Das 1×1 des Least-Privilege-Prinzips

Zugriff, IAM, Least-Privilege

Nach dem Principle-of-Least-Privilege (kurz PoLP, zu Deutsch Prinzip der geringsten Berechtigungen) sollte die IT-Sicherheitsarchitektur in Unternehmen so gestaltet sein, dass jede Anwendung, jede Computer-Instanz und jeder IT-User nur den minimalst notwendigen Systemzugang zu Ressourcen und Berechtigungen erhält, die er oder sie zur Erfüllung der eigenen Funktion benötigt. Sinn und Zweck dieses Ansatzes ist es, Daten und Systeme vor unbefugtem und womöglich schadhaftem Zugriff bestmöglich zu schützen.

So weit so einleuchtend. Jedoch ist das Least-Privilege-Prinzip kein festgelegtes Konzept mit zehn immergleichen Schritten, das man jedem Unternehmen umstülpen kann. Der Weg bis zur Umsetzung variiert von Unternehmen zu Unternehmen anhand unterschiedlicher Faktoren, unter anderem: in welchem Sektor ist das Unternehmen tätig? Wie viele Mitarbeiter gibt es, und wie viele davon IT-User? Wie viele Standorte? Wie komplex ist die technische Umgebung und welche Systeme sind im Einsatz? Wo sind sensible Daten abgelegt, und wer hat darauf Zugriff? Wer verwaltet das Ganze, und wie?

Anzeige

All diese Faktoren beeinflussen, welche Maßnahmen ein Unternehmen setzen muss, um das Least-Privilege-Prinzip zu erreichen und auch beizubehalten.

Warum ist das Least-Privilege-Prinzip so wichtig?

Das Stichwort lautet: Risikominderung. Egal wie eine Firma aufgebaut ist, das Ziel ist immer, sensible Daten gegen Angriffe jeder Art abzuschirmen. Unternehmen, die den Zugriff auf ihre Systeme und Informationen auf das Wesentliche beschränken, können die Angriffsfläche für potenzielle Bedrohungen signifikant verringern.

Angenommen, es wird ein Benutzerkonto kompromittiert oder ein Mitarbeiter stiehlt Daten aus Boshaftigkeit oder um sich selbst zu bereichern – wenn diesem Benutzer zuvor nur minimale Rechte eingeräumt wurden, ist der potenzielle Schaden, den er anrichten kann, begrenzt. Auch ein Angreifer von außen kann zunächst nur auf jene Daten zugreifen, auf die das Benutzerkonto Zugriff hat.

Privilege Creep: Eine Fantasiereise

Stellen wir uns folgendes Szenario vor: David arbeitet seit fünf Jahren für eine mittelständische Firma. Er fing als Praktikant an, wo er zwischen unterschiedlichen Abteilungen rotierte, bevor er nach einem Jahr ins Marketing-Team übernommen wurde. Später wechselte er in den Verkauf. Für jede Abteilung wurden ihm von der IT neue Zugriffsrechte erteilt. So sammelte er über die Jahre ein erhebliches Maß an Berechtigungen an – jedoch wurden ihm diese bei seinen diversen Abteilungswechseln nicht entzogen. Auch für allerlei Projekte bekam er zusätzliche Rechte erteilt.

Auf Grund von verschachtelten Ordner- und Berechtigungsstrukturen und der chronischen Unterbesetzung in der IT hatte die Abteilung Schwierigkeiten, den Überblick über alle Berechtigungen zu behalten. Somit behielt David Zugriff auf alle möglichen Kunden- und Firmendaten aus seinen vorangegangenen Positionen. Privilege Creep nennt man das Phänomen, bei dem sich schleichend die Berechtigungen ansammeln.

Zum Ende des Monats, zwar etwas früher als gewohnt, bekommt David wie üblich seinen Lohnzettel von Beate aus der externen Personalverrechnung per E-Mail zugeschickt. Er öffnet das PDF – und installiert damit unwissentlich Malware im System. Denn was David nicht weiß: die E-Mail kam gar nicht von Beate, sondern von einem Hacker, der eine ähnliche Absenderadresse wie Beates benutzte. Über die platzierte Schadsoftware kann der Eindringling Davids Konto kapern und bekommt nun Zugriff auf alle Daten, auf die auch David Zugriff hat – ohne dass David sofort etwas davon mitbekommt. Nun muss die Firma mit folgenden Konsequenzen rechnen:

