Log-in-Verhalten beobachten

Privilegierte Benutzerkonten schützen

Um sich vor Cyber-Angriffen zu schützen, implementieren Unternehmen neue Sicherheitsmaßnahmen für ihre privilegierten Benutzerkonten. Aber wie können sie dabei den Spagat aus Sicherheit und Usability meistern?

Password Security

Um Cyber-Attacken abwehren zu können, rüsten Unternehmen ihre Schutzmechanismen auf und müssen den Spagat aus Sicherheit und Usability meistern.

In Unternehmen setzt sich die Erkenntnis durch, dass dem Schutz privilegierter Benutzerkonten bei der Abwehr moderner Cyber-Attacken eine Schlüsselrolle zukommt. Und das mit gutem Grund, denn auf dem Weg zu ihrem Ziel wollen die Angreifer oft nur das Eine – die Kontrolle über solche Konten gewinnen. Haben sie erst einmal Zugang dazu, können sie sich durch das Unternehmensnetzwerk bewegen und Ressourcen kontrollieren, Sicherheitssysteme abschalten oder auf vertrauliche Daten zugreifen.

Immer mehr Unternehmen verbessern deshalb ihre Schutzmaßnahmen für die privilegierten Benutzerkonten. Eine der größten Herausforderungen dabei ist es, die richtige Balance zwischen Sicherheit und Usability zu finden. Einerseits müssen die sensiblen Konten geschützt werden, andererseits dürfen sich die Mitarbeiter durch die neuen Maßnahmen nicht eingeschränkt fühlen. Der aktuelle Report „The Balancing Act: The CISO View on Improving Privileged Access Controls“ des Sicherheitsspezialisten Cyberark setzt sich mit der Frage auseinander, wie dieser Spagat gemeistert und Akzeptanz bei den Usern geschaffen werden kann. In den Bericht sind die Einschätzungen und Erfahrungen zahlreicher hochrangiger IT-Sicherheits-Verantwortlicher aus „Global 1.000“-Unternehmen der unterschiedlichsten Branchen eingeflossen.

Grundsätzlich, so die Empfehlung des Reports, sollte bei der Absicherung privilegierter Benutzerkonten auf einen mehrschichtigen Ansatz gesetzt werden, der präventive mit aufdeckenden Instrumenten kombiniert. Aufgabe der vorbeugenden Maßnahmen ist dabei, nicht autorisierte Aktivitäten von vornherein zu verhindern. Die aufdeckenden Maßnahmen sollen ergänzend dazu sicherstellen, bereits stattfindende unautorisierte Zugriffe zu erkennen, bevor sie Schäden anrichten können.

Bei administrativen Benutzerkonten mit einem breiten Zugang zu kritischen Systemen beispielsweise könnte solch ein mehrschichtiger Ansatz folgende Maßnahmen kombinieren:

  • Präventiv werden die Anmeldedaten für Shared Accounts generell in einem einbruchssicheren digitalen Tresor aufbewahrt. Indem die Verwendung der Anmeldedaten außerdem mit eindeutigen User-Ids bzw. den zugehörigen natürlichen Personen verknüpft werden, sind eindeutige Verantwortlichkeiten festgelegt. Darüber hinaus werden die Passwörter automatisch generiert und nach jeder Nutzung sofort geändert.
  • Als aufdeckende Maßnahmen werden sämtliche Sessions aufgezeichnet und überwacht. Dabei kann nicht nur festgehalten werden, wer sich von wann bis wann wo anmeldet, sondern auch, welche Aktivitäten er in seiner Session ausführt. Mithilfe einer selbstlernenden „Baseline“, die das übliche Nutzerverhalten abbildet, und speziellen Analyse-Werkzeugen kann außerdem eine von der Norm abweichende Verwendung von Anmeldedaten erkannt werden.

