Orphaned Account (Verwaistes Konto)

November 12, 2025

Orphaned Account (Verwaistes Konto)

Begriffserklärung:

Ein Orphaned Account ist ein Benutzerkonto in einem System, das nicht mehr einer aktiven Person zugeordnet werden kann, zum Beispiel, weil ein Mitarbeitender das Unternehmen verlassen hat und der Zugang nie deaktiviert wurde. Solche „verwaisten“ Konten sind oft über Jahre hinweg unbemerkt aktiv, mit teils weitreichenden Zugriffsrechten.

Warum sind Orphaned Accounts ein Risiko?

Sicherheitslücke für Angriffe: Verwaiste Konten bleiben oft mit aktiven Rechten bestehen – und sind für Angreifer ein einfacher Einstiegspunkt.
Keine Kontrolle, keine Transparenz: Niemand merkt, wenn über ein solches Konto auf Daten oder Systeme zugegriffen wird.
Verstoß gegen Prinzipien wie „Least Privilege“ und Compliance-Richtlinien
Kostenfaktor: Verwaiste Konten verbrauchen ggf. Lizenzen, Ressourcen oder verursachen Verwaltungsaufwand, ohne Nutzen zu bieten.

Wie entstehen verwaiste Konten?

Fehlendes Offboarding beim Ausscheiden von Mitarbeitenden
Manuelle Prozesse ohne automatische Deaktivierung
M&A-Phasen (z. B. beim Zusammenlegen von Verzeichnissen)
Historisch gewachsene Systeme ohne zentrale Account-Übersicht
Technische Service- oder API-Konten, die nie zurückgebaut wurden

Was lässt sich dagegen tun?

Automatisierung ist der Schlüssel.

Mit modernen IGA- oder PAM-Systemen lassen sich Orphaned Accounts schnell erkennen und eliminieren. Wichtig ist dabei:

Regelmäßige Zugriffsreviews: Wer hat noch welche Rechte – und braucht sie wirklich?
Automatisiertes Provisioning & Deprovisioning: Der gesamte Lifecycle eines Kontos sollte nachvollziehbar und gesteuert sein – vom Eintritt bis zur Deaktivierung.
Rollenbasierte Rechtevergabe: Wer die richtigen Rollen und Zugriffe definiert, verhindert von Anfang an unnötige Konten.

Best Practices zur Vermeidung

Nur so viele Konten wie nötig, aber so automatisiert wie möglich
Zugriffsrechte regelmäßig überprüfen (Access Review)
Alte Konten konsequent stilllegen oder löschen
Cloud- und On-Prem-Verzeichnisse (z. B. Active Directory, Entra ID) in einem System sichtbar machen
PAM-Systeme einsetzen, um auch privilegierte, verwaiste Konten zu managen

Fazit

Orphaned Accounts sind ein potenzieller Risiko,- und Angriffsvektor. Unternehmen sollten daher ihre Account-Strukturen regelmäßig prüfen und automatisierte Prozesse aufbauen, um dauerhaft Kontrolle über ihre Identitäten zu behalten.

Zurück zur Übersicht

Identity Lifecycle Management (ILM)

Identity Lifecycle Management (ILM) bezeichnet den gesteuerten, regelbasierten Umgang mit digitalen Identitäten über deren gesamten Lebenszyklus hinweg – von der Erstellung bis zur Deaktivierung oder Löschung. Ziel ist es, Identitäten und Berechtigungen stets aktuell, korrekt und sicher zu halten. ILM ist ein zentraler Bestandteil moderner IAM-Architekturen und bildet die Grundlage für eine automatisierte, compliance-konforme Benutzerverwaltung.