antworten: „Wer hatte in den letzten 6 Monaten Zugriff auf diesen AWS-Schlüssel?"
API-Zugriff für Automatisierung
Für größere Teams ermöglicht die Passwork-API, Onboarding/Offboarding zu automatisieren. Skripten Sie die Erstellung und Entfernung des Nutzerzugriffs als Teil Ihres HR-Workflows.
Erfolgsmessung
Woran erkennen Sie, dass das funktioniert?
Vollständigkeit des Inventars
- Anzahl der Dienste in Ihrem Inventar
- Datum der letzten Überprüfung jedes Dienstes
- Ziel: alle kritischen/hohen Dienste vierteljährlich überprüfen
Zugangshygiene
- Anzahl inaktiver Konten, die bei Überprüfungen gefunden wurden
- Zeit vom Ausscheiden des Mitarbeiters bis zum vollständigen Zugangsentzug
- Ziel: vollständiges Offboarding innerhalb von 24 Stunden
Minimales Zugriffsrecht
- Anzahl der Nutzer mit Administrator-Zugriff für jeden Dienst
- Anzahl der Zugriffsanfragen, die von Schreibzugriff auf Read-Only heruntergestuft wurden
- Ziel: Administrator-Nutzer sollten bei den meisten Diensten < 10 % der Gesamtnutzer ausmachen
Tipps, die wirklich helfen
Einige Techniken, die den Prozess reibungsloser machen.
Die „Letzter Login"-Zombie-Jagd
Die meisten SaaS-Administrationspanels zeigen das letzte Anmeldedatum an. Sortieren Sie bei Ihrer vierteljährlichen Überprüfung Nutzer nach letztem Login und suchen Sie nach Konten, die seit 90+ Tagen nicht mehr genutzt wurden. Diese sind entweder:
- Ehemalige Mitarbeiter, die niemand ordentlich offboarded hat
- Aktive Mitarbeiter, die den Zugriff eigentlich gar nicht brauchen
- Gemeinsame Konten, an die sich niemand erinnert
In Google Workspace Admin: Berichte → Nutzerberichte → Konten → Letzte Anmeldung. Als CSV exportieren und filtern.
In GitHub: Organisation → Personen → nach „Zuletzt aktiv" sortieren. Wer „Nie" oder ein Datum vom letzten Jahr anzeigt, ist ein Kandidat für die Entfernung.
Der DNS-CNAME-Trick
Viele SaaS-Tools verlangen, dass Sie einen CNAME- oder TXT-Eintrag hinzufügen, um die Domain-Eigentümerschaft zu verifizieren. Ihre DNS-Zone ist ein unbeabsichtigtes Inventar der Dienste, die Sie integriert haben:
# Get all CNAME and TXT records for your domain
dig +short yourcompany.com CNAME
dig +short yourcompany.com TXT
dig +short _dmarc.yourcompany.com TXT
# Check common subdomains
for sub in mail email support help docs status; do
dig +short $sub.yourcompany.com CNAME
done
Das em1234.yourcompany.com, das auf sendgrid.net zeigt? Sie nutzen SendGrid. Das zendesk1.yourcompany.com? Zendesk. Diese DNS-Einträge überleben oft die Person, die sie angelegt hat.
E-Mail weiterleiten vor dem Löschen
Wenn jemand das Unternehmen verlässt, löschen Sie seine E-Mail nicht sofort. Richten Sie zuerst eine Weiterleitung an seinen Vorgesetzten für 30 Tage ein. Sie werden Folgendes abfangen:
- Passwort-Reset-E-Mails von Diensten, auf die Sie vergessen haben, den Zugriff zu widerrufen
- Rechnungen für Abonnements, die an sein Konto geknüpft sind
- Externe Kontakte, die sich noch melden
In Google Workspace: Admin → Nutzer → Nutzer auswählen → Mehr anzeigen → Automatische Antwort und Weiterleitung hinzufügen → Weiterleitungsadresse festlegen.
Nach 30 Tagen prüfen Sie, was eingegangen ist, bereinigen verwaiste Konten und löschen dann.
Die „Wer hat sich dafür angemeldet?"-E-Mail-Suche
Wenn Sie ein SaaS-Tool finden, das Sie nicht kannten, suchen Sie in der Unternehmens-E-Mail nach Anmeldebestätigungen:
from:(*@notion.so OR *@figma.com OR *@airtable.com) subject:(welcome OR confirm OR verify)
Das zeigt Ihnen, wer Konten erstellt hat und wann. Nützlich, um den tatsächlichen Inhaber von Shadow IT zu finden.
Slack-App-Verzeichnis-Audit
Slack verfolgt jede App-Integration. Prüfen Sie Apps → Verwalten → Installierte Apps. Sie werden Folgendes finden:
- Integrationen, an die sich niemand erinnert
- Apps, die von Personen installiert wurden, die das Unternehmen verlassen haben
- Webhooks, die auf Dienste zeigen, die möglicherweise Zugriff auf Ihre Slack-Daten haben
Entfernen Sie alles, was nicht aktiv genutzt wird. Jede Integration ist ein potenzieller Datenleck-Punkt.
