Anzeige

Privilegierte Konten sind bei Hackern beliebt. Cyber-Kriminelle haben bei einem Übergriff freien Zugriff auf sensible Unternehmensdaten. Mit Hilfe von Privileged-Access-Management-Lösungen lässt sich dieses Risiko zwar vermeiden – trotzdem kann ein korrumpiertes Endgerät zum Einfallstor für Angreifer werden.

In den meisten Unternehmen gibt es eine Vielzahl an privilegierten Accounts. Das sind zum Beispiel Administrator-, Service-, Root- oder Datenbank-Konten. IT-Profis nutzen diese Zugänge, um Daten im Netzwerk freizugeben, Software zu installieren und auszuführen oder kritische Netzwerkgeräte zu überwachen und zu verwalten. Auf jeden Fall gewähren privilegierte Konten Zugriff auf sensible und unternehmenskritische Ressourcen, bei Cyber-Kriminellen stehen sie deshalb hoch im Kurs.

Um ihnen Einhalt zu gebieten, setzen Unternehmen auf Privileged-Account-Management-Lösungen, kurz PAM genannt. Diese sorgen über dedizierte Sprungserver für einen zentralisierten Zugriff auf kritische Benutzerkonten inklusive Kontrolle und Überwachung. Was PAM-Produkte jedoch nicht verhindern können ist, dass der Angreifer sich bereits auf dem Endgerät des Anwenders oder Administrators eingenistet hat. Ist dies der Fall, kann er die Verbindungen mit Hilfe eines Keyloggers mitlesen und im schlimmsten Fall vertrauliche Informationen abgreifen oder sogar Schadcode über Trojaner bis auf die zu administrierenden Zielsysteme schleusen. Der Zugriff auf privilegierte Konten sollte deshalb niemals über einen normalen Arbeitsplatzrechner erfolgen.

Komplett abgeschottetes Arbeiten ist die Lösung

Microsoft schlägt seinen Kunden daher eine Trennung von Admin- und Arbeits-Rechner vor. Diese dedizierte Privileged Access Workstation (PAW) ist ein zweites physikalisches Gerät, das mit einem „sauberen“ Betriebssystem-Image und hochgradig restriktiven Sicherheitseinstellungen konfiguriert ist. Damit erlaubt die PAW keinen Zugriff auf das externe Internet und verfügt in der Regel nicht über klassische Arbeitswerkzeuge wie Office-, E-Mail- oder Chat-Clients, da sie bei Endgeräten als potenzielle Einfallstore für Cyber-Kriminelle gelten. Aus Unternehmenssicht zieht die Umsetzung eines PAW-Modells zusätzliche Hardware-Ausrüstung, Softwarelizenzierungen und vor allem höhere Betriebskosten nach sich. Aus Sicht der Benutzer von privilegierten Konten leidet der Komfort, wenn zwei verschiedene Systeme für das Arbeiten genutzt werden müssen. Bei einer alternativen Auslegung dieses Konzept, der Virtual PAW, braucht man zwar keine extra Hardware, diese ist allerdings auf die Sicherheit von HyperV angewiesen und muss massive Einschränkungen bei der Anbindung von Peripheriegeräten hinnehmen. Der deutlich erhöhte Betriebsaufwand bleibt zudem erhalten.

Bromium Protected App macht den Anwender-PC zur PAW

Die Protected App von Bromium ist eine Software-basierte PAW, die auf dem bestehenden Endgerät des Anwenders oder Administrators installiert wird. Der Vorteil ist, dass die erforderliche Abschottung immer nur temporär dann etabliert wird, wenn kritische Benutzerzugriffe erfolgen. Dann sichert Protected App beispielsweise die Verbindung zwischen Arbeitsplatz-PC und dem Sprungserver der PAM-Lösung. Das macht den Angreifer gewissermaßen „blind“, was die Privileged Session betrifft, selbst wenn das Endgerät auf Windows-Betriebssystemebene zuvor kompromittiert worden ist.

Technische Grundlage ist eine Hardware-isolierte Virtualisierung: Die Lösung wird auf den einzelnen Endgeräten installiert und erzeugt strikt getrennt vom Windows-Betriebssystem eine geschützte Umgebung für den Anwender, über die der Zugriff auf die entsprechenden Zielsysteme erfolgt. Die Protected App bietet damit einen weitreichenden Schutz vor den unterschiedlichsten Angriffsszenarien: Das fängt bei Keylogging an – in der Protected App sind Tastatureingaben für den Host unsichtbar –, geht über Man-in-the-Middle-Angriffe weiter – die Kommunikation vom Client zum Anwendungsserver erfolgt über eine gesicherte VPN-Verbindung – und reicht bis zu Kernel-, Download- oder Screen-Capture-Exploits. In diesem Fall haben die Exploits keine Auswirkungen, weil der Protected App Client völlig unabhängig vom Windows-Betriebssystem ist und der Root of Trust unterhalb des Betriebssystems liegt. Damit ist Protected App die optimale Ergänzung von PAM-Lösungen – zusammen implementiert schließen sie auch das Risiko eines kompromittierten Endgeräts aus und ermöglichen End-to-End-geschützte privilegierte Zugriffe.

Jochen Koehler, Regional VP Sales Europe
Jochen Koehler
Regional VP Sales Europe, Bromium

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Authentifizierung

Mehr Sicherheit und Komfort durch passwortfreie Logins

Passwortverfahren zur eindeutigen Identifizierung von Nutzern sind immer wieder Ziel von Hackerangriffen und gelten zunehmend als Schwachstelle in den IT-Systemen von Industrie und Handel. Nevis gibt einen Überblick der Nutzer- Authentifizierung mittels…
MFA

Multi-Faktor-Authentifizierung weniger sicher als angenommen

Proofpoint hat kürzlich mehrere kritische Sicherheitslücken bei der Implementierung von Multi-Faktor-Authentifizierung (MFA) entdeckt. Diese betreffen Cloud-Umgebungen, bei denen zur Authentifizierung das Protokoll WS-Trust verwendet wird.
Mobile Access

Mobile Access liegt im Trend

In der physischen Zutrittskontrolle werden zunehmend mobile Geräte eingesetzt. So lautet ein zentrales Ergebnis einer Untersuchung von HID Global. Für über die Hälfte der Befragten sind Mobile Access und mobile Apps die Top-Trends in der Zutrittskontrolle.
IAM

Auch im Homeoffice sicher: Automatisiertes Identity- und Accessmanagement

Aus der Not heraus waren viele Mitarbeiter gezwungen, in Eile auf Remote Work umzustellen und fließend weiter zu arbeiten. Mittlerweile sind nach etwaigen anfänglichen Schwierigkeiten bei vielen Unternehmen die technischen Voraussetzungen für eine weitere…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!