IT-Dienstleister will alle Passwörter — wo ist die Grenze?

Inhalt in Kürze

• Ein seriöser IT-Dienstleister braucht Admin-Rechte, aber nicht geteilte Passwörter auf Excel-Listen. Jeder Techniker bekommt einen eigenen, personalisierten Admin-Account mit MFA.
• Geteilte Admin-Logins widersprechen dem BSI-Grundschutz (SYS.2.1), Art. 32 DSGVO und machen im Ernstfall jede Forensik unmöglich.
• Laut BSI-Lagebericht 2025 erfolgten 81 % der Ransomware-Angriffe über kompromittierte Zugangsdaten — oft bei IT-Dienstleistern erbeutet.
• Als Geschäftsführer haften Sie persönlich nach § 43 Abs. 2 GmbHG, wenn Sie Zugänge fahrlässig aus der Hand geben.

Der neue IT-Dienstleister schickt Ihnen eine Willkommens-Mail. „Für das Onboarding brauchen wir einmal alle Admin-Zugänge: Microsoft 365 Global Admin, RDP auf den Server, die Passwortliste der Mitarbeiter, Fernzugriff auf jedes Endgerät.” Klingt nach Standard. Ist aber der Moment, in dem Sie als Geschäftsführer richtig teuer falsch abbiegen können.

IT-Dienstleister Passwort-Praxis: Warum „Komplett-Zugriff” das falsche Modell ist

Der Standard bei vielen kleinen IT-Häusern sieht so aus: Ein gemeinsames Admin-Konto, das Passwort steht in einem Passwort-Manager, alle vier Techniker kennen es. Wenn einer kündigt, ändert man das Passwort irgendwann. Meistens.

Das Problem: Sie wissen nicht mehr, wer bei Ihnen etwas getan hat. Wenn um 3:17 Uhr morgens jemand die Firewall-Regel ändert, sehen Sie im Log nur den Namen „admin”. Nicht Herrn Müller oder Herrn Meier. Bei einem Ransomware-Vorfall kostet Sie das Wochen forensische Aufarbeitung.

Der zweite Punkt: geteilte Passwörter skalieren nicht. Der Dienstleister wächst, beschäftigt Freelancer, arbeitet mit Subunternehmen in Osteuropa. Wer hat heute Ihr Admin-Passwort? Ehrlich: Sie wissen es nicht.

Die Zahlen stammen aus dem aktuellen BSI-Lagebericht zur IT-Sicherheit in Deutschland. Übersetzt heißt das: Vier von fünf erfolgreichen Ransomware-Angriffen nutzen keine Zero-Day-Lücke, sondern ein gestohlenes Passwort. Oft beim IT-Dienstleister erbeutet — einmal gehackt, Zugriff auf alle Mandanten.

Sicherheitssicht: Shared Admin bricht Least Privilege

Der IT-Grundschutz des BSI ist in Baustein SYS.2.1 Allgemeiner Client eindeutig: Administrative Tätigkeiten erfolgen über separate, personalisierte Konten. Das ist kein Luxus, das ist Mindeststandard.

Das Prinzip dahinter heißt Least Privilege. Jeder Nutzer — auch der Dienstleister — bekommt nur die Rechte, die er für die konkrete Aufgabe braucht. Und nur so lange er sie braucht. Ein Techniker, der den Drucker einrichtet, braucht kein Global-Admin in Microsoft 365.

Mehr dazu im Artikel Zugriffskontrolle im Unternehmen — Berechtigungen richtig managen und in der Multi-Faktor-Authentifizierung für Unternehmen.

Haftungssicht: § 43 GmbHG geht auf Ihr Privatvermögen

Klingt hart, ist aber so: Als Geschäftsführer haften Sie persönlich. Der Paragraf § 43 GmbHG verpflichtet Sie zur „Sorgfalt eines ordentlichen Geschäftsmannes”. Bei IT-Sicherheit heißt das: Sie müssen sich darum kümmern, wer welche Zugänge hat.

Wenn Sie dem Dienstleister blind alle Admin-Rechte geben und es kommt zum Vorfall, haben Sie ein Beweisproblem. Sie können im Zweifel nicht zeigen, dass Sie die nötigen Kontrollen durchgeführt haben. Dann wird aus dem Versicherungsfall ein Haftungsfall — und zwar Ihrer.

Wir hatten 2024 einen Fall bei einem Maschinenbau-Mandanten: Ransomware, 14 Tage Stillstand, 380.000 Euro Schaden. Der alte IT-Dienstleister hatte ein geteiltes Admin-Passwort für sechs Kunden benutzt. Ein Mitarbeiter des Dienstleisters öffnete einen Phishing-Link — ab da waren alle sechs Unternehmen offen. Die Versicherung zahlte nach langer Prüfung 40 %. Den Rest trug der Geschäftsführer.

