Zum Inhalt

Dritte & Zugänge

Zugang für Dritte – Sicher teilen, sauber trennen

Das unterschätzte Risiko in der Zusammenarbeit

Selbständige arbeiten selten vollständig allein. Ein Subunternehmer übernimmt einen Teil des Projekts. Eine virtuelle Assistentin pflegt den Kalender und beantwortet E-Mails. Der Steuerberater braucht Zugang zur Buchhaltungssoftware. Der Webdesigner muss ins CMS. Der IT-Dienstleister verbindet sich für Wartungsarbeiten mit dem System.

All das ist normal – und all das ist ein potenzielles Sicherheitsproblem, wenn es nicht strukturiert gehandhabt wird.

Das häufigste Muster: Zugangsdaten werden per E-Mail oder WhatsApp weitergegeben, landen in der Nachrichtenhistorie und werden nie geändert, wenn die Zusammenarbeit endet. Der ehemalige Subunternehmer hat theoretisch weiterhin Zugang – und wenn sein Konto irgendwann kompromittiert wird, ist dein System das nächste.

Merksatz: Jeder geteilte Zugang ist eine potenzielle Hintertür. Die Frage ist nicht, ob du jemandem vertraust – sondern ob du weißt, wer gerade Zugang hat und ob dieser Zugang noch nötig ist.

Das Grundprinzip: Getrennte Zugänge statt geteilter Passwörter

Das wichtigste Prinzip beim Zugang für Dritte lautet: niemals eigene Zugangsdaten weitergeben. Wer dein Passwort kennt, ist aus Sicht des Systems nicht mehr von dir zu unterscheiden. Du kannst nicht nachvollziehen, was diese Person getan hat. Und du kannst ihr den Zugang nicht entziehen, ohne gleichzeitig dein eigenes Passwort zu ändern.

Die Alternative: eigene Zugänge für Dritte anlegen. Die meisten Dienste unterstützen das – als Benutzerrollen, Mitarbeiterkonten oder Gastkonten.

Was das konkret bedeutet:

Bei Cloud-Diensten wie Google Workspace, Microsoft 365, Dropbox oder OneDrive kannst du Personen einladen, ohne ihnen dein Passwort zu geben. Sie erhalten einen eigenen Zugang mit eigenen Anmeldedaten – und du kannst diesen Zugang jederzeit entziehen.

Bei Website-Systemen wie WordPress gibst du Mitarbeitern eigene Benutzerkonten mit definierten Rollen (Redakteur, Autor, Administrator). Niemals die Admin-Zugangsdaten weitergeben.

Bei Buchhaltungssoftware prüfe, ob ein Steuerkonsultanten-Zugang oder ein Lesezugriff möglich ist – viele moderne Programme bieten das.

Das Prinzip der minimalen Rechte

Wer Zugang bekommt, sollte nur die Rechte haben, die er für seine konkrete Aufgabe braucht – nicht mehr. Das klingt bürokratisch, ist aber einfach umzusetzen:

  • Der Subunternehmer, der einen Projektordner bearbeitet, braucht keinen Zugang zum gesamten Cloud-Speicher.
  • Der Steuerberater, der Belege prüft, braucht kein Schreibrecht in der Buchhaltungssoftware.
  • Der Webdesigner, der eine neue Seite anlegt, braucht keinen Datenbankzugang.
  • Der IT-Dienstleister, der ein Problem behebt, braucht vielleicht nur temporären Zugang zu einem einzigen System.

Die praktische Frage bei jedem neuen Zugang: Was ist das Minimum, das diese Person braucht, um ihre Aufgabe zu erledigen?

Temporäre Zugänge und Ablaufdaten

Manche Zugänge sind dauerhaft nötig – der Steuerberater braucht das ganze Jahr Zugang zur Buchhaltung. Andere sind zeitlich begrenzt – der Webdesigner braucht Zugang während des Projekts, danach nicht mehr.

Für zeitlich begrenzte Zugänge gilt: Lege beim Einrichten des Zugangs auch fest, wann er endet. Manche Dienste erlauben das direkt – Gastlinks mit Ablaufdatum, temporäre Einladungen. Wo das nicht möglich ist, trage dir im Kalender ein, wann du den Zugang wieder entziehst.

