Externen Zugang geben, ohne die Tür sperrangelweit offen zu lassen

Berater, Buchhalter, Freelance-Entwickler, Partnerunternehmen. Allesamt Personen, die kein Mitarbeiter sind, aber irgendwo Zugriff brauchen. Hier ein Muster, das funktioniert – ohne dass du nach 2 Jahren 47 Geister-Accounts hast.

Externe Parteien sind die Kategorie, bei der Access-Hygiene am häufigsten aus dem Ruder läuft. Sie stehen nicht in deinem HR-System, ihr Onboarding ist informell, und ihr Abgang fällt dir oft erst auf, wenn jemand sagt: „Ach, mit denen arbeiten wir ja schon seit einem halben Jahr nicht mehr."

Sechs Regeln, die das verhindern

1. Eigene Namenskonvention. ext.jan.dejong@deinfirma.de oder über den Namen der externen Partei. Auf den ersten Blick eindeutig erkennbar.
2. Enddatum verpflichtend. Siehe temporärer Zugang. Nicht „unbekannt" eintragen – ein Datum, notfalls in 12 Monaten, aber ein Datum.
3. Minimaler Scope. Kein eigenes M365-Konto mit vollen Rechten; besser Guest-Zugang auf bestimmte SharePoint-Seiten oder ein einzelnes gemeinsames Postfach.
4. Kein privilegierter Zugang. Ein Berater darf Dinge einsehen, aber keine Admin-Entscheidungen umsetzen – oder nur mit explizit definiertem Scope und Enddatum.
5. Eigener Bereich im Passwort-Tresor. Nicht mit internen geteilten Zugangsdaten vermischen.
6. Verantwortlicher namentlich festgelegt. Pro externer Partei: Wer in deinem Unternehmen ist zuständig? Wenn diese Person ausscheidet, muss jemand den Staffelstab übernehmen.

Das Review-Muster

Jedes Quartal bei deinem Review: Abschnitt „Externe Parteien" separat behandeln. Frag die interne Kontaktperson: „Noch relevant? Enddatum noch aktuell?" Keine Antwort = Zugang deaktivieren, bis eine Rückmeldung kommt.

Was ist mit Steuerberatern und Buchhaltern?

Diese fallen unter „externe Partei", haben aber eine langfristige Beziehung. Muster: nur Zugang zur Buchhaltungs-App, kein E-Mail-Konto in deinem Tenant, jährliches Review im Abgleich mit der Vertragslaufzeit. Siehe auch Zugang für externen Buchhalter regeln.