Anzeige

Zugriffsrechte

Privilegierte Zugriffsrechte besitzen nicht nur IT-Administratoren oder Super-User, sie finden sich auch in Applikationen, Tools und Systemen. Diese nicht-menschlichen privilegierten Zugriffsrechte stellen eine erhebliche Gefahr für Unternehmensanwendungen und -daten dar, mahnt Sicherheitsexperte CyberArk.

Viele Unternehmen beachten die nicht-menschlichen Zugriffsrechte nicht oder nur unzureichend. Es geht dabei vor allem um Application Accounts oder technische Accounts, das heißt um die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Zugangsdaten und Passwörter. Sie werden für den automatischen, authentifizierten Zugriff auf Backend-Systeme benötigt, etwa bei der Verbindung einer Anwendung zu einer Datenbank.

Die privilegierten Zugangsdaten sind in den Applikationen statisch hinterlegt und werden in der Regel nie geändert. Außerdem liegen sie meistens im Klartext oder in einer einfachen Verschlüsselung vor. Gelangt ein externer Angreifer oder auch böswilliger Insider in ihren Besitz, kann er unter Umständen die vollständige Kontrolle über die gesamte IT-Infrastruktur eines Unternehmens übernehmen.

„Um dieses Sicherheitsrisiko zu beseitigen, müssen Unternehmen die in Skripten oder Konfigurationsdateien eingebetteten statischen Zugangsdaten eliminieren“, betont Michael Kleist, Regional Director DACH bei CyberArk. „Alle Anmeldeinformationen und vertraulichen Zugangsdaten sollten zentral gesichert, automatisch verwaltet und rotiert sowie dynamisch zur Laufzeit zur Verfügung gestellt werden. Damit wird die Sicherheit entscheidend erhöht.“


Der neue Termin für die IAM CONNECT steht:

30.11. - 02.12.2020

#iamconnect

Identity und Access-Management (IAM), lange Zeit in Business-Kreisen als ein Projekt von Organisations- und IT-Freaks mit wenig Charme, hohen Kosten und geringen Fertigstellungsaussichten („Modell BER“) wahrgenommen, hat sich zu einer unverzichtbaren Basis für die digitale Transformation und neue Geschäftsmodelle gemausert. 

>> JETZT ANMELDEN


Bei der Vermeidung beziehungsweise Beseitigung von dauerhaft hinterlegten Anmeldeinformationen sind verschiedene Vorgehensweisen möglich beziehungsweise erforderlich.

Erstens muss ein Unternehmen natürlich bei Neuentwicklungen konsequent auf eine hartkodierte Programmierung von Zugangsdaten verzichten. Zweitens können für klassische Applikationen wie SAP, Standardsysteme wie ServiceNow, Rapid7 oder Tenable und Application Server fertige Integrationslösungen genutzt werden; solche Lösungen stellt etwa CyberArk gemeinsam mit den Applikationsherstellern bereit. Drittens sollte ein Unternehmen bei selbstentwickelten Applikationen mit eigenständiger Logik die gegebenenfalls aufwendigeren Veränderungen in Abhängigkeit von einer Kritikalitäts- und Risikobewertung sukzessive in Angriff nehmen. Hier besteht oft die Möglichkeit, selbstgebaute Skripte mit klassischen Suchen-und-Ersetzen-Verfahren zügig zu überarbeiten. Allerdings sind vereinzelt durchaus auch umfangreiche Source-Code-Veränderungen erforderlich.

Konkret sollte ein Unternehmen bei der Beseitigung eingebetteter Anmeldeinformationen und konsistenten Verwaltung und Überwachung privilegierter Zugriffe drei verschiedene Ebenen berücksichtigen:

1. Applikationsebene

Auf der Applikationsebene sind die Applikation-zu-Applikation-Verbindungen zu beachten. Alle technischen Verknüpfungen zwischen Teilen einer Applikationslandschaft erfordern einen privilegierten Zugang für den Datenzugriff, auch wenn es nur um Lese- und nicht um Änderungsrechte geht. Solche Verbindungen bestehen etwa zwischen Applikation und Datenbank, zwischen Applikation und Middleware-Produkten oder auch direkt zwischen Anwendungen.

