Überwachung von Zugriffsrechten

Privilegierte Benutzer-Accounts schützen

Wie sich die Zugriffsrechte spezieller Nutzer-Accounts überwachen lassen, erläutert Ralf Nitzgen, Allgeier IT Solutions GmbH, im Interview.

Ralf Nitzgen, Allgeier IT Solutions

„Über eine Inventarisierung privilegierter Accounts behält man den Überblick der sich im Einsatz befindlichen Accounts", rät Ralf Nitzgen.

IT-DIRECTOR: Herr Nitzgen, welche Arten von privilegierten Accounts gibt es?
R. Nitzgen:
Privilegierte Accounts werden überall dort benötigt, wo systemnahe Zugriffe notwendig sind. Die Verwaltung einer Datenbank, die Administration von Sharepoint-Servern, System-Usern und Administratoren – all diese Bereiche werden mit privilegierten Accounts abgebildet.

IT-DIRECTOR: Diese Benutzerkonten werden zunehmend als Einfallstor für Datensabotage oder -Diebstahl missbraucht. Welche Maßnahmen gilt es zu ergreifen?
R. Nitzgen:
Privilegierte Konten sind für Angreifer deshalb primäres Angriffsziel, da nach der Übernahme deren erweiterte Rechte dazu führen, einen vollen und ungehinderten Zugriff auf das System und den dort gespeicherten Daten zu erhalten. Daher sind privilegierte Accounts besonders zu schützen.

Diese Accounts sollten nur die Rechte auf dem System erhalten, die tatsächlich für die Durchführung der Aufgabe notwendig sind. Sinnvollerweise wird dort, wo es angebracht ist, ein sogenanntes 4-Augenprinzip eingeführt. So erhält niemals eine einzelne Person alleinigen Zugang zu einem solchen Account. Die Verwendung dieser Accounts ist durch entsprechende Protokoll- und Auswertungsmaßnahmen engmaschig zu kontrollieren.

IT-DIRECTOR: Welche Funktionalitäten sollte eine Sicherheitslösung im Bereich Privileged Management bieten?
R. Nitzgen:

  • Über eine Inventarisierung privilegierter Accounts behält man den Überblick der sich im Einsatz befindlichen Accounts
  • Automatische Protokollierung, Auswertung sowie Alarmierung bei der Verwendung privilegierter Accounts – Transparenz ist hier wichtig, die unbemerkte Verwendung dieser Accounts muss unbedingt vermieden werden
  • Unterstützung der Prozesse im Unternehmen – Eine Policy sollte definiert werden, die die Art des Zugriffs einzelner privilegierter Accounts festlegt. Was sogenannten Super-Usern im Unternehmen gestattet werden soll, muss in einem System abgebildet werden können. So kann auch die Einhaltung der definierten Policy systematisch geprüft werden.

IT-DIRECTOR: Wie lässt sich sicherstellten, dass Mitarbeiter nur die Rechte erhalten, die für ihren Tätigkeitsbereich erforderlich sind?
R. Nitzgen:
Dies ist nur durch regelmäßige Revisionen möglich, in deren Rahmen die „Rechtmäßigkeit“ des Zugriffs oder gar des Vorhandenseins eines privilegierten Accounts geprüft wird. Ein System kann hier unterstützen, indem es Auswertungen bezüglich der durchgeführten Zugriffe mithilfe privilegierter Accounts zur Verfügung stellt. Eine abnehmende Häufigkeit der Zugriffe könnte ein Indiz dafür sein, dass dieser Benutzer nicht mehr benötigt wird.

IT-DIRECTOR: Welche Auswirkungen haben Cloud-Services auf die sichere Verwaltung privilegierter Accounts?
R. Nitzgen:
Werden in der Cloud Dienste in Anspruch genommen, besteht das Problem, dass einige privilegierte Accounts nicht vom eigenen Unternehmen sondern von Mitarbeitern eines Fremdunternehmens genutzt werden. Hier besteht keine Kontrolle für das Unternehmen selbst. Einen wirksamen Schutz bietet in diesem Fall nur noch die Verschlüsselung der Daten, die in den Cloud-Systemen gespeichert werden. Geeignete Produkte sind dafür vorzusehen.

IT-DIRECTOR: Geben Sie drei Tipps, die Großunternehmen im Zusammenhang mit Privileged Identity
R. Nitzgen:

  • Erstellen einer Policy für die Beantragung sowie Nutzung privilegierte Accounts
  • Eine engmaschige und systematische Überwachung der Verwendung privilegierter Accounts und deren Revision
  • Einsatz von sogenannten DLP-Systemen und Verschlüsselung der Daten

 

 

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok