Privileged Account Security: Insider- und Cyberattacken abwehren

Lösungen für Privileged Account Security helfen, privilegierte Benutzerkonten zu verwalten und zu überwachen. Das nutzt der Sicherheit und Compliance.

Sowohl Cyberattacken als auch Insider-Angriffe sind häufig auf eine missbräuchliche Nutzung privilegierter Benutzerkonten zurückzuführen. Ohne eine strikte Vergabe und Überwachung von IT-Berechtigungen sind Unternehmen hier potenziellen Angreifern schutzlos ausgeliefert. Eine Schutzmöglichkeit sind Lösungen im Bereich Privileged Account Security (PAS) beziehungsweise Privileged Identity Management (PIM).

Administrative Zugänge sind in vielen Unternehmen eine zentrale Schwachstelle in der IT geworden – und das Gefahrenpotenzial steigt. Privilegierte Accounts werden zunehmend als Einfallstor für Datensabotage oder -diebstahl genutzt, nicht nur bei Insider-, sondern auch bei gezielten Cyberattacken. 

Es hat sich dabei auch gezeigt, dass die klassische Perimeter-Sicherheit mit der Nutzung von Firewalls, Antiviren-Scannern oder Webfilter-Techniken heute keinen ausreichenden Schutz mehr vor externen Angriffen bietet.

Jochen Koehler,
Regional Director DACH,
CyberArk

Die Herausforderungen sind vielfältig

Die Verwaltung privilegierter Benutzerkonten ist prinzipiell keine einfache Aufgabe, da eine typische IT-Umgebung aus Hunderten oder Tausenden von Servern, Datenbanken und Netzwerkgeräten besteht. Die werden über persönliche, häufig aber auch über generische, manchmal sogar lokale Admin-Accounts gesteuert und verwaltet. 

Die Sicherung und Überwachung der IT-Berechtigungen ist unverzichtbar, weil das damit verbundene Risiko sehr hoch ist. Über die privilegierten Benutzerkonten ist ein uneingeschränkter Zugriff auf Unternehmenssysteme möglich. 

Das heißt, wer Zugang zu einem privilegierten Benutzerkonto erhält, kann Unternehmensressourcen kontrollieren, Sicherheitssysteme ausschalten und auf vertrauliche Daten zugreifen.

Unter Sicherheitsaspekten problematisch sind vor allem die von mehreren Personen genutzten Shared Accounts, zum Beispiel Administratoren- und Dienste-Konten in Windows, lokale privilegierte Konten auf Desktops, Root-Konten in Unix/Linux, root in ESX, system/sys in Oracle-Datenbanksystemen oder sa in MS SQL. 

Hier kann nicht kontrolliert werden, welche Person sich wann und wozu mit einem solchen Konto verbunden hat. Das heißt, der Zugriff findet völlig anonym statt und bietet damit einen großen Handlungsspielraum etwa für einen unzufriedenen Mitarbeiter.

Auch in Software eingebettete User-Konten, die beispielsweise für den Datenbankzugriff einer Anwendung benötigt werden, sind eine ernst zu nehmende Sicherheitslücke. Da diese Application Accounts meistens sehr hohe Privilegien benötigen, bieten sie eine unerkannte Zugriffsmöglichkeit auf unternehmenskritische Datenbestände – und zwar für sehr viele Nutzer wie Datenbankadministratoren oder Anwendungsentwickler.

Leistungsmerkmale einer zukunftsweisenden PAS-Lösung

Diese vielfältigen Herausforderungen lassen sich mit einer Applikation begegnen, die speziell auf die Risiken im Zusammenhang mit privilegierten Benutzerkonten zugeschnitten ist. 

Herkömmliche Management-Lösungen wie Syslog-Datenanalysen sind dafür nicht geeignet, da sie nicht die Möglichkeit bieten, die mit Shared Accounts verbundenen Aktivitäten einem Einzelbenutzer zuzuordnen. Mit Lösungen für Privileged Account Security können privilegierte Zugriffe auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert werden.

Eine PAS-Sicherheits-lösung muss drei Leistungs-merkmale bieten: Zugriffskontrolle, Überwachung und Reaktions-möglichkeit.

Zur Sicherung der privilegierten Accounts sind heute verschiedenste PAS-Lösungsvarianten auf dem Markt. Bei der Auswahl sollten Unternehmen auf jeden Fall darauf achten, dass die Lösung neben einer regelmäßigen, automatischen Änderung der Server-, Datenbank- und Netzwerk-Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit aller Aktivitäten bietet. 

Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat. Sie erlauben auch den Nachweis, auf welche Daten ein Account zugreift und was er mit diesen Informationen macht. Dabei sollten alle Aktionen vom Zeitpunkt der Anmeldung am System bis zur Abmeldung revisionssicher aufgezeichnet werden.

Im Einzelnen muss eine PAS-Sicherheitslösung drei Leistungsmerkmale bieten: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Grundvoraussetzung ist, dass die Anwendung eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Unternehmenssysteme enthält. 

