Security-Problematik privilegierter Pfade

Administrator- und Dienstkonten als Risiko für die Netzwerksicherheit

Netzwerksicherheit
LinkedInRedditWhatsAppPocket

Mit ihren weitreichenden Berechtigungen, statischen Anmeldedaten und uneingeschränkten Anmelderechten gehören Administrator- und Dienstkonten zu den leistungsstärksten Ressourcen im Netzwerk – und zu den am schwierigsten zu schützenden.

Laut einer Studie von IBM waren fast ein Drittel aller Cybervorfälle im Jahr 2024 identitätsbasierte Angriffe, bei denen gültige Konten verwendet wurden. Die Verwaltung von Zugriffsrechten ist jedoch bekanntermaßen komplex, sodass diese Konten oft Sicherheitslücken hinterlassen, die groß genug sind, dass Angreifer sie ausnutzen können.

Anzeige

Kay Ernst von Zero Networks erklärt, warum privilegierte Konten so anfällig sind, wie Angreifer Schwachstellen ausnutzen und wie Unternehmen diese sichern können, ohne den Betriebsaufwand oder den manuellen Arbeitsaufwand zu erhöhen.

Was sind privilegierte Konten?

Ein privilegiertes Konto ist jede Identität – menschlich oder maschinell – mit erhöhten Zugriffsrechten auf Systeme, Daten oder Verwaltungsfunktionen. Diese Konten sind der Schlüssel zum Königreich und ermöglichen es Benutzern oder Anwendungen, Einstellungen zu konfigurieren, Identitäten zu verwalten und auf sensible Umgebungen zuzugreifen. Privilegierte Konten gibt es in unzähligen Kategorien, aber einige der häufigsten sind Admin- und Dienstkonten.

Admin-Konten

Anzeige

Diese Konten gewähren Benutzern erweiterte Berechtigungen für Betriebssysteme, Anwendungen oder die Infrastruktur, oft mit lokalen oder Domain-weiten Administratorrechten. Admin-Konten werden routinemäßig für Wartungsarbeiten, Patches oder IT-Support verwendet, aber aufgrund ihrer weitreichenden Berechtigungen sind Admin-Konten immer nur einen Schritt davon entfernt, Angreifern einen Allzugang zum Netzwerk zu verschaffen.

Service-Accounts/Dienstkonten

Dienstkonten sind nicht-menschliche Identitäten, die für Verbindungen zwischen Maschinen verwendet werden und Anwendungen und Diensten die Interaktion mit anderen Systemen ermöglichen. Sie sind für die Automatisierung von Geschäftsprozessen unerlässlich, werden jedoch bei Sicherheitsaudits oft übersehen – viele verfügen über statische Anmeldedaten, umfangreiche Berechtigungen und laufen rund um die Uhr, was sie zu einem heimlichen Angriffsvektor macht.

Domain-Controller

Domain-Controller (DCs) verwalten die Authentifizierung und Autorisierung in Active Directory (AD)-Umgebungen. Sie sind eine Kernkomponente der Identitätsinfrastruktur und werden häufig über privilegierte Konten verwaltet.

Privilegierte Benutzerkonten

Diese breitere Kategorie umfasst IT-Mitarbeiter, Entwickler, Systemarchitekten und sogar Auftragnehmer mit erhöhten Zugriffsrechten auf Produktionsumgebungen, Datenbanken oder Cloud-Workloads. Diese Benutzer sind zwar nicht unbedingt Domain-Administratoren, verfügen jedoch häufig über weitreichende Zugriffsrechte auf Systeme und Dienste.

Risiken privilegierter Konten: Herausforderungen bei der Sicherung von Administrator- und Dienstkonten

Forrester zufolge betreffen mindestens 80 Prozent aller Datenverletzungen privilegierte Konten – aber warum? Sie umgehen häufig Standard-Sicherheitskontrollen und nutzen ihre erweiterten Berechtigungen, um sich frei im Netzwerk zu bewegen. Mit anderen Worten: Privilegierte Konten sind eine Goldgrube für laterale Bewegungen – und sie sind in der Regel schwer effektiv zu sichern.

Administrator- und Dienstkonten machen Unternehmen aufgrund folgender Herausforderungen anfällig:

  • Übermäßige Berechtigungen und fortlaufende Anmeldeberechtigungen: Viele Dienstkonten verfügen über übermäßige Berechtigungen als Domain-Administrator oder unternehmensweiten Zugriff, die für den Betrieb nicht erforderlich sind. Ebenso sind Administratorkonten mit ausstehenden Anmeldeberechtigungen ein bevorzugtes Ziel für Angreifer mit gestohlenen Anmeldedaten. Sobald diese übermäßigen Berechtigungen einmal eingerichtet sind, werden sie selten überprüft oder widerrufen.
  • Hindernisse bei der Überwachung und Prüfung: Da Dienstkonten nicht von Menschen betrieben werden und in der Regel im Hintergrund laufen, sind sie bekanntermaßen schwer zu überwachen. Die Aktivitäten von Administrator- und Dienstkonten vermischen sich oft mit legitimen Netzwerkaktivitäten, was die Erkennung potenzieller Bedrohungen erschwert.
  • Seltene Passwortänderung: Selbst im besten Fall werden die Anmeldedaten von Dienstkonten in der Regel nur vierteljährlich aktualisiert, wobei jährliche Aktualisierungen eher die Norm sind. Einige Unternehmen entscheiden sich aufgrund von betrieblichen Schwierigkeiten dafür, Anmeldedaten für Dienstkonten ohne Ablaufdatum festzulegen.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Wie Angreifer privilegierte Konten ausnutzen

Nachdem sie sich einen ersten Zugang zum Netzwerk verschafft haben, suchen Angreifer sofort nach privilegierten Konten. Sie wissen, dass sie mit den richtigen Anmeldedaten ihre Berechtigungen erweitern und sich ungehindert seitlich bewegen können.

