Risiken des Privileged Account Management

Die schmutzigen kleinen Geheimnisse der Cybersicherheit

LinkedInXingPocketWhatsAppFlipboard

“Wen hat es heute erwischt?” Es vergeht kaum noch ein Tag an dem die Medien nicht von einem massiven Datenleck in einem Unternehmen, einer Behörde oder einer Webpräsenz berichten. Schwerwiegende Datenschutzverletzung mit Folgen für eine Vielzahl von Personen.

Diese Entwicklung hat inzwischen auch die Herangehensweise verändert. Statt zu fragen „wie kann ich eine Datenschutzverletzung verhindern?“ geht es aktuell mehr denn je darum zu fragen „ok, ich weiß es wird passieren, aber wie kann ich die potenziellen Folgen minimieren?“ Und welche Folgen sind das genau? Wir haben es an dieser Stelle mit einer ganzen Palette möglicher Schäden zu tun. Sie reichen von einem ramponierten Ruf, über die Beschädigung der Marke als solcher, über finanzielle Auswirkungen und das Vernichten ganzer Karrieren. Und sogar soweit, dass ein Unternehmen gezwungen ist, seine Geschäftstätigkeit komplett einzustellen.

Anzeige

Die bislang schwerwiegendsten Datenschutzverletzungen rühren maßgeblich daher, dass Anmeldedaten (typischerweise Zugangsdaten für administrative Konten) in die falschen Hände geraten sind. Nun würde sicherlich niemand bei halbwegs klarem Verstand die Schlüssel zum Königreich an jemanden mit offensichtlich unredlichen Absichten aushändigen. Wer unlautere Absichten hat, geht natürlich ein bisschen intelligenter vor. Cyberkriminelle bringen sich beispielsweise durch Social Engineering, Phishing oder auch eine Brute-Force-Attacke in den Besitz von Anmeldedaten eines durchschnittlichen Benutzers. An sich eine noch vergleichsweise harmlose Angelegenheit. Dann allerdings nutzen Angreifer Eskalationstechniken und sondieren in der dafür typischen Seitwärtsbewegung das Netzwerk. Ziel ist es, sich auf diese Art und Weise die Rechte eines Super-Users zu beschaffen. Und damit hat der Angreifer dann tatsächlich den Generalschlüssel in der Hand.

Eine der zentralen Säulen des Identity und Access Managements ist die Zugriffsverwaltung von solchen privilegierten Konten, das Privileged Access Management, kurz PAM. IAM sorgt dafür, dass die richtigen Personen, die korrekten Rechte innehaben, um auf die Systeme zuzugreifen auf die sie zugreifen müssen. Auf die korrekte Art und Weise und zur richtigen Zeit. Gleichzeitig stellt Identity und Access Management sicher, dass all jene, die in Sachen Berechtigungen entscheidungsbefugt sind, bestätigen, dass dieser Zugriff tatsächlich berechtigt ist.

PAM wendet diese Prinzipien und Praktiken nun auf Konten von Super-Usern und Anmeldedaten für administrative Konten an. Beispiele sind etwa Root-Konten für Unix- und Linux-Systeme, das Administrationskonto im Active Directory (AD) und ein DBA-Konto, das mit geschäftskritischen Datenbanken und einer Unzahl von für die IT notwendigen Service-Konten verbunden ist.

PAM ist weitgehend als eine der wirksamsten Methoden anerkannt, wenn man das Risiko einer Datenschutzverletzung senken und den potenziellen Schaden begrenzen will. Es gibt eine Reihe von grundlegenden Prinzipien, die dabei helfen: PAM verhindert, dass Anmeldeinformationen für privilegierte Konten verschiedentlich genutzt und geteilt werden, gleichzeitig wird dem betreffenden Konto eine individuelle Verantwortlichkeit zugeordnet. Für die täglich anfallenden Administrationsaufgaben werden die Rechte auf Basis des Prinzips der minimalen Rechtevergabe zugewiesen. Gleichzeitig sollten sämtliche Aktivitäten, die mit diesen Super-User-Konten in Verbindung stehen kontinuierlich überwacht werden.

Leider gibt es deutliche Anzeichen, dass die Mehrzahl der Unternehmen die PAM-Grundlagen nicht so umgesetzt hat, das sie der aktuellen Bedrohungslage entsprechen.

