Anzeige

Hacker Stoppschild

Bei traditionellen perimeterbasierten Sicherheitskonzepten haben Cyberkriminelle meist leichtes Spiel, wenn sie diesen Schutzwall erst einmal durchbrochen haben. Besonders im Fadenkreuz von Angreifern stehen privilegierte Benutzerkonten mit weitreichenden Berechtigungen.

Diese bieten den Schlüssel zu wertvollen Daten und Unternehmensressourcen und ermöglichen es, einmal ins System eingedrungen, unbemerkt zu agieren. Da es im modernen Netzwerk kein klassisches Innen und Außen mehr gibt, sondern eine Kombination aus On-Premises-, Internet- und Cloud-Lösungen, benötigt es umfassende Kontrollen, wer in welchem Ausmaß und für welchen Zeitraum Zugriff auf sensible Ressourcen und Daten hat. Nur so können alle Assets eines Unternehmens geschützt werden, um Schäden durch externe Angriffe und Insider-Bedrohungen zu minimieren.

Funktionsweise von Privileged Access Management

Privileged Access kann man mit einer Anzahl von Mautstraßen vergleichen. Um die Straßen zu befahren, benötigt es Fahrzeuge (Nutzerkonten) und entsprechende Mautplaketten (Rollen und Rechte). Einige Straßen führen zu Zielen von niedrigem Wert, daher ist die Maut gering und der Zugang für einen breiteren Personenkreis möglich. Andere Straßen führen zu hochwertigen Zielen. Hierfür benötigt es Fahrzeuge mit weitreichenden Rechten – sogenannte privilegierte Konten.

Laut Forrester beinhalten 80 Prozent der Sicherheitsverstöße den Missbrauch schwacher, gestohlener oder Default-Passwörter. Dies ist der Hauptgrund, weshalb man privilegierte Konten mithilfe eines Passwort-Tresors „von der Straße nehmen und sicher in einer Garage parken“ muss, um zu verhindern, dass sie gestohlen werden. Doch auch wenn die Speicherung dieser Konten in einem Passwort-Tresor die Barriere für Angreifer etwas erhöht, sind sie immer noch auf den Computern vorhanden, für die Anmeldung aktiviert, und können kompromittiert und missbraucht werden.

Geringstes Privileg und Privilegien-Erhöhung just-in-time

An dieser Stelle kommt das Konzept des geringsten Privilegs (Least Privilege) in Verbindung mit der Privilegien-Erhöhung (Privilege Elevation) ins Spiel. Hier haben alle Fahrzeuge nur noch grundlegende Rechte – eine Mautplakette, die lediglich Zugang zu erforderlichen, gemeinsamen Zielen wie etwa E-Mail, Surfen im Internet oder Office 360-Anwendungen gewährt. Sensiblere Ziele werden standardmäßig blockiert.

Die Privilegien-Erhöhung ermöglicht jedoch eine legitime Ausweitung der Berechtigungen just-in-time für einen vorübergehenden Zeitraum, um administrative Aufgaben zu erfüllen. Hierbei wird streng kontrolliert, wer durch die Mautstelle darf. Beispielsweise kann es legitim sein, einem Web-Administrator den Zugang zu Systemen zu gestatten, auf denen Web-Server und die damit verbundenen Management-Tools laufen. Das Einloggen in Maschinen, die Kreditkartentransaktionen verarbeiten, und die Verwendung von Tools, die Einblick in Kreditkartendaten geben, ist jedoch vermutlich nicht legitim und bleibt blockiert.

Privilegien-Erhöhung bedeutet also, dem Benutzer vorübergehend zusätzliche Rollen und Rechte zu gewähren, damit er eine legitime Aufgabe erledigen kann, die mit seiner Arbeitsfunktion übereinstimmt – gerade genug Privilegien für genau die Zeit, die für die Ausführung der Arbeit benötigt wird.

