De vergeten kwetsbaarheid: beheeraccounts in je netwerk en cloud

Door /

Waarom accounts met rechten een groot risico vormen

Recente incidenten tonen duidelijk aan dat de grootste kwetsbaarheid in veel organisaties niet extern, maar intern ligt: beheeraccounts en gebruikers met te brede rechten. Criminelen richten zich steeds vaker op deze accounts om binnen te dringen.

Zo leidde in 2025 een wachtwoord-spray aanval via een blootgestelde RDP-server tot de inzet van RansomHub ransomware. Dit illustreert hoe één onbeveiligd admin-account volledige toegang kan bieden.

Ook in februari 2025 werd een China-gerelateerd botnet gebruikt om Microsoft 365-accounts aan te vallen via wachtwoord-spraying op legacy-accounts die geen MFA vereisten.

Beheeraccounts: veel rechten, weinig toezicht

Beheeraccounts – zoals AD-admin, M365 Global Admin, RDP-accounts en SaaS-superusers – zijn extreem gevoelig en veelal:

  • Gedeeld tussen meerdere personen of niet gekoppeld aan een persoon
  • Zonder MFA geconfigureerd
  • Niet onderworpen aan loganalyse of access review

Een recent rapport laat zien dat in 2024 48 % van de datalekken voortkwam uit kwetsbaarheden bij derden, inclusief onbeperkt toegang via beheerdersaccounts.

Ook ‘gewone’ gebruikers liggen op de loer

Niet alleen admin-accounts zijn riskant. Gebruikers met uitgebreide rechten vormen een sluipend gevaar, bijvoorbeeld:

  • Toegang tot bedrijfsdata mappen of SaaS-beheer
  • Machtigingen binnen SharePoint of Teams
  • Lokale beheerders op werkstations

Deze accounts worden vaak niet verwacht in scans, maar zijn zeer effectief voor privilege escalation bij aanvallen.

Concrete incidenten in 2024–2025 bevestigen dit

  • RansomHub-aanval via RDP (2025) – bleek mogelijk door één onbeveiligd beheerdersaccount.
  • Microsoft-compromise (januari 2024) door een legacy testtenant-admin met zwak wachtwoord.
  • Botnet door brute-force op M365 legacy accounts (feb 2025) – legt bloot dat zonder MFA zelfs zakelijke accounts kwetsbaar zijn .

Zo voorkom je misbruik: pak het structureel aan

Er is meer nodig dan een firewall. Een volwassen IAM-aanpak bevat:

  1. Volledige inventarisatie van alle accounts met verhoogde rechten (on-prem, cloud, SaaS).
  2. Least privilege design: segmentatie via RBAC of ABAC.
  3. MFA verplicht stellen op ALLE beheerdersaccounts én poweruser-accounts.
  4. Logging en alerting bij gebruik van verhoogde rechten, zelfs buiten werktijd.
  5. Periodieke hercertificering: wie heeft nog toegang, met welke rechten en waarom?

Dit onderwerp is urgent omdat…

  • Kaderwerk (NIS2, ISO 27001, CIS Controls) stelt expliciete eisen aan privileged access management.
  • Cyberverzekeraars eisen vaak MFA en grondige logging voor admins.
  • Ketenpartners en klanten vragen steeds vaker om bewijs van secure IAM-processen.

Een enkele kwetsbare beheeraccount kan een organisatie volledig onderuithalen – ondanks actieve firewalls en beleid.

CyScientia helpt organisaties grip te krijgen op IAM

We bieden onafhankelijke access-audits en ontwikkelen volwassen IAM beleid dat past bij jouw infrastructuur:

  • Audits van AD, M365 en SaaS adminrechten
  • Ontwerpen voor RBAC/ABAC beleid en admin-reductie
  • Verplichte MFA-strategieën, hardening van toegangspunten
  • Awareness-sessies voor beheerders en key users
  • Monitoring en inrichting van privilege-logs

Test je huidige status: vraag de IAM quickscan

Vraag de IAM-quickscan aan: in één sessie brengen we je beheerdersset-up in kaart, identificeren we risico’s en ontvang je een direct verbeterplan met prioriteiten.

of mail naar

Scroll naar boven