Anzeige

Vertrauen ist gut, Kontrolle ist besser: Das Least-Privilege-Prinzip hilft Unternehmen, sich bestmöglich vor den Auswirkungen von Cyberangriffen und Insider Threats zu schützen.

Anfang Mai verschaffte sich die Hackergruppe DarkSide Zugang zu den Systemen der Colonial Pipeline im Osten der USA und legt diese für rund eine Woche lahm. Das Lösegeld, das der Konzern den Cyberkriminellen überwies, beträgt knapp 4,5 Millionen Dollar. Der Gesamtschaden, der durch Panikkäufe und Engpässe an Tankstellen entstanden ist, lässt sich hingegen kaum abschätzen. Wie Analysten von Mandiant nach ihrer Untersuchung berichten, war es ein ungenutzter VPN-Account ohne Multi-Faktor-Authentifizierung, über den die Hacker das Firmennetz infiltrieren konnten. 

Der Angriff auf die Colonial Pipeline belegt eindrucksvoll, welche zentrale Rolle die Verwaltung von Benutzerkonten und Zugriffsrechten für die IT-Security von Unternehmen spielt. Die Schadenswerte durch Ransomware-Attacken und ähnliche Vorfälle erreichen Jahr für Jahr neue Rekordwerte. Dabei gehören insbesondere Angriffe auf Basis von gestohlenen oder geleakten Zugangsdaten, sei es Phishing, Credential Stuffing oder Social Engineering, zu den beliebtesten Methoden von Cyberkriminellen.

Für Organisationen stellt sich inzwischen weniger die Frage, ob sie einem Angriff zum Opfer fallen werden, sondern wann und in welchem Ausmaß. Selbstverständlich muss das eigene Unternehmensnetzwerk auch weiterhin bestmöglich nach außen abgesichert werden. Gleichzeitig gilt es aber auch, die Auswirkungen im Fall einer erfolgreichen Attacke zu minimieren. Und da sich nicht vorhersagen lässt, auf welchem Weg bzw. über welchen Account Angreifer in das eigene System eindringen, stellt jedes Benutzerkonto ein potenzielles Sicherheitsrisiko dar.

Zum Schutz vor Missbrauch sollten User daher nur mit jenen Berechtigungen ausgestattet werden, die auch wirklich notwendig sind. Dieser Ansatz, auch als Least-Privilege-Prinzip oder Principle of Least Privilege (POLP) bezeichnet, zählt zu den Best Practices im Bereich der Cybersecurity und trägt maßgeblich dazu bei, Unternehmen vor Cyberangriffen ebenso wie Datendiebstahl zu schützen. Es ist ein wesentlicher Bestandteil der Zero Trust Architektur und findet sich in zahlreichen Sicherheitsstandards wie ISO 27001 oder dem BSI-IT Grundschutz wieder.
 

Ein Bild, das Person, drinnen enthält.

Automatisch generierte Beschreibung

Das Least-Privilege-Prinzip verhindert die Ausbreitung von Schadsoftware (Bild: beeboys)


Schaden und Risiko durch Least Privilege minimieren

Selbst bei der bestmöglichen Absicherung des eigenen Netzwerks kann niemals ausgeschlossen werden, dass ein Angreifer Zugang zu Firmensystemen erlangt. Etwa aufgrund einer neuen Zero-Day-Sicherheitslücke, eines unvorsichtigen Mitarbeiters oder weil ein verärgerter Angestellter selbst zum Insider Threat wird.

Egal wie es zu der Attacke kommt: Ist ein Account erstmal kompromittiert, werden die Berechtigungen des Kontos plötzlich zur Gefahr. Mit je mehr Privilegien ein Benutzer ausgestattet ist, desto größer ist das Risiko, dass Schadsoftware von diesem Account aus weitere Systeme infizieren und sich lateral ausbreiten kann. Ebenso steigt der mögliche Schaden durch Datendiebstahl, auf je mehr Dateien ein Angestellter Zugriff hat. Und Gelegenheit macht bekanntlich Diebe.

Der Überschuss an Zugriffsrechten, der in vielen Firmen besteht, kommt dabei meist nicht bewusst zustande. Überforderte IT-Abteilungen und kein klares Konzept für die Berechtigungsvergabe sorgen dafür, dass sich im Laufe der Zeit sowohl überflüssige Berechtigungen als auch technisch fragwürdige Zugriffstrukturen entwickeln. Bei der manuellen Verwaltung von Benutzern werden etwa nicht mehr benötigte Zugänge (Stichwort VPN) leicht vergessen.

Least Privilege in 3 Schritten umsetzen

Um Ordnung in das Chaos aus organisch gewachsenen Zugriffsrechten zu bringen, sind im Wesentlichen drei Schritte nötig. Allerdings ist die Implementierung von Least Privilege mit einem erheblichen organisatorischen Aufwand verbunden, der insbesondere mittelständische Organisationen vor eine große Herausforderung stellt. In diesem Segment haben sich schnell einsatzbereite Identity Access Management (IAM-) Lösungen wie tenfold bewährt. 

