Anzeige

Anzeige

VERANSTALTUNGEN

ELO Solution Day München
27.03.19 - 27.03.19
In Messe München

Hannover Messe 2019
01.04.19 - 05.04.19
In Hannover

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

ACMP Competence Days München
10.04.19 - 10.04.19
In Jochen Schweizer Arena GmbH, Taufkirchen bei München

Mendix World
16.04.19 - 17.04.19
In Rotterdam Ahoy Conference Centre

Anzeige

Anzeige

Woman telling secret

“Wen hat es heute erwischt?” Es vergeht kaum noch ein Tag an dem die Medien nicht von einem massiven Datenleck in einem Unternehmen, einer Behörde oder einer Webpräsenz berichten. Schwerwiegende Datenschutzverletzung mit Folgen für eine Vielzahl von Personen.

Diese Entwicklung hat inzwischen auch die Herangehensweise verändert. Statt zu fragen „wie kann ich eine Datenschutzverletzung verhindern?“ geht es aktuell mehr denn je darum zu fragen „ok, ich weiß es wird passieren, aber wie kann ich die potenziellen Folgen minimieren?“ Und welche Folgen sind das genau? Wir haben es an dieser Stelle mit einer ganzen Palette möglicher Schäden zu tun. Sie reichen von einem ramponierten Ruf, über die Beschädigung der Marke als solcher, über finanzielle Auswirkungen und das Vernichten ganzer Karrieren. Und sogar soweit, dass ein Unternehmen gezwungen ist, seine Geschäftstätigkeit komplett einzustellen.

Die bislang schwerwiegendsten Datenschutzverletzungen rühren maßgeblich daher, dass Anmeldedaten (typischerweise Zugangsdaten für administrative Konten) in die falschen Hände geraten sind. Nun würde sicherlich niemand bei halbwegs klarem Verstand die Schlüssel zum Königreich an jemanden mit offensichtlich unredlichen Absichten aushändigen. Wer unlautere Absichten hat, geht natürlich ein bisschen intelligenter vor. Cyberkriminelle bringen sich beispielsweise durch Social Engineering, Phishing oder auch eine Brute-Force-Attacke in den Besitz von Anmeldedaten eines durchschnittlichen Benutzers. An sich eine noch vergleichsweise harmlose Angelegenheit. Dann allerdings nutzen Angreifer Eskalationstechniken und sondieren in der dafür typischen Seitwärtsbewegung das Netzwerk. Ziel ist es, sich auf diese Art und Weise die Rechte eines Super-Users zu beschaffen. Und damit hat der Angreifer dann tatsächlich den Generalschlüssel in der Hand.

Eine der zentralen Säulen des Identity und Access Managements ist die Zugriffsverwaltung von solchen privilegierten Konten, das Privileged Access Management, kurz PAM. IAM sorgt dafür, dass die richtigen Personen, die korrekten Rechte innehaben, um auf die Systeme zuzugreifen auf die sie zugreifen müssen. Auf die korrekte Art und Weise und zur richtigen Zeit. Gleichzeitig stellt Identity und Access Management sicher, dass all jene, die in Sachen Berechtigungen entscheidungsbefugt sind, bestätigen, dass dieser Zugriff tatsächlich berechtigt ist.

PAM wendet diese Prinzipien und Praktiken nun auf Konten von Super-Usern und Anmeldedaten für administrative Konten an. Beispiele sind etwa Root-Konten für Unix- und Linux-Systeme, das Administrationskonto im Active Directory (AD) und ein DBA-Konto, das mit geschäftskritischen Datenbanken und einer Unzahl von für die IT notwendigen Service-Konten verbunden ist.

PAM ist weitgehend als eine der wirksamsten Methoden anerkannt, wenn man das Risiko einer Datenschutzverletzung senken und den potenziellen Schaden begrenzen will. Es gibt eine Reihe von grundlegenden Prinzipien, die dabei helfen: PAM verhindert, dass Anmeldeinformationen für privilegierte Konten verschiedentlich genutzt und geteilt werden, gleichzeitig wird dem betreffenden Konto eine individuelle Verantwortlichkeit zugeordnet. Für die täglich anfallenden Administrationsaufgaben werden die Rechte auf Basis des Prinzips der minimalen Rechtevergabe zugewiesen. Gleichzeitig sollten sämtliche Aktivitäten, die mit diesen Super-User-Konten in Verbindung stehen kontinuierlich überwacht werden.

Leider gibt es deutliche Anzeichen, dass die Mehrzahl der Unternehmen die PAM-Grundlagen nicht so umgesetzt hat, das sie der aktuellen Bedrohungslage entsprechen.

