Welche Gefahren haben Shared Accounts?

**Shared Accounts sind vor allem deshalb gefährlich, weil Verantwortung, Zugriff und Nachvollziehbarkeit verschwinden: Wenn mehrere Personen denselben Account nutzen, lässt sich im Ernstfall kaum noch sicher sagen, wer was getan, geändert oder gelöscht hat.** ## Die größten Risiken **1. Keine echte Verantwortlichkeit** Bei einem geteilten Konto gibt es keine saubere Zuordnung von Aktionen zu einer Person. Das ist praktisch das größte Problem: Fehler, Datenlöschungen, unberechtigte Änderungen oder missbräuchliche Zugriffe lassen sich kaum eindeutig aufklären. In Unternehmen ist das nicht nur unpraktisch, sondern ein echtes Sicherheits- und Compliance-Problem. **2. Höheres Missbrauchsrisiko** Sobald Login-Daten weitergegeben werden, verlieren sie ihre Schutzwirkung. Je mehr Menschen ein Passwort kennen, desto größer ist die Wahrscheinlichkeit, dass es unsicher gespeichert, per Chat verschickt, wiederverwendet oder versehentlich an Dritte weitergegeben wird. Das BSI weist generell darauf hin, dass gestohlene oder mehrfach genutzte Passwörter mehrere Konten gleichzeitig gefährden. ([bsi.bund.de](https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Sicherheitsirrtuemer/irrtuemer-internet-sicherheit.html)) **3. Schwächere Zugriffskontrolle** Shared Accounts umgehen das Prinzip „jeder nur die Rechte, die er wirklich braucht“. Statt individueller Berechtigungen bekommt oft jeder denselben vollen Zugriff. Dadurch steigt der Schaden bei einem kompromittierten Konto sofort stark an. **4. Schlechte Protokollierung und Forensik** Logs zeigen dann nur den Accountnamen, nicht die tatsächliche Person. Nach einem Sicherheitsvorfall ist das ein massiver Nachteil: Du kannst Angriffe, Fehlbedienungen oder interne Verstöße schlechter erkennen, eingrenzen und beweisen. ## Warum das in der Praxis oft schlimmer ist als gedacht Der typische Denkfehler ist: „Wir teilen den Account nur intern, also ist das unkritisch.“ Genau das stimmt meist nicht. Ein gemeinsames Konto wird fast immer unsauber genutzt: Passwort steht in einer Datei, wird per Mail verschickt, bleibt nach Personalwechsel unverändert oder läuft parallel auf mehreren Geräten. Das BSI betont, dass ein Passwort allein wichtige Konten nicht ausreichend schützt und dass ein kompromittiertes Passwort fremden Zugriff ermöglicht. ([bsi.bund.de](https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Sicher-im-digitalen-Schulalltag/Unterrichts-und-Gespraechseinstiege/Unterrichts-und-Gespraechseinstiege.html)) Der Unterschied zu individuellen Konten ist klar: Bei einem persönlichen Account kannst du Rechte gezielt vergeben, 2FA sauber binden, Zugriffe entziehen und Aktivitäten einer Person zuordnen. Bei Shared Accounts geht genau diese Kontrolle verloren. ## Konkrete Folgen - **Datenverlust:** Dateien, Einstellungen oder Nachrichten werden versehentlich oder absichtlich verändert. - **Sicherheitsvorfälle:** Ein einziges geleaktes Passwort öffnet mehreren Personen oder Angreifern denselben Zugang. - **Account-Sperrungen:** Viele Dienste verbieten geteilte Nutzung in ihren Nutzungsbedingungen. - **Datenschutzprobleme:** Wenn personenbezogene Daten betroffen sind, wird die Rechenschaft deutlich schwieriger. - **Probleme beim Offboarding:** Verlässt jemand das Team, muss oft sofort das Passwort für alle geändert werden. ## Wichtiger Sonderfall Nicht jeder „gemeinsame Zugriff“ ist falsch. Gefährlich ist **der gemeinsame Login**, nicht die Zusammenarbeit selbst. Sicherer ist: Jede Person hat **ein eigenes Konto**, und der Zugriff auf gemeinsame Daten oder Systeme wird über Rollen, Freigaben oder Gruppenrechte geregelt. Wenn ein Dienst das nicht unterstützt, ist das eher ein Zeichen für ein schwaches Berechtigungskonzept als ein Grund für Shared Accounts. ## Klare Empfehlung Vermeide Shared Accounts überall dort, wo Aktionen nachvollziehbar, Rechte steuerbar oder Daten geschützt sein müssen. Wenn ein gemeinsamer Zugang technisch unvermeidbar ist, dann nur als eng begrenzte Ausnahme mit starkem Passwort, 2FA, dokumentierter Nutzung und möglichst kurzer Lebensdauer.