Datenschutzsicht: Art. 32 DSGVO fordert belegbare TOM

Artikel 32 DSGVO verlangt „technische und organisatorische Maßnahmen” (TOM), die dem Risiko angemessen sind. Konkret genannt werden Pseudonymisierung, Verschlüsselung, Verfügbarkeit — und: „die Fähigkeit, die Vertraulichkeit sicherzustellen.”

Ein geteiltes Admin-Passwort erfüllt diesen Anspruch nicht. Sie können weder nachweisen, wer auf personenbezogene Daten zugegriffen hat, noch verhindern, dass ein ehemaliger Mitarbeiter des Dienstleisters noch Zugang hat.

Das ist kein Detail. Bei einer Datenpanne fragt die Aufsichtsbehörde als erstes: Wer hatte Zugriff? Wann? Wie wurde protokolliert? Wenn Sie hier nicht liefern können, wird aus dem Vorfall ein Bußgeldverfahren.

Lesetipp: Dieses Thema wird in unserem kostenlosen E-Book „CYBER-SICHER — Der IT-Sicherheits-Guide für den deutschen Mittelstand” (47 Seiten, 2026-Edition) ausführlich behandelt. Jetzt herunterladen →

Was der IT-Dienstleister tatsächlich braucht

Jetzt die andere Seite. Der Dienstleister braucht natürlich Zugriff, sonst kann er nicht arbeiten. Die Frage ist nur: Welchen Zugriff, wie lange, mit welchem Protokoll?

• Dedizierte Service-Accounts. Jeder Techniker bekommt einen eigenen Admin-Account mit seinem Namen. Keine Sammel-Logins. Beim Offboarding wird der Account deaktiviert, nicht das Passwort geändert.
• Multi-Faktor-Authentifizierung. Admin-Zugänge ohne MFA sind 2026 nicht mehr diskutierbar. Hardware-Token, Authenticator-App, FIDO2-Key. Siehe auch 2FA einrichten für KMU.
• Just-In-Time-Admin (PAM). Der Dienstleister beantragt Admin-Rechte pro Ticket. Die Rechte werden für den Arbeitszeitraum freigeschaltet und danach automatisch entzogen. Tools: Microsoft Entra PIM, Teleport, CyberArk.
• Sitzungsprotokollierung. Jede privilegierte Sitzung wird aufgezeichnet — Befehlsverlauf, bei RDP auch Video. Klingt aufwändig, ist bei modernem PAM One-Click.
• Break-Glass-Account behalten Sie. Es gibt genau einen Master-Admin, dessen Passwort nur der Geschäftsführer und ein zweiter Interner kennen. Offline, im Tresor. Für den Tag, an dem der Dienstleister nicht erreichbar ist.

Wenn Sie tiefer einsteigen wollen: Identity & Access Management für Unternehmen erklärt das Gesamtkonzept.

Vertragsklausel für Ihren IT-Rahmenvertrag

Folgenden Passus können Sie direkt in den nächsten IT-Rahmenvertrag übernehmen. Ein seriöser Dienstleister unterschreibt das ohne Diskussion. Wer rumeiert, verrät sich selbst.

§ X Zugriffsverwaltung und Protokollierung

(1) Der Auftragnehmer erhält ausschließlich personalisierte, namentlich
    zugeordnete Administrator-Konten. Geteilte Logins sind unzulässig.

(2) Alle privilegierten Konten des Auftragnehmers sind mit
    Multi-Faktor-Authentifizierung gemäß Stand der Technik zu schützen
    (mindestens TOTP oder FIDO2).

(3) Privilegierte Zugriffe erfolgen über ein Privileged-Access-Management-
    System (PAM) mit Just-in-Time-Freigabe und automatischer Rechteentziehung
    nach Abschluss der Tätigkeit.

(4) Sämtliche privilegierten Sitzungen werden protokolliert. Der
    Auftraggeber hat jederzeit Zugriff auf die Session-Logs, die mindestens
    12 Monate aufzubewahren sind.

(5) Der Auftragnehmer meldet dem Auftraggeber unverzüglich, spätestens
    innerhalb von 24 Stunden, jede Änderung im personellen Zugriffsumfang
    (Neuzugang, Ausscheiden, Aufgabenwechsel).

(6) Zum Vertragsende übergibt der Auftragnehmer alle Admin-Accounts
    innerhalb von 5 Arbeitstagen und bestätigt schriftlich die Löschung
    aller lokal gespeicherten Zugangsdaten, Schlüssel und Zertifikate.

(7) Der Auftraggeber behält einen Break-Glass-Account, dessen Zugangsdaten
    dem Auftragnehmer nicht bekannt sind.

Aus der Praxis

Wenn ich bei einem neuen Mandanten das Admin-Passwort des Vor-Dienstleisters übergeben bekomme und sehe: läuft nie ab, seit 2019 unverändert, wird von fünf Leuten geteilt — dann weiß ich, wo wir anfangen. In 80 % der Fälle finden wir innerhalb einer Woche mindestens einen Account, der da gar nicht mehr sein sollte.

