Service Account
Ein Service Account ist ein nicht-menschliches Benutzerkonto, das Anwendungen, Diensten oder automatisierten Prozessen ermöglicht, ohne menschliche Interaktion auf Systeme und Ressourcen zuzugreifen. Diese Konten führen Hintergrundprozesse aus und benötigen oft erhöhte Berechtigungen.
Ausführliche Erklärung
Service Accounts bilden das Rückgrat moderner IT-Infrastrukturen, indem sie automatisierte Abläufe ermöglichen. Anders als reguläre Benutzerkonten sind sie keiner natürlichen Person zugeordnet, sondern repräsentieren Softwareprozesse, Dienste oder Anwendungen. Sie werden eingesetzt, um Datenbankverbindungen herzustellen, Backup-Prozesse zu steuern, API-Zugriffe zu verwalten oder Batch-Jobs auszuführen – alles ohne dass eine manuelle Anmeldung erforderlich ist. Typischerweise verfügen diese Konten über spezifische Berechtigungen, die auf die jeweilige Funktion zugeschnitten sind, und authentifizieren sich über Passwörter, API-Schlüssel, Zertifikate oder Token.
Für KMU sind Service Accounts unverzichtbar, bringen jedoch erhebliche Sicherheitsrisiken mit sich, wenn sie nicht professionell verwaltet werden. Da diese Konten kontinuierlich im Hintergrund arbeiten, werden sie in Sicherheitsüberprüfungen oft übersehen. Viele Unternehmen haben keinen vollständigen Überblick darüber, welche Service Accounts existieren, wofür sie verwendet werden und welche Berechtigungen sie besitzen. Hinzu kommt: Passwörter werden häufig jahrelang nicht gewechselt, Zugangsdaten sind manchmal in Konfigurationsdateien oder Code fest hinterlegt, und Multi-Faktor-Authentifizierung ist bei Service Accounts technisch meist nicht umsetzbar.
Das Prinzip der minimalen Berechtigungen ist bei Service Accounts zentral. Jedes Konto sollte nur über die Zugriffsrechte verfügen, die es für seine konkrete Aufgabe benötigt – nicht mehr. Moderne Umgebungen wie Microsoft Active Directory bieten Managed Service Accounts (MSA) oder Group Managed Service Accounts (gMSA), die Passwörter automatisch rotieren und administrativen Aufwand reduzieren. Cloud-Plattformen wie AWS, Azure oder Google Cloud stellen eigene Mechanismen bereit, etwa IAM-Rollen oder Managed Identities. Für KMU empfiehlt sich eine zentrale Erfassung aller Service Accounts, regelmäßige Überprüfungen der Berechtigungen, eine Dokumentation der Verantwortlichkeiten sowie der Einsatz spezialisierter Privileged Access Management-Lösungen zur automatisierten Verwaltung und Überwachung.
Praxisbeispiel
Ein österreichisches Steuerberatungsunternehmen mit 25 Mitarbeitenden nutzt eine cloudbasierte Buchhaltungssoftware, die automatisch jede Nacht Mandantendaten aus einem lokalen SQL-Server abruft. Dafür wurde ein Service Account eingerichtet, der ausschließlich Lesezugriff auf die relevanten Datenbanktabellen besitzt. Das Passwort wird alle 90 Tage automatisch über eine PAM-Lösung rotiert, die Zugriffe werden protokolliert, und ein IT-Dienstleister überwacht regelmäßig die Berechtigungen, um sicherzustellen, dass keine übermäßigen Rechte vergeben wurden.
Code-Beispiel
```python
# Beispiel: Service Account mit zeitlich begrenztem Token (Python)
from azure.identity import DefaultAzureCredential
from azure.storage.blob import BlobServiceClient
# Managed Identity statt statischem Passwort
credential = DefaultAzureCredential()
blob_client = BlobServiceClient(
account_url="https://firmaspeicher.blob.core.windows.net",
credential=credential
)
# Zugriff nur mit minimal notwendigen Berechtigungen
container = blob_client.get_container_client("invoices")
blob_list = container.list_blobs()
# Token wird automatisch rotiert, keine Passwörter im Code
```Quellen
- Service Accounts in Windows Server | Microsoft Learn
- What is a Service Account? Key Basics & Cybersecurity Guide
- Glossary: What is a Service Account? Automated Access & Security | Oasis Security
- Cyberkriminelle kompromittieren Netzwerke in unter 30 Minuten
- So sichern Sie Windows Service Accounts mit effektivem Zugriffsmanagement | PAM360