Die Global-Admin-Rolle reviewen: die schwerste Kategorie

Wenn es eine Kategorie gibt, bei der Review-Disziplin entscheidend ist, dann Global Admin und vergleichbare Rollen. Hier das gesonderte Verfahren, das zusätzlich zum Standard-Review gilt.

Global Admin, AWS root, Salesforce System Admin, GitHub Org Owner — diese Rollen erhalten in jedem Review eine Sonderbehandlung. Kein Bulk, keine Stichprobe, volle Transparenz.

Was reviewst du je Global Admin?

• Noch im Unternehmen tätig?
• Im letzten Quartal tatsächlich genutzt? (Log-Prüfung)
• Entspricht der PAM-Richtlinie — dediziertes Admin-Konto, Hardware-MFA, nicht für die tägliche Arbeit?
• Gibt es eine Vertretung, die dieselben Zugriffsrechte übernehmen kann? (mindestens 2, nicht 1)
• Passwort seit Rollenzuweisung rotiert?

Was tun, wenn jemand die Rolle 90 Tage nicht genutzt hat?

Red Flag. Entweder wird sie nicht benötigt — dann entziehen. Oder die Person erledigt Admin-Aufgaben heimlich über ihr normales Benutzerkonto (Richtlinienverstoß). In jedem Fall: Gespräch erforderlich.

Just-in-Time als ausgereifter Ansatz

In Entra ID lässt sich PIM einsetzen: Global-Admin-Rechte sind nicht dauerhaft aktiv, sondern werden bei Bedarf für maximal 8 Stunden mit Kollegenfreigabe aktiviert. Jede Aktivierung ist dokumentiert. Siehe M365 Governance für die Einrichtung.

Berichterstattung

Gesonderter Abschnitt im Review-Bericht — „Privileged Access Review" — von der Geschäftsführung unterzeichnet. Auch dann, wenn keine Änderungen vorgenommen wurden.

Siehe auch: PAM-Artikel, Review-Pillar.