Jens HagelIT-Sicherheitsexperte bei frag.hugo

5 Fragen für den nächsten Dienstleister-Jour-Fixe

Stellen Sie diese Fragen beim nächsten Termin. Die Antworten sagen Ihnen mehr über die Qualität Ihres Dienstleisters als jedes Hochglanz-Zertifikat.

1. „Kann ich eine Liste aller aktuell aktiven Admin-Accounts in meinem Tenant bekommen?" Ein guter Dienstleister liefert innerhalb von 24 Stunden. Wer druckst, hat keinen Überblick.
2. „Welche MFA nutzt Ihr Team für den Zugriff auf meine Systeme?" Antwort sollte sein: Authenticator-App oder Hardware-Token. „SMS" oder „wir haben das noch nicht überall" ist ein Warnsignal.
3. „Zeigen Sie mir die Session-Logs der letzten Admin-Eingriffe." Wenn da nur „admin hat sich eingeloggt" steht, haben Sie kein Protokoll, sondern ein Feigenblatt.
4. „Was passiert mit meinen Zugängen, wenn ein Techniker Sie verlässt?" Richtige Antwort: Account-Deaktivierung innerhalb von 24 Stunden, dokumentierter Prozess, Nachweis pro Fall.
5. „Habe ich einen Break-Glass-Account, den Ihr Team nicht kennt?" Wenn nein, lassen Sie einen einrichten. Sofort.

Was Sie in 24 Stunden ändern können

Nicht alles braucht ein Großprojekt. Die folgenden drei Schritte können Sie morgen machen — ohne Budgetfreigabe, ohne externes Consulting.

Fazit: Vertrauen ist gut, Struktur ist besser

Ein guter IT-Dienstleister ist nicht der, der Sie nach allen Passwörtern fragt. Ein guter Dienstleister ist der, der Sie auf die Fallen hinweist und einen sauberen Zugriffsprozess vorschlägt — bevor Sie danach fragen müssen.

Wenn Sie unsicher sind, wo Ihr Dienstleister-Vertrag steht, ob Ihre Admin-Landschaft aufgeräumt ist oder ob Sie im NIS2-Kontext ein Problem haben: Lassen Sie uns das in 15 Minuten besprechen. Mehr dazu auch unter Hugo Shield — NIS2-Lieferketten-Compliance und im Guide IT-Sicherheitskonzept erstellen für KMU. Wer schon mitten drin steckt, dem hilft der Notfall-Guide Cyberangriff.

Häufige Fragen (FAQ)

Darf ein IT-Dienstleister alle Administrator-Passwörter verlangen?

Nein. Ein seriöser Dienstleister arbeitet mit eigenen, namentlich zugeordneten Admin-Accounts plus MFA. Geteilte Passwortlisten widersprechen dem BSI-Grundschutz, Art. 32 DSGVO und erschweren die forensische Aufklärung im Schadensfall erheblich.

Was ist Just-In-Time-Admin (PAM)?

Bei Privileged Access Management (PAM) wird der Admin-Zugriff nur für die tatsächliche Dauer eines Tickets freigeschaltet. Der Dienstleister beantragt Zugang, die Rechte werden temporär vergeben und nach Abschluss automatisch entzogen. Jede Sitzung wird protokolliert.

Haftet der Geschäftsführer, wenn der IT-Dienstleister gehackt wird?

Ja, nach § 43 Abs. 2 GmbHG haftet der Geschäftsführer mit seinem Privatvermögen für Pflichtverletzungen. Dazu gehört auch die fahrlässige Überlassung aller Zugänge an einen Dritten ohne technisch-organisatorische Maßnahmen nach Art. 32 DSGVO.

Welche Passwörter darf ich nicht an den IT-Dienstleister weitergeben?

Persönliche Mitarbeiter-Passwörter niemals. Den Master-Admin (Break-Glass-Account) sollten Sie selbst behalten. Für alle operativen Tätigkeiten bekommt der Dienstleister eigene, personalisierte Admin-Accounts mit MFA — keine geteilten Logins.

Was kostet ein sauberes Zugriffskonzept mit PAM?

Für KMU zwischen 20 und 200 Mitarbeitern liegen die Kosten bei 200 bis 800 Euro pro Monat, je nach Tool und Anzahl der privilegierten Accounts. Open-Source-Lösungen wie Teleport oder HashiCorp Boundary gibt es auch kostenlos — dann aber mit Eigenleistung.

Wie lange sollte ich Sitzungsprotokolle des IT-Dienstleisters aufbewahren?

Mindestens 90 Tage, besser 12 Monate. Bei Ransomware-Vorfällen liegt die durchschnittliche Verweildauer des Angreifers im Netz bei 11 Tagen, oft länger. Nur mit ausreichend langen Logs können Sie rekonstruieren, wer wann was getan hat.