Zu den gängigen Angriffstechniken, die von kompromittierten privilegierten Konten verwendet werden, gehören:

  • Living off the Land: Verwendung nativer Tools wie PowerShell und WMI, um sich unbemerkt im Netzwerk zu bewegen
  • Credential Dumping: Extrahieren gespeicherter Hashes oder Klartext-Passwörter
  • Pass-the-Hash oder Pass-the-Ticket: Wiederverwenden gestohlener Anmeldedaten
  • Service-Account-Hijacking: Missbrauch falsch konfigurierter oder unüberwachter Dienstkonten, um auf weitere Systeme zuzugreifen

Sobald ein privilegiertes Konto kompromittiert ist, können Angreifer Sicherheitskontrollen deaktivieren, Daten exfiltrieren, Ransomware einsetzen oder Domain-Controller kompromittieren. Das alles kann erfolgen, während die Angreifer als legitime Benutzer erscheinen.

Sichern von Administrator- und Dienstkonten: Best Practices

Das Sperren privilegierter Konten erfordert mehr als nur Passwort-Hygiene und Audits. Es erfordert proaktive Echtzeitkontrollen, die sowohl einschränken, wer sich anmelden kann, als auch, was Konten tun können.

MFA auf Netzwerkebene anwenden

Herkömmliche MFA schützt Anmeldeportale auf der Anwendungsebene, sodass viele Ressourcen innerhalb des Netzwerks ungeschützt bleiben. MFA auf Netzwerkebene erzwingt eine Just-in-Time-Identitätsprüfung, sobald privilegierte Konten versuchen, auf sensible Systeme zuzugreifen. Auf diese Weise bleiben privilegierte Ports geschlossen, bis der Zugriff in Echtzeit überprüft wurde, wodurch übermäßige Administratorrechte vermieden werden.

Erzwingen des Zugriffs mit geringsten Rechten durch Identitätssegmentierung

Durch die Beschränkung des Zugriffs auf der Grundlage der genehmigten Aktionen eines Kontos oder der erforderlichen Ressourcen und Anmeldetypen erzwingt die Identitätssegmentierung automatisch den Zugriff mit geringsten Rechten und beschränkt Administrator- und Dienstkonten auf das für den legitimen Geschäftsbetrieb erforderliche Maß. Dadurch werden Passwortrotationen und übermäßige Berechtigungen weitgehend überflüssig und viele Angriffsvektoren wie Pass the Ticket, Golden Ticket, Kerberoasting und andere Angriffe zur Sperrung lateraler Bewegungen eliminiert.

Automatische Erkennung von Dienstkonten

Dienstkonten verursachen häufig Schwachstellen, die unnötige Risiken mit sich bringen. Lösungen, die das gesamte Netzwerkverhalten überwachen, können Dienstkonten automatisch erkennen und kategorisieren, sodass Unternehmen ohne zusätzlichen manuellen Aufwand vollständige Transparenz über die Aktivitäten von Dienstkonten erhalten.

Schutz privilegierter Protokolle

Protokolle wie RDP, SMB und SSH, die für den Fernzugriff auf Systeme verwendet werden, werden häufig als Vektoren für laterale Bewegungen ausgenutzt. Unternehmen sollten diese Ports standardmäßig schließen und sie nur nach Überprüfung des Zugriffs mit Echtzeit-MFA öffnen.

Missbrauch privilegierter Konten stoppen mit Zero Networks

Automatisierte Mikrosegmentierung macht es einfach, den Missbrauch privilegierter Konten ohne manuelle Konfigurationen oder Betriebsunterbrechungen zu stoppen. Sie segmentiert automatisch Administrator- und Dienstkonten, um den Zugriff basierend auf Rolle und Verhalten zu beschränken. Sie wendet MFA auf Netzwerkebene auf privilegierte Protokolle und Systeme an und entzieht gestohlenen Anmeldedaten ihre Macht. Ebenso erkennt sie Dienstkonten und beschränkt sie auf den notwendigen Zugriff und erzwingt dynamisch identitätsbasierte Kontrollen, die sich mit der Umgebung weiterentwickeln. Somit stoßen Angreifer selbst dann auf eine Mauer, wenn ein privilegiertes Konto kompromittiert wurde.

Autor: Kay Ernst, Zero Networks


Anzeige

Artikel zu diesem Thema

Endpoint Security im Wandel

Weitere Artikel

Trickbetrüger nehmen gezielt junge Smartphonenutzer ins Visier
Risikofaktor Wechselkurs: Mit KI zu mehr Sicherheit im Finanzmanagement
Warum Unternehmen neue Cyber-Resilienz-Strategien brauchen
Cyber Security Divide im Mittelstand
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.