Unabhängig davon, für welche Lösung Sie sich entscheiden: Ohne passende Tools für Identity & Access Management, die dabei helfen Berechtigungsprozesse langfristig zu automatisieren, ist das Risiko groß, dass die Zugriffsrechte im Unternehmen nach einem aufwändigen Frühjahrsputz bald wieder im Chaos versinken.

1. Berechtigungen überprüfen und nicht notwendige Privilegien entfernen

Im Alltag benötigen Angestellte laufend neue Berechtigungen, um zusätzliche Aufgaben erledigen zu können. Allerdings wird meist kein Ablaufdatum für diese erweiterten Rechte festgelegt, wodurch es zum Privilege Creep, also der ständigen Ansammlung von neuen Privilegien, kommt. Gerade bei vorhersehbaren Abwesenheiten (Urlaub, Karenz, Fortbildung) hilft ein Werkzeug für das Festlegen von temporären Rechten dabei, Privilege Creep gar nicht erst entstehen zu lassen. 

Um auch die vorhandenen Zugriffsrechte auf das Mindestmaß zu reduzieren, muss zudem überprüft werden, welche Berechtigungen noch gebraucht werden. Admin-Rechte verdienen dabei besondere Aufmerksamkeit, da privilegierte Benutzerkonten im Fall eines Angriffs ein größeres Sicherheitsrisiko darstellen. Ein passendes Audit- oder Reporting-Tool verschafft Ihnen Überblick über den Status Quo an Zugriffsrechten, indem effektive Berechtigungen aus sämtlichen Systemen an einem Ort zusammengefasst werden.

2. Berechtigungen technisch korrekt umsetzen

Auch die Frage, wie Berechtigungen vergeben werden, ist für das Least Privilege Prinzip relevant. Direkte Berechtigungen auf Verzeichnisse sorgen etwa für Probleme, da diese nach Ablauf einzeln wieder entfernt werden müssen. Dabei werden veraltete Berechtigungen leicht übersehen. Um die Anpassung von Benutzerkonten einfacher und sicherer zu gestalten, hat sich die rollenbasierte Berechtigungsvergabe als Best Practice etabliert: Durch das Festlegen von Profilen werden Zugriffsrechte automatisch vergeben oder entzogen, wenn ein User zu einer Gruppe hinzugefügt oder daraus entfernt wird.

3. Regelmäßige Überprüfung von Zugriffsrechten

Sind die bestehenden Berechtigungen inhaltlich und technisch korrekt, gilt es durch regelmäßige Kontrollen dafür zu sorgen, dass es auch weiterhin dabei bleibt. Diese Rezertifizierung dient dazu, nicht mehr benötigte Rechte und Zugänge zeitnah zu entfernen, um keine Sicherheitslücken entstehen zu lassen. Ähnlich wie bei Updates hilft eine automatische Erinnerung dabei, dass keine Berechtigungen mehr vergessen werden.

Michael Ugrinovich, Senior Manager Products & Services
Michael Ugrinovich
Senior Manager Products & Services, tenfold
Michael Ugrinovich ist Senior Manager Products & Services beim Software-Hersteller tenfold. Der diplomierte IT-Experte war richtungsweisend an der Entwicklung des Standard-Software Produkts tenfold beteiligt.

Artikel zu diesem Thema

DarkSide
Aug 10, 2021

Die Rückkehr von DarkSide: Wettrüsten im Kampf um Daten

Nach dem verheerenden Cyberangriff auf Colonial Pipeline, der die Tankstellen entlang der…
BSI IT Grundschutz
Aug 10, 2021

BSI-IT-Grundschutz: Lohnt sich die Zertifizierung?

Mit dem IT-Grundschutz stellt das BSI einen umfangreichen Leitfaden zur Absicherung…
Hacker
Aug 05, 2021

Cyberangriffe: Mehr als 220 Milliarden Euro Schaden pro Jahr

Durch Diebstahl, Spionage und Sabotage entsteht der deutschen Wirtschaft jährlich ein…

Weitere Artikel

Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…
Facebook Hacker

Spionagekampagne gegen Kurden durch hinterhältige Facebook-Posts

ESET-Forscher haben eine mobile Spionagekampagne untersucht, die sich gezielt gegen Kurden richtet. Die Operation läuft mindestens seit März 2020 und verbreitet sich über spezielle Facebook-Profile. Hierüber werden zwei Android-Backdoors verteilt, die als 888…
Ransomware

Großteil der Unternehmen zweifelt an eigener Ransomware-Resilienz

Anhaltende Cyberbedrohungen und neue Technologien wie Cloud-native Anwendungen, Kubernetes-Container und Künstliche Intelligenz stellen Unternehmen weltweit bei der Datensicherung vor große Herausforderungen. Das zeigt der Dell Technologies 2021 Global Data…
Hacker E-Mail

E-Mail-Account gehackt – Was nun?

Was tun, wenn man die Kontrolle über das E-Mail-Konto verloren hat? Wie sollte man sich im Fall der Fälle verhalten und welche Maßnahmen sollten ergriffen werden, um den Schaden eines gehackten E-Mail-Accounts so gering wie möglich zu halten.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.