Was passiert mit CMS-Zugängen, wenn ein Mitarbeiter ausscheidet?
Der Zugang gehört mit dem letzten Arbeitstag abgeschaltet – keinesfalls erst Wochen danach. Ein weiter offener Redaktionszugang ist eine Schwachstelle, gerade wenn daran weitreichende Rechte hingen. Voraussetzung ist, dass jede Person einen persönlichen Zugang hat statt eines geteilten Sammel-Logins. Nur so lässt sich ein einzelner Zugang gezielt entziehen, ohne andere zu stören.
Der vergessene Altzugang als häufiges Risiko
In gewachsenen Installationen bleiben Zugänge ausgeschiedener Personen oft monatelang aktiv – niemand hat sie deaktiviert. Das ist eines der häufigsten Sicherheitsrisiken überhaupt, besonders wenn der Zugang weitreichende Rechte trug.
Persönliche Zugänge statt Sammel-Login
Die Grundvoraussetzung für ein sauberes Ausscheiden ist, dass jede Person einen eigenen Zugang hat. Ein geteilter Sammel-Login wirkt praktisch, kostet aber jede Nachvollziehbarkeit:
- Persönlicher Zugang: lässt sich gezielt entziehen, ohne dass andere ihr Passwort ändern müssen
- Sammel-Login: beim Ausscheiden müsste das Passwort für alle geändert werden – oder der Zugang bleibt offen
Zwei feste Routinen
Bei der Einstellung erhält jede Person genau die Freigaben, die ihre Tätigkeit erfordert – nicht den vollen Umfang, den das System theoretisch zulässt, ganz im Sinne der Frage nach Administratorrechten für alle. Verlässt jemand den Betrieb, wird der Zugang mit dem letzten Arbeitstag geschlossen. Wie diese Rollen sauber zugeschnitten werden, zeigt Wer darf was im CMS?. Jeder Zugang sollte zudem mit einer Zwei-Faktor-Authentifizierung abgesichert sein. Wie ein vollständiges Offboarding über alle Systeme aussieht, behandelt der Zugangs-Audit beim Mitarbeiter-Austritt.