Der Browser-Erweiterungs-Ansatz
Um herauszufinden, was Ihr Team täglich tatsächlich nutzt, ist der Browserverlauf Gold wert. Sie können den Verlauf der Mitarbeiter nicht direkt einsehen (und sollten es auch nicht), aber:
- Bitten Sie das Team, ihre am häufigsten besuchten Arbeitsseiten zu exportieren
- Oder nutzen Sie ein SaaS-Discovery-Tool, das über eine Browser-Erweiterung funktioniert (Josys, andere)
- Oder prüfen Sie Ihre Unternehmens-Proxy-/Firewall-Protokolle, falls vorhanden
Das erfasst Tools, die nicht durch SSO gehen und nie auf der Kreditkarte erscheinen – kostenlose Stufen, persönliche Konten für die Arbeit, browserbasierte Tools.
Workshop: Inventar und Zugriffsprozess aufbauen
Reservieren Sie 3–4 Stunden dafür.
Teil 1: Erstes Inventar (90 Minuten)
- Inventar-Tabelle anhand der obigen Vorlage erstellen
- Alle Dienste hinzufügen, die Ihnen einfallen
- SSO/IdP auf verbundene Apps prüfen
- 6 Monate Unternehmenskreditkartenabrechnungen prüfen
- Unternehmensweite Anfrage nach Tool-Offenlegungen senden
Teil 2: Kategorisieren und priorisieren (30 Minuten)
- Sensibilitätsstufen für jeden Dienst zuweisen
- Dienste ohne klaren Inhaber identifizieren
- Dienste mit schwacher Authentifizierung kennzeichnen (nur E-Mail/Passwort, kein MFA)
Teil 3: Onboarding-/Offboarding-Checklisten erstellen (60 Minuten)
- Rollenspezifische Onboarding-Checklisten erstellen
- Universelle Offboarding-Checkliste erstellen
- Festlegen, wer für jeden Entzugsschritt verantwortlich ist
Teil 4: Erste Zugriffsüberprüfung (60 Minuten)
- Ihre 5 kritischsten Dienste auswählen
- Nutzerlisten exportieren
- Mit der aktuellen Mitarbeiterliste abgleichen
- Nicht berechtigte Zugänge widerrufen
- Befunde dokumentieren
Ergebnisse:
- Vollständige SaaS-Inventar-Tabelle
- Dienste nach Sensibilität kategorisiert
- Onboarding-Checkliste für mindestens eine Rolle
- Universelle Offboarding-Checkliste
- Erste Zugriffsüberprüfung für kritische Dienste abgeschlossen
Gespräch mit der Unternehmensleitung
Wenn jemand fragt, warum Sie Zeit damit verbracht haben:
„Ich habe ein Inventar aller Cloud-Dienste erstellt, die wir nutzen – es sind 67, mehr als wir dachten. Außerdem habe ich Onboarding- und Offboarding-Checklisten erstellt, damit wir keine verwaisten Zugänge hinterlassen, wenn Mitarbeiter gehen. Bei der ersten Überprüfung habe ich 4 ehemalige Mitarbeiter gefunden, die noch Zugriff auf unsere Systeme hatten. Das ist nun behoben, und wir haben einen Prozess, der das künftig verhindert."
Kurzfassung: „Ich habe alle unsere Cloud-Dienste kartiert und Zugangslücken geschlossen. Einige ehemalige Mitarbeiter hatten noch Zugriff – das ist jetzt erledigt."
Selbstcheck: Haben Sie es wirklich getan?
Stellen Sie sicher, dass Sie diese Punkte abgehakt haben.
Inventar
- SaaS-Inventar-Tabelle erstellt
- Mindestens 30 Dienste hinzugefügt (Sie nutzen wahrscheinlich mehr, als Sie denken)
- SSO/IdP auf verbundene Apps geprüft
- Kreditkartenabrechnungen auf wiederkehrende Softwaregebühren geprüft
- Jedem Dienst einen Inhaber zugewiesen
- Dienste nach Sensibilitätsstufe kategorisiert
- Dienste mit schwacher Authentifizierung identifiziert
Zugriffsverwaltung
- Onboarding-Checkliste für mindestens eine Rolle erstellt
- Universelle Offboarding-Checkliste erstellt
- Verantwortlichen für jede Zugriffsänderung bestimmt
- Zugriffsüberprüfung für die 5 kritischsten Dienste abgeschlossen
- Verwaiste Zugänge widerrufen
Passwort-Manager-Integration
- Tresorstruktur entspricht den Team-/Rollenzugriffsbedürfnissen
- Geteilte Zugangsdaten befinden sich in geeigneten Tresoren (nicht in persönlichen)
- Wissen, wie Zugangsdaten rotiert werden, wenn jemand das Unternehmen verlässt
Prozess
- Kalender-Erinnerung für vierteljährliche Zugriffsüberprüfung gesetzt
- Offboarding-Checkliste so dokumentiert, dass HR sie findet
- Mindestens eine weitere Person kennt den Prozess
Wenn Sie mindestens 12 dieser 15 Punkte abhaken können, sind Sie bereit, weiterzumachen.
Was kommt als Nächstes
Sie wissen jetzt, welche Dienste Sie nutzen und wer auf was Zugriff hat. Sie haben Prozesse zum Gewähren und Widerrufen von Zugängen.
Nächstes Kapitel: Ihre Software aktuell halten und Schwachstellen überwachen. Denn veraltete Software mit bekannten CVEs ist einer der einfachsten Wege für Angreifer.