Wichtig: Warte nicht auf den anderen. Wenn ein Projekt endet oder eine Zusammenarbeit ausläuft, entziehe den Zugang aktiv – nicht irgendwann, sondern am Tag der Beendigung. Die meisten Zugänge werden nicht bösartig missbraucht – aber sie können es werden, wenn das Konto des Dritten später kompromittiert wird.

Offboarding – der oft vergessene Schritt

Das Onboarding ist selbstverständlich: Du richtest den Zugang ein, erklärst, was gebraucht wird, und die Zusammenarbeit beginnt. Das Offboarding passiert dagegen oft gar nicht – oder zu spät, wenn man sich zufällig daran erinnert.

Eine einfache Offboarding-Checkliste für das Ende jeder Zusammenarbeit:

  1. Zugang zu allen Diensten und Systemen entziehen
  2. Geteilte Passwörter ändern (falls doch welche geteilt wurden)
  3. Zugangslinks und Einladungen widerrufen
  4. Bei geteilten Cloud-Ordnern: Freigabe entfernen, nicht nur den Nutzer informieren
  5. Dokumentieren: wann wurde der Zugang entzogen?

Wer mehrere Subunternehmer oder Dienstleister hat, sollte eine einfache Liste führen: Wer hat aktuell Zugang zu was? Diese Liste kostet fünf Minuten und spart im Ernstfall Stunden.

Der Steuerberater-Sonderfall

Steuerberater brauchen regelmäßig Zugang zu Finanzdaten – Belege, Buchungen, manchmal auch direkt in der Buchhaltungssoftware. Das ist nicht vermeidbar, aber gestaltbar.

Konkrete Empfehlungen:

  • Nutze die Freigabefunktion deiner Buchhaltungssoftware statt rohe Datei-Exporte per E-Mail zu verschicken. Moderne Programme wie Lexoffice, sevDesk oder FastBill haben Steuerberaterzugänge eingebaut.
  • Wenn du Belege als Dateien weitergibst: nutze einen verschlüsselten, freigegebenen Ordner statt E-Mail-Anhänge. E-Mails mit Finanzdaten sind nicht verschlüsselt und bleiben in der E-Mail-Historie beider Seiten.
  • Prüfe mit deinem Steuerberater, ob ein DATEV-Unternehmen-Online-Zugang sinnvoll ist – das ist ein standardisierter, sicherer Kanal für den Datenaustausch mit Steuerkanzleien.

Fernzugriff durch IT-Dienstleister

Wenn ein IT-Dienstleister Wartungsarbeiten durchführt oder ein Problem behebt, braucht er in der Regel temporären Zugang zu deinem System. Das ist normal – aber auch hier gibt es sichere und unsichere Wege.

Unsicher: Du gibst dem Dienstleister dein Admin-Passwort. Er loggt sich ein, macht seine Arbeit, und das Passwort bleibt dasselbe.

Sicherer: Der Dienstleister nutzt eine dedizierte Fernzugrifflösung (TeamViewer, AnyDesk, Windows Remote Assistance) mit einer Sitzungs-ID, die du aktiv freigibst und nach der Sitzung wieder sperrst. Du siehst in Echtzeit, was er tut.

Am sichersten: Ein eigenes Konto für den Dienstleister mit Administratorrechten, das nach Abschluss der Arbeit deaktiviert oder gelöscht wird.

Niemals: Fernzugriff gewähren auf Anfrage von jemandem, den du nicht aktiv kontaktiert hast. „Microsoft-Support" ruft nicht an und bittet um Fernzugriff – das ist immer ein Betrugsversuch.

Checkliste: Zugang für Dritte

  • Ich gebe keine eigenen Zugangsdaten an Dritte weiter – stattdessen richte ich separate Konten ein.
  • Dritte erhalten nur die Rechte, die sie für ihre konkrete Aufgabe brauchen.
  • Ich führe eine einfache Liste: Wer hat aktuell Zugang zu was?
  • Zeitlich begrenzte Zugänge haben ein Ablaufdatum oder einen Kalendereintrag zum Widerrufen.
  • Bei Beendigung einer Zusammenarbeit entziehe ich den Zugang aktiv am selben Tag.
  • Geteilte Passwörter werden nach Beendigung der Zusammenarbeit geändert.
  • Den Steuerberater-Zugang habe ich über die Freigabefunktion meiner Buchhaltungssoftware eingerichtet, nicht über E-Mail-Anhänge.
  • IT-Fernzugriff gewähre ich nur aktiv und gezielt – nie auf unaufgeforderte Anfrage.