In einer jüngst von One Identity veröffentlichten Studie gibt es einige alarmierende Statistiken, wenn es an das Umsetzen solcher Schutzmaßnahmen geht. Die Umfrage unter mehr als 900 IT-Sicherheitsexperten hat ergeben, dass sich zu viele Unternehmen auf einfachste Werkzeuge und Praktiken verlassen, wenn sie privilegierte Konten und den administrativen Zugriff verwalten:

  • 18 Prozent der Befragten räumten ein, sich bei der Verwaltung von Anmeldeinformationen für privilegierte Konten auf Logs auf Papier zu verlassen
  • 36 Prozent nutzen dazu Excel-Tabellen
  • 67 Prozent verlassen sich bei ihrem PAM-Konzept auf zwei oder mehr Tools (einschließlich der oben erwähnten Logs auf Papier und Excel-Tabellen)

Und es gibt noch weitere erschreckende Erkenntnisse. Obwohl Unternehmen versuchen ihre privilegierten Konten zu verwalten, wenn auch vielleicht mit ungeeigneten Werkzeugen, sind es noch weniger Unternehmen, welche die mit Super-User-Konten verbundenen Aktivitäten auch überwachen:

  • 57 Prozent der Befragten räumten ein, dass sie nur einige der privilegierten Konten überwachen oder sogar gar keine
  • 21 Prozent gaben an, gar nicht die Möglichkeit zu haben, privilegierte Konten und die mit ihnen verbundenen Aktivitäten zu überwachen
  • 31 Prozent antworteten, dass sie die einzelnen Personen nicht identifizieren beziehungsweise deren Aktivitäten in Bezug auf administrative Konten nicht nachvollziehen können. Mit anderen Worten, beinahe einer von drei Befragten ist nicht in der Lage die PAM-Vorgabe einer individuellen Verantwortlichkeit für diese Konten zuzuordnen. Damit fehlt eine Schlüsselkomponente, wenn man Sicherheitsrisiken senken will.

Und als wären diese Ergebnisse nicht schon weitreichend genug, belegen die erhobenen Daten, dass viel zu viele Unternehmen (Wirtschaftsunternehmen und Behörden weltweit gleichermaßen) selbst grundlegende, vernünftige Praktiken nicht umsetzen:

  • 88 räumten ein, dass sie bei der Passwortverwaltung dieser Konten mit Herausforderungen zu kämpfen haben
  • 86 Prozent der Befragten verzichten darauf Admin-Passwörter zu ändern, nachdem sie verwendet wurden. Damit lassen Unternehmen eine Tür ins Netzwerk offen stehen und riskieren damit genau die zuvor beschriebene Rechteeskalation und das Sondieren des Netzwerks durch Unbefugte.
  • 40 Prozent behalten sogar das Standardpasswort für Admin-Konten auf Systemen, Servern und innerhalb der Infrastruktur bei. Dank dieser Praxis sind unbefugte Nutzer und Angreifer damit auch noch der Notwendigkeit enthoben sich mühsam Zugriff auf die gewünschten Zielkonten zu verschaffen.

Die Schlussfolgerungen sind einfach. Den gesunden Menschverstand walten zu lassen und beispielsweise Admin-Passwörter nach jedem Gebrauch zu ändern und keine Standardpasswörter beizubehalten würde schon etliche Probleme lösen. Dazu sollten Methoden und Technologien kommen, die menschliche Fehler etwa bei der aufwendigen Passwortverwaltung so weit wie möglich eliminieren. Dadurch zieht man nicht nur einen zusätzlichen Sicherheitslayer ein, sondern ordnet die administrativen Konten automatisch einem individuellen Verantwortungsbereich zu. Schlussendlich sollten Firmen dafür sorgen, sämtliche Schwachstellen in ihr PAM-Konzept einzubeziehen, und nicht nur diejenigen, die sich am einfachsten beheben lassen. Dieses Maßnahmenbündel trägt immens dazu bei, die IT-Sicherheit zu stärken.

Susanne HaaseSusanne Haase, Senior Solutions Architect bei One Identity 

www.oneidentity.com/de

 

GRID LIST
IAM Concept

Ein IAM in 20 Tagen

Eine Krankenkasse mit etwa 9.000 Usern hat sich entschlossen, ein IAM in Nutzung zu…
IAM Concept

Partnerlösungen für komplexe IAM-Probleme

Ping Identity kündigt neue Programme und Vorteile für die Technology Alliance- und…
IAM Konzept

Ping Intelligent Identity Platform mit verbesserter Kundenerfahrung und IT-Automation

Ping Identity kündigte Updates für seine Software-Produkte, darunter PingFederate,…
Key

Privileged Access Management gegen gefährliche Schwachstellen

Check Point Research hat jüngst einige kritische Schwachstellen im weitverbreiteten…
Protect your identity

DSGVO-sicher mit der neuen Version von Airlock IAM

Das neue Release Airlock IAM 7.0 soll viele neue Features im Bereich DSGVO, Docker,…
Tb W190 H80 Crop Int D58ddaac0feddfe93273e752d97b0643

Unterschätzte Notwendigkeit, aber kein Trend

Im vergangenen Jahr wurden Unternehmen jeder Größe, Institutionen und Privatpersonen mit…