2. Toolebene

Auf Toolebene ist vor allem die Automation zu beachten, die in immer stärkerem Maße an Bedeutung gewinnt. Hier geht es um Lösungen wie Jenkins, Puppet, Chef, OpenShift oder auch RPA. Darüber hinaus gibt es weitere Tools, die über privilegierte Rechte bis hin zum Domain-Admin-Level verfügen: ein klassisches Beispiel sind Schwachstellen-Scanner.

3. Systemebene

Auf der technologischen Systemebene geht es um System-zu-System-Verbindungen, also um die in vielen Systemen vorhandenen Service-Accounts. Windows etwa verfügt über eine große Anzahl solcher Accounts, um Services im richtigen Kontext zu starten und zu stoppen und um eine Automation auf einem granularen Level zuzulassen.

„Aus Sicherheitssicht führt an einer Verwaltung und Überwachung aller Anmeldeinformationen und vertraulichen Zugangsdaten, die von nicht-menschlichen Benutzern verwendet werden, kein Weg vorbei“, so Kleist. „Die Beseitigung fest programmierter Anmeldeinformationen und ihre Rotation gemäß definierter Richtlinien ist eine wesentliche Komponente eines stringenten Secrets-Management und damit für die Erhöhung der Unternehmenssicherheit von erheblicher Bedeutung.“

www.cyberark.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

cyber Security
Jul 14, 2020

Remote-Access erfordert die Verwaltung und Sicherung privilegierter Zugriffe

Unternehmen müssen in immer stärkerem Umfang Remote-Mitarbeiter und -Dienstleister in der…
Hacker Stoppschild
Mai 23, 2020

Least Privilege-Ansatz: Starke Barrieren gegen Hacker

Bei traditionellen perimeterbasierten Sicherheitskonzepten haben Cyberkriminelle meist…
Mythen und Fakten
Apr 27, 2020

Die vier größten Fehleinschätzungen zum Privileged Access Management

Privileged-Access-Management-Lösungen, die den Zugang zu kritischen…

Weitere Artikel

E-Mail Angst

Die fünf schlimmsten Fehler bei der E-Mail-Kommunikation

Angesichts steigender Corona-Fallzahlen ist eine „zweite Welle“ im Herbst ein wahrscheinliches Szenario. Ungewiss ist noch, welche Maßnahmen dieses Mal zur Eindämmung ergriffen werden. Die erste Lockdown-Phase hat gezeigt, dass für Unternehmen eine effiziente…
Authentifizierung

Mehr Sicherheit und Komfort durch passwortfreie Logins

Passwortverfahren zur eindeutigen Identifizierung von Nutzern sind immer wieder Ziel von Hackerangriffen und gelten zunehmend als Schwachstelle in den IT-Systemen von Industrie und Handel. Nevis gibt einen Überblick der Nutzer- Authentifizierung mittels…
MFA

Multi-Faktor-Authentifizierung weniger sicher als angenommen

Proofpoint hat kürzlich mehrere kritische Sicherheitslücken bei der Implementierung von Multi-Faktor-Authentifizierung (MFA) entdeckt. Diese betreffen Cloud-Umgebungen, bei denen zur Authentifizierung das Protokoll WS-Trust verwendet wird.
Mobile Access

Mobile Access liegt im Trend

In der physischen Zutrittskontrolle werden zunehmend mobile Geräte eingesetzt. So lautet ein zentrales Ergebnis einer Untersuchung von HID Global. Für über die Hälfte der Befragten sind Mobile Access und mobile Apps die Top-Trends in der Zutrittskontrolle.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!