  • Datendiebstahl: der Angreifer extrahiert wichtige Daten und stellt diese u.U. zum Verkauf ins Darknet.
  • Privilege Escalation: der Eindringling nutzt Davids weitreichende Berechtigungen, um sich seitwärts im System zu bewegen („Lateral Movement“), noch mehr Daten zu stehlen und womöglich Zugriff auf ein Administratorenkonto zu bekommen („Vertical Movement“), mit dem er noch größeren Schaden anrichten kann.
  • Ransomware-Angriff: der Angreifer verschlüsselt alle Daten im System, nachdem er sie gestohlen hat, und verlangt Lösegeld im Gegenzug zur Wiederherstellung der Daten/Systeme. Ransomware-Angriffe sind teuer und haben weitreichende Konsequenzen.
  • Compliance-Probleme: Datenvorfälle werden unter der DSGVO und anderen Compliance-Richtlinien u.a. mit Geldstrafen geahndet.
  • Reputationsverlust: Unternehmen, die Opfer eines Ransomware- oder Cyberware-Angriffs geworden sind und nicht mehr den Compliance-Richtlinien entsprechen können, verlieren das Vertrauen ihrer Kunden.

Hätte der Klick auf die verseuchte Datei verhindert werden können? Vielleicht, wenn David besser auf den Absender achtgegeben hätte. Hätte die Ausbreitung von Berechtigungen seitens des Täters auf sensible Firmen- und Kundendaten verhindert oder zumindest eingeschränkt werden können? Mit Sicherheit! Denn wäre die Firma nicht so nachlässig mit der Umsetzung von Least-Privilege umgegangen, so hätte es von vornherein einen strikten Workflow zur Vergabe und Entziehung von Berechtigungen gegeben und David hätte niemals eine so große Menge an Berechtigungen ansammeln können.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Least-Privilege umsetzen: Diese Maßnahmen sollten Sie setzen

Um das Least-Privilege-Prinzip effektiv umzusetzen, müssen Unternehmen eine sorgfältige Bewertung ihrer Daten und Systeme durchführen. Dazu gehört die Aufstellung aller Benutzer und ihrer Tätigkeiten sowie den Berechtigungen, die sie dafür brauchen. Anhand dieser Analyse sollten daraufhin die Zugriffsechte entsprechend konfiguriert werden. Das heißt:

  • Privilegierte Konten ausfindig machen und Rechte entziehen, die nicht mehr benötigt werden.
  • Implementierung von Role-Based Access Control: hierbei werden Rollen definiert, denen Benutzer anhand ihres Aufgabenbereichs zugeordnet werden können und so die notwendigen Berechtigungs-Sets erhalten.
  • Strikte Kontentrennung – Administratoren sollten mindestens zwei Konten besitzen: eines für alltägliche Tätigkeiten, wie E-Mails lesen, und ein Administratorkonto, mit dem sie heiklere Angelegenheiten abwickeln, wie z.B. die Zuweisung von Benutzerrechten.
  • Regelmäßige Überprüfung von Konten und Berechtigungen, um sicherzustellen, dass keine verwaisten Konten existieren und um Privilege Creep vorzubeugen.
  • Mitarbeitende auf die Gefahren von Phishing, Social Engineering & Co. sensibilisieren. Außerdem verdeutlichen, warum es wichtig ist, dass Berechtigungen strikt vergeben und überwacht werden müssen, auch wenn es zuvor im Unternehmen anders gehandhabt wurde.

Herausforderungen bei der Umsetzung von Least-Privilege

Je mehr IT-User in einem Unternehmen sind, desto schwieriger wird es für die zuständigen IT-Fachkräfte, den Überblick über Berechtigungen zu behalten und diese auch angemessen zu verwalten – insbesondere, wenn die Verwaltung manuell, z.B. über Excel-Listen, E-Mails und Outlook-Kalender (oder gar über händisch geführte Notizen und Post-ist) abgewickelt wird. Dass dieser Weg fehleranfällig ist, überrascht nicht und ist auch von jeglichen IT-Security Best-Practices weit entfernt.

Doch auch mit den von Windows zur Verfügung gestellten Boardmitteln ist die korrekte und fehlerfreie Umsetzung von Least-Privilege nicht einfach, wenn gar unmöglich. Externe Lösungen, wie zum Beispiel die Identity Access Management Lösung tenfold, sind speziell für die Verwaltung von Benutzern und Berechtigungen konzipiert. Sie helfen IT-Admins nicht nur dabei, den Überblick über die Berechtigungssituation zu behalten, sondern sorgen auch dafür, dass nicht mehr benötigte Berechtigungen rechtzeitig entzogen werden.

Helmut

Semmelmayer

Senior Manager Channel Sales

tenfold

Als Senior Manager Channel Sales bei dem IAM-Entwickler tenfold hilft der IT-Sicherheitsexperte Helmut Semmelmayer Firmen dabei, Zugriffsrechte sicher und effizient zu verwalten. (Bildquelle: LinkedIn)
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.