Nmedia - Fotolia

Privilegierte Accounts: Mehr Zugriff, höhere Gefahr

Privilegierte Benutzerkonten sind ein beliebtes Hacking-Ziel, gewähren sie Angreifern doch weitreichende Rechte. Daher benötigen entsprechende Accounts speziellen Schutz.

Mehr als die Hälfte der Unternehmen in Deutschland (53 Prozent) ist in den vergangenen Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl geworden – so das Ergebnis einer aktuellen BITKOM-Studie. Der Branchenverband hat 1069 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen befragt und ermittelt, dass deutschen Unternehmen dadurch ein Schaden von rund 55 Milliarden Euro pro Jahr entsteht.

Besonders erschreckend: Die Täter sind besonders häufig aktuelle oder ehemalige Mitarbeiter. Bei 62 Prozent der Unternehmen, die in den vergangenen zwei Jahren von Hacks betroffen waren, waren die eigenen oder früheren Angestellte verantwortlich für Spionage, Sabotage oder Datendiebstahl, so die Studie. Dabei galt stets: Je mehr Zugriff die Betreffenden hatten, desto größer war der Schaden.

Doch es müssen nicht immer die eigenen Mitarbeiter sein. Genauso werden Angreifer von außen versuchen, an die Zugriffsdaten von privilegierten Accounts zu gelangen, weil ihnen diese schlichtweg mehr Türen öffnen.

In den meisten Unternehmen gibt es eine Vielzahl an privilegierten Benutzerkonten. Das sind zum einen Administrator-Accounts, zum anderen Benutzerkonten, die hochverfügbaren Services zugrunde liegen und daher spezielle Berechtigungen haben. Auch Lieferanten oder Dienstleister verwalten und warten oft von Remote. Sie alle haben Superuser-Zugriff auf wichtige Daten und werden zunehmend als Einfallstor für Datensabotage oder -diebstahl missbraucht.

Es beginnt mit den Nutzerkonten

Es drängt sich eine zentrale Frage auf: Wer kontrolliert diese Superuser – und wie? Dafür braucht es spezielle Lösungen für Privileged Access Management (PAM) beziehungsweise. Privileged Identity Management (PIM). Der erste Schritt ist hier die Verwaltung von Passwörtern und Anmeldeinformationen. Unternehmen müssen erfassen, wann und wie diese verwendet oder geändert werden. Strenge Authentifizierung kann durch ein netzwerkbasiertes Gateway wie Active Directory, LDAP-Verzeichnisse oder sogar RADIUS oder TACACS+, dass in vorhandene Identity-Management-Speicher integriert ist, erzwungen werden.

Sind privilegierte Accounts durch eine Mehrfaktor-Authentifizierung abgesichert, haben es Angreifer wesentlich schwerer. Ein Privileged-Access-Management-System kann automatisiert Passwörter und Schlüsselpaare verschlüsselt in einer Art „Safe“ speichern, aktiv verwalten und anhand von definierten Standards ändern. Eine zusätzliche Verwendung von Single Sign-On steigert das Sicherheitsniveau zusätzlich.

Richtlinien geben den Rahmen

Doch die Lösungen reichen noch weiter in das Management der Accounts hinein. Ob im Data Center, der Cloud oder einer SaaS-Anwendung – privilegierte Nutzerinformationen lassen sich über alle hybriden IT-Umgebungen hinweg automatisiert kontrollieren. Voraussetzung dafür: etablierte Richtlinien, die bestimmen, welche Aktivitäten legitim, risikoreich oder fehleranfällig sind oder was auf keinen Fall passieren darf.

Wie und zu welchem Zweck dürfen beispielsweise allgemeine administrative Konten wie „root“ oder „Administrator“ verwendet werden? Sie geben auch die Einschränkungen vor, die den Systemzugriff als Startpunkt für Angriffe auf andere Systeme verhindern sollen. Sind diese Regeln festgelegt, hat man einen Bezugspunkt für die Steuerung, Überwachung und Aufzeichnung des individuellen oder administrativen Benutzerzugriffs. Erst, wenn man weiß, wie ein Anwender seinen privilegierten Zugang nutzt, kann man unerlaubten Systemzugriff oder die Ausführung von Systemkommandos proaktiv verhindern.

