Break Glass Administrator
Der Begriff Break Glass Administrator stammt aus dem Bereich der Microsoft-Sicherheitskonzepte und bezeichnet eine spezielle Notfallrolle, die in besonders kritischen Situationen verwendet wird – etwa wenn reguläre Administratoren keinen Zugriff mehr haben oder ein Sicherheitsvorfall vorliegt.
Was ist ein Break Glass Administrator?
Ein Break Glass Administrator ist ein hoch privilegiertes Administratorkonto, das nur im Notfall verwendet wird – vergleichbar mit einem Feuerlöscher hinter Glas („Break Glass in case of emergency“). Es ist nicht für den täglichen Gebrauch gedacht und sollte besonders geschützt sein.
Typische Einsatzszenarien:
- Verlust des Zugriffs auf Entra ID (z. B. durch fehlerhafte Conditional Access-Regeln)
- Ausfall von MFA-Diensten
- Kompromittierung regulärer Admin-Konten
Empfehlungen für die Konfiguration
1. Konto-Einrichtung
- Erstelle mindestens ein Break Glass Administrator-Konto.
- Verwende Benutzernamen, die nicht leicht erraten werden können.
- Weise die Rolle Globaler Administrator zu.
- Kein MFA aktivieren, aber nur für dieses Konto – damit es auch bei MFA-Ausfall nutzbar sind.
- Alternativ: Verwende FIDO2-Keys oder Certificate-based Authentication, wenn du trotzdem MFA willst.
2. Conditional Access
- Erstelle eine Ausschlussregel für das Konto:
- z. B. eine Regel „Alle Benutzer müssen MFA verwenden“ → Break Glass-Konten ausschließen
- Dokumentiere diese Ausnahmen klar.
3. Monitoring
- Aktiviere Sign-In Logging und überwache die Konten mit Microsoft Sentinel oder Defender for Cloud Apps.
- Erstelle eine automatische Benachrichtigung, wenn sich ein Break Glass-Konto anmeldet.
4. Sicherheitsmaßnahmen
- Starkes Passwort, mind. 20-stellig, regelmäßig ändern.
- Nicht in Gruppen oder Dienste einbinden, die unnötige Rechte geben.
- Kein E-Mail-Zugang, um Phishing zu vermeiden (lizenzlos = keine Lizenz zuweisen).
- Zugriffsprotokollierung aktivieren.
- Sicher aufbewahren (z.B. Umschlag im Safe).
5. Dokumentation & Schulung
- Dokumentiere klar, wann und wie diese Konten verwendet werden dürfen.
- Nur vertrauliche Personen sollten Zugang haben.
- Teste regelmäßig den Zugriff, z. B. alle 3–6 Monate.
Beispiel für eine Conditional Access-Ausnahme:
Name: Emergency Access Exclusion
Zielgruppe: Alle Benutzer
Bedingung: Alle Anwendungen
Zugriffssteuerung: MFA erforderlich
Ausschlüsse: Benutzergruppe „Break Glass Accounts“
Zusammenfassung – Best Practices
- Kennzeichnung: Klar benennen, z. B.
BreakGlassAdmin@domain.de. - Keine Lizenz zuweisen: Damit keine Dienste wie Exchange oder Teams aktiv sind.
- MFA deaktivieren nur mit Risikoanalyse: Alternativ kann man z. B. eine dedizierte Authentifizierungsmethode nutzen.
- Conditional Access ausschließen: In der Regel wird dieser Account von Conditional Access-Richtlinien ausgenommen.
- Monitoring aktivieren: z. B. mit Microsoft Sentinel oder Defender for Cloud Apps.
- Regelmäßige Prüfung: Sicherstellen, dass der Account funktioniert, aber nicht missbraucht wird.
Stand: 25.10.2025