Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Woman telling secret

“Wen hat es heute erwischt?” Es vergeht kaum noch ein Tag an dem die Medien nicht von einem massiven Datenleck in einem Unternehmen, einer Behörde oder einer Webpräsenz berichten. Schwerwiegende Datenschutzverletzung mit Folgen für eine Vielzahl von Personen.

Diese Entwicklung hat inzwischen auch die Herangehensweise verändert. Statt zu fragen „wie kann ich eine Datenschutzverletzung verhindern?“ geht es aktuell mehr denn je darum zu fragen „ok, ich weiß es wird passieren, aber wie kann ich die potenziellen Folgen minimieren?“ Und welche Folgen sind das genau? Wir haben es an dieser Stelle mit einer ganzen Palette möglicher Schäden zu tun. Sie reichen von einem ramponierten Ruf, über die Beschädigung der Marke als solcher, über finanzielle Auswirkungen und das Vernichten ganzer Karrieren. Und sogar soweit, dass ein Unternehmen gezwungen ist, seine Geschäftstätigkeit komplett einzustellen.

Die bislang schwerwiegendsten Datenschutzverletzungen rühren maßgeblich daher, dass Anmeldedaten (typischerweise Zugangsdaten für administrative Konten) in die falschen Hände geraten sind. Nun würde sicherlich niemand bei halbwegs klarem Verstand die Schlüssel zum Königreich an jemanden mit offensichtlich unredlichen Absichten aushändigen. Wer unlautere Absichten hat, geht natürlich ein bisschen intelligenter vor. Cyberkriminelle bringen sich beispielsweise durch Social Engineering, Phishing oder auch eine Brute-Force-Attacke in den Besitz von Anmeldedaten eines durchschnittlichen Benutzers. An sich eine noch vergleichsweise harmlose Angelegenheit. Dann allerdings nutzen Angreifer Eskalationstechniken und sondieren in der dafür typischen Seitwärtsbewegung das Netzwerk. Ziel ist es, sich auf diese Art und Weise die Rechte eines Super-Users zu beschaffen. Und damit hat der Angreifer dann tatsächlich den Generalschlüssel in der Hand.

Eine der zentralen Säulen des Identity und Access Managements ist die Zugriffsverwaltung von solchen privilegierten Konten, das Privileged Access Management, kurz PAM. IAM sorgt dafür, dass die richtigen Personen, die korrekten Rechte innehaben, um auf die Systeme zuzugreifen auf die sie zugreifen müssen. Auf die korrekte Art und Weise und zur richtigen Zeit. Gleichzeitig stellt Identity und Access Management sicher, dass all jene, die in Sachen Berechtigungen entscheidungsbefugt sind, bestätigen, dass dieser Zugriff tatsächlich berechtigt ist.

PAM wendet diese Prinzipien und Praktiken nun auf Konten von Super-Usern und Anmeldedaten für administrative Konten an. Beispiele sind etwa Root-Konten für Unix- und Linux-Systeme, das Administrationskonto im Active Directory (AD) und ein DBA-Konto, das mit geschäftskritischen Datenbanken und einer Unzahl von für die IT notwendigen Service-Konten verbunden ist.

PAM ist weitgehend als eine der wirksamsten Methoden anerkannt, wenn man das Risiko einer Datenschutzverletzung senken und den potenziellen Schaden begrenzen will. Es gibt eine Reihe von grundlegenden Prinzipien, die dabei helfen: PAM verhindert, dass Anmeldeinformationen für privilegierte Konten verschiedentlich genutzt und geteilt werden, gleichzeitig wird dem betreffenden Konto eine individuelle Verantwortlichkeit zugeordnet. Für die täglich anfallenden Administrationsaufgaben werden die Rechte auf Basis des Prinzips der minimalen Rechtevergabe zugewiesen. Gleichzeitig sollten sämtliche Aktivitäten, die mit diesen Super-User-Konten in Verbindung stehen kontinuierlich überwacht werden.

Leider gibt es deutliche Anzeichen, dass die Mehrzahl der Unternehmen die PAM-Grundlagen nicht so umgesetzt hat, das sie der aktuellen Bedrohungslage entsprechen.

