Zugriffskontrolle Shutterstock 1055895617 700

Privilegierte Konten sind bei Hackern beliebt. Cyber-Kriminelle haben bei einem Übergriff freien Zugriff auf sensible Unternehmensdaten. Mit Hilfe von Privileged-Access-Management-Lösungen lässt sich dieses Risiko zwar vermeiden – trotzdem kann ein korrumpiertes Endgerät zum Einfallstor für Angreifer werden.

In den meisten Unternehmen gibt es eine Vielzahl an privilegierten Accounts. Das sind zum Beispiel Administrator-, Service-, Root- oder Datenbank-Konten. IT-Profis nutzen diese Zugänge, um Daten im Netzwerk freizugeben, Software zu installieren und auszuführen oder kritische Netzwerkgeräte zu überwachen und zu verwalten. Auf jeden Fall gewähren privilegierte Konten Zugriff auf sensible und unternehmenskritische Ressourcen, bei Cyber-Kriminellen stehen sie deshalb hoch im Kurs.

Um ihnen Einhalt zu gebieten, setzen Unternehmen auf Privileged-Account-Management-Lösungen, kurz PAM genannt. Diese sorgen über dedizierte Sprungserver für einen zentralisierten Zugriff auf kritische Benutzerkonten inklusive Kontrolle und Überwachung. Was PAM-Produkte jedoch nicht verhindern können ist, dass der Angreifer sich bereits auf dem Endgerät des Anwenders oder Administrators eingenistet hat. Ist dies der Fall, kann er die Verbindungen mit Hilfe eines Keyloggers mitlesen und im schlimmsten Fall vertrauliche Informationen abgreifen oder sogar Schadcode über Trojaner bis auf die zu administrierenden Zielsysteme schleusen. Der Zugriff auf privilegierte Konten sollte deshalb niemals über einen normalen Arbeitsplatzrechner erfolgen.

Komplett abgeschottetes Arbeiten ist die Lösung

Microsoft schlägt seinen Kunden daher eine Trennung von Admin- und Arbeits-Rechner vor. Diese dedizierte Privileged Access Workstation (PAW) ist ein zweites physikalisches Gerät, das mit einem „sauberen“ Betriebssystem-Image und hochgradig restriktiven Sicherheitseinstellungen konfiguriert ist. Damit erlaubt die PAW keinen Zugriff auf das externe Internet und verfügt in der Regel nicht über klassische Arbeitswerkzeuge wie Office-, E-Mail- oder Chat-Clients, da sie bei Endgeräten als potenzielle Einfallstore für Cyber-Kriminelle gelten. Aus Unternehmenssicht zieht die Umsetzung eines PAW-Modells zusätzliche Hardware-Ausrüstung, Softwarelizenzierungen und vor allem höhere Betriebskosten nach sich. Aus Sicht der Benutzer von privilegierten Konten leidet der Komfort, wenn zwei verschiedene Systeme für das Arbeiten genutzt werden müssen. Bei einer alternativen Auslegung dieses Konzept, der Virtual PAW, braucht man zwar keine extra Hardware, diese ist allerdings auf die Sicherheit von HyperV angewiesen und muss massive Einschränkungen bei der Anbindung von Peripheriegeräten hinnehmen. Der deutlich erhöhte Betriebsaufwand bleibt zudem erhalten.

Bromium Protected App macht den Anwender-PC zur PAW

Die Protected App von Bromium ist eine Software-basierte PAW, die auf dem bestehenden Endgerät des Anwenders oder Administrators installiert wird. Der Vorteil ist, dass die erforderliche Abschottung immer nur temporär dann etabliert wird, wenn kritische Benutzerzugriffe erfolgen. Dann sichert Protected App beispielsweise die Verbindung zwischen Arbeitsplatz-PC und dem Sprungserver der PAM-Lösung. Das macht den Angreifer gewissermaßen „blind“, was die Privileged Session betrifft, selbst wenn das Endgerät auf Windows-Betriebssystemebene zuvor kompromittiert worden ist.

Technische Grundlage ist eine Hardware-isolierte Virtualisierung: Die Lösung wird auf den einzelnen Endgeräten installiert und erzeugt strikt getrennt vom Windows-Betriebssystem eine geschützte Umgebung für den Anwender, über die der Zugriff auf die entsprechenden Zielsysteme erfolgt. Die Protected App bietet damit einen weitreichenden Schutz vor den unterschiedlichsten Angriffsszenarien: Das fängt bei Keylogging an – in der Protected App sind Tastatureingaben für den Host unsichtbar –, geht über Man-in-the-Middle-Angriffe weiter – die Kommunikation vom Client zum Anwendungsserver erfolgt über eine gesicherte VPN-Verbindung – und reicht bis zu Kernel-, Download- oder Screen-Capture-Exploits. In diesem Fall haben die Exploits keine Auswirkungen, weil der Protected App Client völlig unabhängig vom Windows-Betriebssystem ist und der Root of Trust unterhalb des Betriebssystems liegt. Damit ist Protected App die optimale Ergänzung von PAM-Lösungen – zusammen implementiert schließen sie auch das Risiko eines kompromittierten Endgeräts aus und ermöglichen End-to-End-geschützte privilegierte Zugriffe.

Jochen Koehler, Regional VP Sales Europe
Jochen Koehler
Regional VP Sales Europe, Bromium

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Zutrittskontrolle

Einsatzmöglichkeiten für physische Zutrittskontrollsysteme erhöhen

Physische Zutrittskontrollsysteme sind die Standardlösung für die Sicherung des Zugangs zu Gebäuden oder Büros. Darüber hinaus werden sie aber mehr und mehr zum Dreh- und Angelpunkt für die Steuerung betrieblicher Prozesse, meint HID Global. Möglich wird…
Architektur in blau

Blaupause für das Privileged Access Management

IT-Sicherheitsspezialist CyberArk präsentiert eine Blaupause für ein erfolgreiches Privileged Access Management. Sie soll Unternehmen dabei helfen, einen zukunftssicheren, mehrstufigen Ansatz zur Verringerung der Risiken im Zusammenhang mit privilegierten…
IAM CONNECT 2020

IAM CONNECT 2020: Das Programm ist online

Die Konferenz IAM CONNECT 2020 ist ein lebendiges Austauschforum der Anwender, bei dem Erfahrungsberichte der Kunden im Mittelpunkt stehen.
Nur für Mitglieder

Kontrollierter Zugang zu sensiblen Daten

Systemadministratoren schaffen mit ihren privilegierten Accounts ein hohes Risikopotential, weil sie durch ihre uneingeschränkten Berechtigungen Zugriff auf alle Unternehmensdaten haben. Sorgfältige Überlegungen wie „wer benötigt wirklich einen privilegierten…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!