In einer Welt, in der Unternehmen immer stärker von Cloud-Diensten, komplexen Identitätsstrukturen und hochintegrierten Security-Tools abhängen, stellt sich eine entscheidende Frage: Was passiert, wenn all diese Mechanismen plötzlich nicht mehr verfügbar sind, sei es durch Ausfall, Fehlkonfiguration oder einen Cyberangriff? Genau hier kommen Break-Glass-Accounts ins Spiel. Diese Notfall-Adminzugänge sind ein essenzielles Element moderner Cyber-Resilienz. Sie bieten die Möglichkeit, selbst im absoluten Ausnahmezustand wieder Zugriff zu erlangen und handlungsfähig zu bleiben.
Erhöhte Privilegien nur für Notfälle
Der Begriff „Break Glass“ erinnert an den klassischen Feueralarmkasten: Im Notfall schlägt man die Scheibe ein, um Zugang zu erhalten. Ein Break-Glass-Account funktioniert nach dem gleichen Prinzip. Er wird ausschließlich für Notfälle reserviert, ist mit weitreichenden Administratorrechten ausgestattet und unabhängig von den üblichen Identitäts- und Zugriffspfaden. Im Normalbetrieb bleibt er ungenutzt, streng abgesichert und wird nur in klar definierten Ausnahmefällen aktiviert. Damit vereinen Break-Glass-Accounts maximale Verfügbarkeit im Notfall mit minimalem Risiko im Alltag. Ein Rettungsanker, den jedes Unternehmen einplanen sollte.
Unternehmen sollten sich bewusst machen, in welchen Szenarien ein solcher Notfallzugang unverzichtbar werden kann. Der Ausfall des Identitätsproviders ist ein typisches Beispiel: Wenn Single Sign-On oder Azure AD nicht erreichbar sind, kann sich kein Administrator mehr anmelden. Auch die Kompromittierung von Admin-Konten durch Angreifer zählt zu den Worst-Case-Szenarien. In diesem Moment braucht es einen separaten Zugang, den Angreifer nicht kennen. Besonders kritisch wird es bei einem Ransomware-Angriff, wenn Directory Services, Backups oder Security-Tools lahmgelegt sind. Mit einem isolierten Break-Glass-Account lassen sich dennoch Maßnahmen zur Schadensbegrenzung einleiten.
Strenge Kontrolle und Überwachung
Gerade weil Break-Glass-Accounts so mächtig sind, müssen sie höchsten Sicherheitsanforderungen genügen. Das beginnt mit der Isolierung vom Standard-Zugriffspfad: Sie sollten nicht an bestehende Identity-Systeme gekoppelt sein, sondern eigenständig bestehen, beispielsweise als Cloud-only-Account oder in einer separaten Domäne. Die Authentifizierung muss besonders stark sein, mit langen, komplexen Passwörtern und hardwarebasierten, phishing-resistenten FIDO2-Token. Ebenso wichtig ist die physische Verwahrung der Zugangsdaten. Sie gehören offline in einen Safe oder Tresor, idealerweise an zwei räumlich getrennten Orten. Zugriff darauf erhält nur ein klar definierter Personenkreis und zwar ausschließlich nach formaler Genehmigung.
Darüber hinaus gilt das Prinzip der Minimierung: Break-Glass-Accounts sollten nur so lange aktiv sein wie unbedingt nötig. Nach dem Einsatz müssen Passwörter sofort rotiert und Konten zurückgesetzt werden. Auch bei den Berechtigungen ist Zurückhaltung geboten. Besser sind mehrere spezifische Notfallkonten mit klar abgegrenzten Rechten. Ergänzend dazu ist ein umfassendes Logging und Monitoring unverzichtbar. Jeder Login muss lückenlos protokolliert und sofort mit einem Alarm verknüpft werden, damit das Security Operations Center direkt reagieren kann. Governance-Regeln und Approval-Workflows stellen sicher, dass kein Missbrauch stattfindet: Zugriff erfolgt nur nach formaler Freigabe, im Idealfall nach dem Vier-Augen-Prinzip.
Risikomanagement
Die Kehrseite eines so mächtigen Zugangs ist sein Missbrauchspotenzial. Ein Konto, das im Notfall alles kann, ist auch ein attraktives Ziel für Angreifer oder Insider. Deshalb ist strikte Geheimhaltung geboten: Nur wenige Personen dürfen überhaupt wissen, wo die Credentials hinterlegt sind. Auch organisatorisch sind klare Regeln wichtig: Break-Glass darf niemals für Routineaufgaben verwendet werden. Um das sicherzustellen, braucht es Schulungen, Awareness-Maßnahmen und regelmäßige Audits. Jedes Mal, wenn das Konto tatsächlich genutzt wird, ist eine Nachbereitung Pflicht: Was wurde getan, war der Einsatz gerechtfertigt, und sind die Zugangsdaten zurückgesetzt worden?
Damit der Break-Glass-Mechanismus funktioniert, haben sich in der Praxis verschiedene Best Practices etabliert. CISOs sollten stets mindestens zwei unabhängige Notfallkonten vorhalten, um Redundanz zu gewährleisten. Credentials müssen physisch getrennt und offline gelagert werden, nicht in Systemen, die selbst ausfallen könnten. Detaillierte Runbooks geben den Verantwortlichen klare Anleitungen für jedes Szenario und regelmäßige Tests stellen sicher, dass Alarme, Zugänge und Prozesse im Ernstfall reibungslos greifen. Nach jedem Test oder realen Einsatz gilt es, die Erfahrungen zu dokumentieren und Prozesse kontinuierlich zu verbessern. Und schließlich sollte das Break-Glass-Konzept nicht isoliert stehen, sondern eng verzahnt sein mit anderen Initiativen wie Zero Trust und Compliance-Prozessen.
Am Ende ist die Botschaft eindeutig: Break-Glass-Accounts sind kein „Nice-to-have“, sondern ein Pflichtbestandteil jeder Cyber-Defense-Strategie. Sie sichern Unternehmen ab, wenn alles andere scheitert. Richtig implementiert, bieten sie maximale Wirkung im Notfall, stellen im Alltag aber kein zusätzliches Risiko dar.
Brauchen Sie Unterstützung dabei, Ihr Unternehmen mit den neuesten Cyber Security-Technologien bulletproof zu machen? Unsere Cyber Security-Experten beraten Sie gerne.
