Auf den Punkt: 31–50 % ehemaliger Mitarbeiter behalten Zugriff auf unkontrollierte Cloud-Dienste, weil diese nicht mit zentralen Identity-Systemen verknüpft sind und bei Mitarbeiterabgang nicht automatisch gesperrt werden.
Zwischen 31 und 50 Prozent ehemaliger Mitarbeiter behalten Zugriff auf unternehmenseigene Cloud-Anwendungen, weil dezentral beschaffte SaaS-Lösungen nicht in zentralen Identity-Management-Systemen erfasst sind. Automatisierte De-Provisionierungsprozesse können diese Kontrollücke schließen.
Das klassische Offboarding folgt einem etablierten Ablauf: Die Personalabteilung initiiert den Austritt, die IT sperrt das Active-Directory-Konto. Allerdings erfasst dieses Verfahren nur die offiziell inventarisierten Systeme. In größeren Unternehmen kommen auf etwa hundert bekannte Cloud-Dienste fast tausend unverwaltete Anwendungen hinzu, von denen bis zu zwei Drittel ohne zentrale IT-Freigabe durch Fachabteilungen oder Einzelne eingeführt wurden.
Das Kernproblem liegt in der technologischen Entkopplung dieser dezentralen Konten vom primären Verzeichnisdienst. Während zentral gebundene Anwendungen SAML oder System for Cross-domain Identity Management nutzen und eine zentrale Sperrung kaskadierend wirkt, verwenden Schatten-SaaS-Dienste lokale Konten. Mitarbeiter registrieren sich dort mit ihrer geschäftlichen E-Mail-Adresse, vergeben aber ein eigenständiges Passwort, das direkt in der Datenbank des Cloud-Anbieters gespeichert wird. Wird das zentrale Konto deaktiviert, bleibt das Konto beim Drittanbieter vollkommen unberührt.
Die Folgen sind erheblich: Der ehemalige Mitarbeiter kann sich von privaten Geräten aus weiterhin anmelden, ohne dass dies durch interne Überwachungssysteme erkannt wird. Dies öffnet Angriffsvektor für ungesteuerte Datenexfiltration und laterale Bewegungen innerhalb der Unternehmensumgebung. Studien zeigen, dass Unternehmen oft monatelang unaware dieser aktiven Konten bleiben.
Automatisierte De-Provisionierungslösungen adressieren diese Lücke, indem sie Schatten-SaaS-Anwendungen kontinuierlich erfassen und bei Offboarding systematisch deaktivieren. Solche Systeme müssen dezentral erstellte Konten mit der geschäftlichen E-Mail-Adresse nachverfolgbar machen und deren Sperrung auslösen, unabhängig davon, ob die Anwendung im zentralen Identity-Management registriert ist.
Quelle: www.it-daily.net · Erschienen 11. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.