Nutzer-Identität verifizieren: Zugangsantrag und Multi-Faktor-Authentifizierung

Was aber, wenn der Benutzer nicht der ist, der er sein sollte? Hier können einige zusätzliche Barrieren in den Weg gestellt werden, um die Identität des Benutzers besser zu kontrollieren. Eine mögliche Sicherheitsbarriere besteht darin, dass der Benutzer den gewünschten erweiterten Zugang über eine Self-Service-Funktion beantragt. Hierbei füllt er ein digitales Formular aus, in dem er den Kontext darüber angibt, worauf, warum und wie lange zugegriffen wird, sowie eventuell auch ein Verweis auf ein Helpdesk-Ticket. Zuständige Mitarbeiter des IT-Teams treffen dann die Entscheidung, den Zugriffsantrag zu gewähren oder zu verweigern.

Eine weitere Sicherheitsbarriere ist die Multi-Faktor-Authentifizierung (MFA). So kann der Benutzer während der Anmeldung zu einem zweiten Authentifizierung-Faktor aufgefordert werden oder die Authentifizierung wird während der Berechtigungserweiterung verstärkt, zum Beispiel durch eine Push-Benachrichtigung an sein registriertes mobiles Gerät. Es ist unwahrscheinlich, dass ein Angreifer (insbesondere aus einer anderen Region, ein Bot oder Malware) ein mobiles Gerät physisch kompromittiert hat, sodass dies eine relativ einfache Möglichkeit ist, ihm den Weg zu versperren. Da Zeit auch für Cyberkriminelle Geld ist, kann diese simple Abschreckung leicht dazu führen, dass Hacker von ihrem Vorhaben ablassen und sich einem anderen Angriffsziel zuwenden.

Zwar kann ein Passwort-Tresor eine wichtige Rolle bei der Verhinderung von identitätsbezogenen Datenverletzungen spielen, doch im Vergleich zur Privilegien-Erhöhung ist diese Rolle bei der Risikoreduzierung relativ gering. Für einen umfassenden Privileged Access Management-Ansatz kann die Tresorverwaltung ein schneller und einfacher Anfang sein. Die Implementierung eines Least Privilege-Ansatzes mit Privilegien-Erhöhung sollte jedoch oberste Priorität sein. Der Tresor sollte nur in Notfällen verwendet werden, etwa wenn ein Superuser-Zugriff erforderlich ist.

Martin Kulendik, Regional Sales Director DACH
Martin Kulendik
Regional Sales Director DACH, Centrify

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

No Access
Apr 29, 2020

Unternehmen scheitern bei der Umsetzung einer Least Privilege-Strategie

Obwohl sie die Bedeutung einer effektiven Least Privileged-Strategie für ihre…
Schranke Tiefgarage
Apr 03, 2020

53 % der Unternehmen planen Zero-Trust-Funktionen einzuführen

Laut dem Bericht „2020 DACH Region Secure Access“ von IDG Connect und Pulse Secure plant…
Nur für Mitglieder
Nov 29, 2019

Kontrollierter Zugang zu sensiblen Daten

Systemadministratoren schaffen mit ihren privilegierten Accounts ein hohes…

Weitere Artikel

E-Mail Angst

Die fünf schlimmsten Fehler bei der E-Mail-Kommunikation

Angesichts steigender Corona-Fallzahlen ist eine „zweite Welle“ im Herbst ein wahrscheinliches Szenario. Ungewiss ist noch, welche Maßnahmen dieses Mal zur Eindämmung ergriffen werden. Die erste Lockdown-Phase hat gezeigt, dass für Unternehmen eine effiziente…
Authentifizierung

Mehr Sicherheit und Komfort durch passwortfreie Logins

Passwortverfahren zur eindeutigen Identifizierung von Nutzern sind immer wieder Ziel von Hackerangriffen und gelten zunehmend als Schwachstelle in den IT-Systemen von Industrie und Handel. Nevis gibt einen Überblick der Nutzer- Authentifizierung mittels…
MFA

Multi-Faktor-Authentifizierung weniger sicher als angenommen

Proofpoint hat kürzlich mehrere kritische Sicherheitslücken bei der Implementierung von Multi-Faktor-Authentifizierung (MFA) entdeckt. Diese betreffen Cloud-Umgebungen, bei denen zur Authentifizierung das Protokoll WS-Trust verwendet wird.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!