In einer jüngst von One Identity veröffentlichten Studie gibt es einige alarmierende Statistiken, wenn es an das Umsetzen solcher Schutzmaßnahmen geht. Die Umfrage unter mehr als 900 IT-Sicherheitsexperten hat ergeben, dass sich zu viele Unternehmen auf einfachste Werkzeuge und Praktiken verlassen, wenn sie privilegierte Konten und den administrativen Zugriff verwalten:

  • 18 Prozent der Befragten räumten ein, sich bei der Verwaltung von Anmeldeinformationen für privilegierte Konten auf Logs auf Papier zu verlassen
  • 36 Prozent nutzen dazu Excel-Tabellen
  • 67 Prozent verlassen sich bei ihrem PAM-Konzept auf zwei oder mehr Tools (einschließlich der oben erwähnten Logs auf Papier und Excel-Tabellen)

Und es gibt noch weitere erschreckende Erkenntnisse. Obwohl Unternehmen versuchen ihre privilegierten Konten zu verwalten, wenn auch vielleicht mit ungeeigneten Werkzeugen, sind es noch weniger Unternehmen, welche die mit Super-User-Konten verbundenen Aktivitäten auch überwachen:

  • 57 Prozent der Befragten räumten ein, dass sie nur einige der privilegierten Konten überwachen oder sogar gar keine
  • 21 Prozent gaben an, gar nicht die Möglichkeit zu haben, privilegierte Konten und die mit ihnen verbundenen Aktivitäten zu überwachen
  • 31 Prozent antworteten, dass sie die einzelnen Personen nicht identifizieren beziehungsweise deren Aktivitäten in Bezug auf administrative Konten nicht nachvollziehen können. Mit anderen Worten, beinahe einer von drei Befragten ist nicht in der Lage die PAM-Vorgabe einer individuellen Verantwortlichkeit für diese Konten zuzuordnen. Damit fehlt eine Schlüsselkomponente, wenn man Sicherheitsrisiken senken will.

Und als wären diese Ergebnisse nicht schon weitreichend genug, belegen die erhobenen Daten, dass viel zu viele Unternehmen (Wirtschaftsunternehmen und Behörden weltweit gleichermaßen) selbst grundlegende, vernünftige Praktiken nicht umsetzen:

  • 88 räumten ein, dass sie bei der Passwortverwaltung dieser Konten mit Herausforderungen zu kämpfen haben
  • 86 Prozent der Befragten verzichten darauf Admin-Passwörter zu ändern, nachdem sie verwendet wurden. Damit lassen Unternehmen eine Tür ins Netzwerk offen stehen und riskieren damit genau die zuvor beschriebene Rechteeskalation und das Sondieren des Netzwerks durch Unbefugte.
  • 40 Prozent behalten sogar das Standardpasswort für Admin-Konten auf Systemen, Servern und innerhalb der Infrastruktur bei. Dank dieser Praxis sind unbefugte Nutzer und Angreifer damit auch noch der Notwendigkeit enthoben sich mühsam Zugriff auf die gewünschten Zielkonten zu verschaffen.

Die Schlussfolgerungen sind einfach. Den gesunden Menschverstand walten zu lassen und beispielsweise Admin-Passwörter nach jedem Gebrauch zu ändern und keine Standardpasswörter beizubehalten würde schon etliche Probleme lösen. Dazu sollten Methoden und Technologien kommen, die menschliche Fehler etwa bei der aufwendigen Passwortverwaltung so weit wie möglich eliminieren. Dadurch zieht man nicht nur einen zusätzlichen Sicherheitslayer ein, sondern ordnet die administrativen Konten automatisch einem individuellen Verantwortungsbereich zu. Schlussendlich sollten Firmen dafür sorgen, sämtliche Schwachstellen in ihr PAM-Konzept einzubeziehen, und nicht nur diejenigen, die sich am einfachsten beheben lassen. Dieses Maßnahmenbündel trägt immens dazu bei, die IT-Sicherheit zu stärken.

Susanne HaaseSusanne Haase, Senior Solutions Architect bei One Identity 

www.oneidentity.com/de

 

GRID LIST
Dashboard

Interaktives Dashboard für den Umgang mit der DSGVO

Mit dem interaktive Dashboard von ForgeRock sollen Unternehmen prüfen können, ob ihre…
Login

Neuer Sicherheitscheck als Managed-Service

Die SpyCloud soll gestohlene digitale Informationen von Kunden im Web finden. Gepaart mit…
Tb W190 H80 Crop Int 9cc0f78c8e26d024ae4e442e61f01e6b

SecurEnvoy gibt Version 9 von SecurAccess frei

SecurEnvoy hat die neuest Version von SecurAccess, seiner Lösung zur…
Ausweiserkennung

Deep Learning: Die Ausweiserkennung der nächsten Generation

Mithilfe von Deep Learning setzt IDnow neue Standards in der digitalen Ausweiserkennung:…
Secured Access

One Identity Safeguard: mehr Sicherheit für privilegierte Konten

Der One Identity Safeguard bietet Sicherheit für privilegierte Konten und unterstützt…
Handscan

Fujitsu: Neue biometrische Authentifizierungslösung

Fujitsu sorgt mit der neuen biometrischen Authentifizierungslösung für hohe Sicherheit in…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security