Audit, Kontrolle und Protokolle

Zero Trust Access Control trennt die Authentifizierung vom Zugriff auf das zu schützende System. Die Sessions werden per Proxy oder Broker zwischen dem Privileged-Access-Management-System und den verwalteten Ressourcen vermittelt. Damit wird die Autorität von Personen über ein System auf festgelegte Befehle begrenzt und gesteuert. So wird ausgeschlossen, dass ein Superuser seine Berechtigungen oder seine Zugriffsmöglichkeiten selbst erhöht. Hostbasierte Agenten gehen hier noch weiter als das systemeigene Access-Control-Schema: Sie schränken den Zugriff ein und überwachen Dateien auf Veränderungen.

Ebenso wichtig ist eine Protokollierung der Aktionen. Auch hier gilt es, Richtlinien festzulegen: Was muss wie oft und unter welchen Umständen überprüft und protokolliert werden? Und wer soll das tun? Diese zeitnahe Aufzeichnung hilft nicht nur bei der Problembehebung. Warnungen bei Regelverstößen können auch Schlimmeres verhindern. Besser ist es noch, wenn die Protokolle über ein SIEM-System (Security Information and Event Management) im Kontext anderer Aktivitäten analysiert werden, denn so kann eine Kompromittierung sofort verhindert werden.

 „Eine wirksame Sicherheitsstrategie für Unternehmensdaten muss immer ganzheitlich sein. Neben den technischen Komponenten muss sie auch die menschliche Qualitätskontrolle beinhalten.“

Sven Mulder, CA Technologies

Wichtig in Zeiten der Cloud: Privilegierte Konten stellen für Unternehmen ein deutlich höheres Risiko dar, wenn sie auf virtuelle und Cloud-Plattformen zugreifen. Eine virtuelle Plattform beziehungsweise Cloud betreibt im Gegensatz zu traditionellen physikalischen Servern meist mehrere Anwendungen. Eine Integration der PAM-Lösung in entsprechende Plattformen beziehungsweise Cloud-Anbieter und SaaS-Applikationen ist daher unabdingbar.

Holistisches Sicherheitskonzept wichtig

Für Unternehmen sind beim Management privilegierter Accounts drei Maßnahmen ganz entscheidend: Der permanente Schutz von Anmeldeinformationen, die Authentifizierung von Anwendern mit entsprechender Sicherheit und die Kontrolle über ihre Verhaltensweisen und Maßnahmen. Effektive Kontrollmechanismen sind wichtig, um privilegierte Accounts und ihre Zugriffe kontinuierlich zu verwalten und zu überwachen. Diese lassen sich beschleunigen, automatisieren und vereinfachen, indem privilegierten Anwendern der Zugriff über ein schnelles Single Sign-On und über Federated Identity ermöglicht wird.

Eine wirksame Sicherheitsstrategie für Unternehmensdaten muss immer ganzheitlich sein. Neben den technischen Komponenten muss sie auch die menschliche „Qualitätskontrolle“ beinhalten. Viele Unternehmen haben umfassende Maßnahmen ergriffen, um sich besser gegen Angreifer zu schützen. Einen technischen Basisschutz wie Passwörter, Firewalls, Virenscanner und regelmäßige Backups sind inzwischen gang und gäbe.

Anspruchsvollere Maßnahmen werden dagegen selten ergriffen, wie die eingangs zitierte BITKOM-Studie zeigt: Nur 43 Prozent setzen demnach auf Sicherheitszertifizierungen und nur 24 Prozent auf regelmäßige Sicherheits-Audits durch externe Spezialisten. Großen Nachholbedarf gibt es im Bereich der personellen Sicherheit. Nur sechs von zehn Unternehmen (58 Prozent) führen Background-Checks bei Bewerbern für sensible Positionen durch, nur jedes zweite hat einen Sicherheitsverantwortlichen benannt (54 Prozent) oder schult Mitarbeiter zu Sicherheitsthemen (53 Prozent) – eine Lage, die sich angesichts zunehmender Cyberbedrohungen in Zukunft ändern muss.

Über den Autor:
Sven Mulder ist General Manager und Vice President Central Europe, Southern East and Russia bei CA Technologies.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Mit privilegierten Benutzerkonten richtig umgehen

Die Sicherheit erhöhen und privilegierte Accounts begrenzen

Risikofaktor privilegierte Nutzerkonten in der Cloud

Artikel wurde zuletzt im August 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close