Zudem muss eine vollständige Überwachung der Nutzung privilegierter Accounts gewährleistet sein. Nur dadurch können Unternehmen irreguläre oder gefährliche Aktivitäten identifizieren. Nicht zuletzt muss eine PAS-Lösung natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen ermöglichen – sei es durch den Entzug von privilegierten Zugriffsberechtigungen oder durch das Beenden einer aktiven Verbindung.

Echtzeit-Analytik bietet zusätzliche Sicherheit

Wenn man erkennen muss, dass sich nicht alle Angriffe verhindern lassen, ist es besser, eine gute Strategie in der Prävention, aber eine sehr gute in der Entdeckung von Angriffen zu haben. Deshalb machen einige Hersteller von PAS-Lösungen neuerdings auch mit so genannten Threat-Analytics-Komponenten auf sich aufmerksam. 

Privilegierte Benutzerkonten sind per se eine zentrale Sicherheitslücke der IT.

Diese ermöglichen eine permanente Überwachung der (durchaus berechtigten) Nutzung aller bereits mit PAS verwalteten privilegierten Konten. Über intelligente Mechanismen wird so jede verdächtige Aktivität aufgespürt, die vom Normalverhalten eines Nutzers abweicht. 

Typische verdächtige Eigenschaften sind abweichende Zugriffszeiten oder ungewöhnliche Anhäufungen von Zugriffen. Das kann aber auch ein Verbindungsaufbau zu einem privilegierten Konto sein, der von einer ganz anderen als der üblichen Quelle erfolgt.

Sicherheitsverantwortliche erhalten mit einer solchen Lösung zielgerichtete Bedrohungsanalysen in Echtzeit, auf deren Basis sie auch auf laufende Angriffe reagieren können. Damit lassen sich solche Attacken stoppen, bevor sie Schaden im Unternehmen anrichten. 

Außerdem wird mit einer solchen Lösung die Effektivität von SIEM-Systemen (Security Information and Event Management) nachhaltig erhöht, indem durch intelligent aufbereitete Informationen beispielsweise auch die Zahl der Fehlalarme reduziert wird. Ganz nebenbei werden so auch kritische User-Konten entdeckt, die noch nicht in die PAS-Lösung integriert worden sind.

Fazit

Insgesamt betrachtet sind privilegierte Benutzerkonten per se eine zentrale Sicherheitslücke der IT. Das ist inzwischen auch weitgehend bekannt. An einer Lösung im Bereich Privileged Account Security, die einen gezielten Schutz dieser Konten bietet, führt deshalb kein Weg vorbei. 

Und die damit verbundenen Vorteile sind weitreichend: von der generellen Erhöhung der Sicherheit über die zuverlässige Erfüllung von Compliance-Anforderungen bis zur Reduzierung des Administrationsaufwandes. Das trägt nicht zuletzt auch zu einer nachhaltigen Kostensenkung bei.

Zentrale Vorteile einer PAS-Lösung

Erfüllung von Compliance-Anforderungen:

  • Umsetzung unternehmensinterner Passwort-Richtlinien
  • Erfüllung regulatorischer Vorgaben aus ISO 27002, IT-Grundschutzkatalogen, MaRisk, PCI-DSS oder SAS70/SSAE16
  • Abdeckung von Audit-, Revisions- und Wirtschaftsprüfer-Anforderungen

Prozessoptimierung und Effizienzsteigerung:

  • Automatische Verwaltung, Änderung und Überwachung privilegierter Accounts
  • Klare Prozesse und Approval-Workflows (4-Augen-Prinzip)
  • Workflow-Optimierung durch Konsolidierung von Art und Umfang der Zielsystem-Zugriffe

Erhöhung der Transparenz und Nachvollziehbarkeit:

  • Transparenz in der Systemnutzung (Personen, Zeitpunkt und Aktivitäten)
  • Lückenloses Session Recording
  • Überwachung externer Dienstleister (Cloud-Provider, Hoster etc.)

Über den Autor:
Jochen Koehler ist seit 2008 beim IT-Sicherheitssoftware-Spezialisten CyberArk beschäftigt. Als One-Man-Show gestartet, verantwortet er mit seinem inzwischen 16 Mitarbeiter großen Team die Region DACH. CyberArk hat in dieser Region über 100 Kunden aus allen Branchen, darunter viele namhafte Versicherungen, Banken, Pharma-, Automobil- und Energiekonzerne.

Vor seiner Tätigkeit bei CyberArk war Koehler sechs Jahre bei der cirosec GmbH beschäftigt, einem Beratungsunternehmen, das er 2002 mitbegründet und dort maßgeblich den Vertrieb aufgebaut hat.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

Artikel wurde zuletzt im November 2014 aktualisiert

Erfahren Sie mehr über IT-Sicherheitstraining und interne Bedrohungen

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close