Service Accounts reviewen — die unsichtbare Mehrheit

Neben echten Mitarbeitern gibt es Service Accounts: API-Integrationen, Scheduled Jobs, Automatisierungen. Oft sind es mehr als menschliche Nutzer. Wer ist verantwortlich – und wie überprüft man sie?

Service Accounts sind nicht-menschliche Identitäten: die Zapier-Integration, der GitHub Actions-Bot, der nächtliche Backup-Runner. Sie existieren lange, haben oft weitreichende Berechtigungen und werden selten überprüft.

Inventarisierung

• Alle M365/Entra-App-Registrierungen: Was tun sie, wer hat sie erstellt?
• GitHub Deploy-Keys und App-Installationen.
• API-Nutzer in CRM, Buchhaltung, Kundenportal.
• Datenbanknutzer außerhalb Ihrer Nutzertabelle.
• CI/CD-Credentials.

Pro Service Account festhalten

• Menschlicher Verantwortlicher (Name, bei Austritt Übergabe).
• Zweck / was macht dieses Konto.
• Scope / Berechtigungen.
• Speicherort der Credentials.
• Ablaufdatum (idealerweise) oder Überprüfungsdatum.

Review-Rhythmus

Mindestens jährlich, idealerweise halbjährlich. Pro Eintrag: Noch benötigt? Berechtigungen noch minimal? Credentials kürzlich rotiert?

Beim Austritt des Verantwortlichen

Jeder Service Account bekommt einen neuen menschlichen Verantwortlichen — sonst geht er beim Offboarding verloren, ohne dass jemand merkt, was daran hängt. Siehe Vault-Übergabe.