In einer jüngst von One Identity veröffentlichten Studie gibt es einige alarmierende Statistiken, wenn es an das Umsetzen solcher Schutzmaßnahmen geht. Die Umfrage unter mehr als 900 IT-Sicherheitsexperten hat ergeben, dass sich zu viele Unternehmen auf einfachste Werkzeuge und Praktiken verlassen, wenn sie privilegierte Konten und den administrativen Zugriff verwalten:

  • 18 Prozent der Befragten räumten ein, sich bei der Verwaltung von Anmeldeinformationen für privilegierte Konten auf Logs auf Papier zu verlassen
  • 36 Prozent nutzen dazu Excel-Tabellen
  • 67 Prozent verlassen sich bei ihrem PAM-Konzept auf zwei oder mehr Tools (einschließlich der oben erwähnten Logs auf Papier und Excel-Tabellen)

Und es gibt noch weitere erschreckende Erkenntnisse. Obwohl Unternehmen versuchen ihre privilegierten Konten zu verwalten, wenn auch vielleicht mit ungeeigneten Werkzeugen, sind es noch weniger Unternehmen, welche die mit Super-User-Konten verbundenen Aktivitäten auch überwachen:

  • 57 Prozent der Befragten räumten ein, dass sie nur einige der privilegierten Konten überwachen oder sogar gar keine
  • 21 Prozent gaben an, gar nicht die Möglichkeit zu haben, privilegierte Konten und die mit ihnen verbundenen Aktivitäten zu überwachen
  • 31 Prozent antworteten, dass sie die einzelnen Personen nicht identifizieren beziehungsweise deren Aktivitäten in Bezug auf administrative Konten nicht nachvollziehen können. Mit anderen Worten, beinahe einer von drei Befragten ist nicht in der Lage die PAM-Vorgabe einer individuellen Verantwortlichkeit für diese Konten zuzuordnen. Damit fehlt eine Schlüsselkomponente, wenn man Sicherheitsrisiken senken will.

Und als wären diese Ergebnisse nicht schon weitreichend genug, belegen die erhobenen Daten, dass viel zu viele Unternehmen (Wirtschaftsunternehmen und Behörden weltweit gleichermaßen) selbst grundlegende, vernünftige Praktiken nicht umsetzen:

  • 88 räumten ein, dass sie bei der Passwortverwaltung dieser Konten mit Herausforderungen zu kämpfen haben
  • 86 Prozent der Befragten verzichten darauf Admin-Passwörter zu ändern, nachdem sie verwendet wurden. Damit lassen Unternehmen eine Tür ins Netzwerk offen stehen und riskieren damit genau die zuvor beschriebene Rechteeskalation und das Sondieren des Netzwerks durch Unbefugte.
  • 40 Prozent behalten sogar das Standardpasswort für Admin-Konten auf Systemen, Servern und innerhalb der Infrastruktur bei. Dank dieser Praxis sind unbefugte Nutzer und Angreifer damit auch noch der Notwendigkeit enthoben sich mühsam Zugriff auf die gewünschten Zielkonten zu verschaffen.

Die Schlussfolgerungen sind einfach. Den gesunden Menschverstand walten zu lassen und beispielsweise Admin-Passwörter nach jedem Gebrauch zu ändern und keine Standardpasswörter beizubehalten würde schon etliche Probleme lösen. Dazu sollten Methoden und Technologien kommen, die menschliche Fehler etwa bei der aufwendigen Passwortverwaltung so weit wie möglich eliminieren. Dadurch zieht man nicht nur einen zusätzlichen Sicherheitslayer ein, sondern ordnet die administrativen Konten automatisch einem individuellen Verantwortungsbereich zu. Schlussendlich sollten Firmen dafür sorgen, sämtliche Schwachstellen in ihr PAM-Konzept einzubeziehen, und nicht nur diejenigen, die sich am einfachsten beheben lassen. Dieses Maßnahmenbündel trägt immens dazu bei, die IT-Sicherheit zu stärken.

Susanne HaaseSusanne Haase, Senior Solutions Architect bei One Identity 

www.oneidentity.com/de

 


Anzeige

Weitere Artikel

Identity & Access Management
OT und IoT: Neuausrichtung des Privileged Access Managements nötig
Cyber & Cloud Security
Identity Management Day 2024: Authentizität und Sicherheit beachten
Business Software
Microsoft Surface Pro 10 for Business unterstützt YubiKey-Authentifizierung
Business Software
CyberArk: neuer Browser mit identitätsbasiertem Schutz
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.