Gerade die präventiven Maßnahmen müssen aber mit Bedacht eingesetzt werden. In manchen Fällen können einzelne von ihnen zu restriktiv sein, weil sie die Zugriffsmöglichkeiten der User zu sehr einschränken. Wird es ihnen beispielsweise nur erlaubt, zu festgelegten Tageszeiten auf ihre privilegierten Benutzerkonten zuzugreifen, könnte sie das bei einigen Arbeitsabläufen behindern. Außerdem gibt es auch Fälle, in denen präventive Maßnahmen schlicht und einfach nicht praktikabel sind. Das kann etwa der Fall sein, wenn das Sicherheitsteam zu dem Entschluss kommt, dass eine Abteilung den Einsatz privilegierter Benutzerkonten innerhalb eines bestimmten Geschäftsprozesses reduzieren sollte. Würde dies zu sehr großen Prozessveränderungen führen, wäre es aber nicht vertretbar.
In derartigen Fällen sollte unbedingt mit aufdeckenden Maßnahmen ein Ausgleich geschaffen werden. Sie können dafür sorgen, dass die Zugriffe und Abläufe der Nutzer nicht behindert werden und dennoch ein möglichst hohes Maß an Sicherheit gewährleistet ist. Dazu sollte das Unternehmen die betroffenen privilegierten Benutzerkonten penibel überwachen und sofort Alarm auslösen, wenn sie auf unübliche Weise verwendet werden – etwa zu ungewöhnlichen Tageszeiten oder in unüblicher Häufigkeit.

Das kann aber nur dann effizient funktionieren, wenn das Logging-System genügend Kontextinformationen liefert. Sonst sind die Sicherheitsverantwortlichen gezwungen, sämtlichen Abweichungen nachzugehen, egal, ob sie wirklich potentiell gefährlich sind oder nicht. Greift beispielsweise jemand kurz bevor das Unternehmen seine Jahresbilanz veröffentlicht auf das Rechnungswesen zu, ist ohne weitere Informationen nicht erkennbar, ob es sich um eine bösartige Aktivität handeln könnte. Um das zu beurteilen, müssen die Verantwortlichen etwa wissen, ob es außergewöhnlich ist, dass gerade dieser User um diese Tageszeit auf das System zugreift, ob die Anmelddaten aus dem digitalen Passwort-Tresor ausgecheckt wurden oder ob es einen Zusammenhang mit einem Help-Desk-Ticket gibt, das auf ein Problem im Rechnungswesen hindeutet, und deshalb eine IT-Admin-Aktivität legitimieren könnte.

Zusammenarbeit mit den Anwendern erforderlich

Damit neue Sicherheitsmaßnahmen zum Schutz privilegierter Benutzerkonten akzeptiert werden, ist es wichtig, dass die Sicherheitsteams eng mit den Geschäftsprozess-Verantwortlichen und Endnutzern zusammenarbeiten und den Nutzen der Maßnahmen kommunizieren. Jeder vernünftige Anwender wird einsehen, dass etwa privilegierte Zugriffe auf Systeme mit Kreditkartendaten von Kunden besonders geschützt werden müssen. Und da solche Zugriffe auf derartige Systeme ohnehin nur selten nötig sind, halten sich die Einschränkungen durch spezielle Maßnahmen stark in Grenzen. Außerdem sollten die Sicherheitsteams versuchen, nötige Änderungen so zusammenzulegen, dass die Nutzer ihre Abläufe nicht öfter als unbedingt nötig umstellen müssen. Ist beispielsweise die Einführung von Single-Sign-on für den Zugriff auf privilegierte Anmeldedaten geplant, sollte dies in dem Moment realisiert werden, in dem auch andere neue Maßnahmen eingeführt werden.

Wichtig ist es aber auch aufzuzeigen, dass erhöhte Sicherheit nicht zwangsläufig niedrigere Usability bedeutet. Ganz im Gegenteil – bessere Prozesse und Technologien für das Privileged Access Management können auf vielen Gebieten sogar die Produktivität steigern und die Nutzerzufriedenheit erhöhen:

  • durch Single-Sign-on, automatische Zurücksetzung von Passwörtern und automatischer Erstellung von Audit-Reports sparen Administratoren viel Zeit;
  • einige Sicherheitsmaßnahme lassen sich so konfigurieren, dass bei bestimmten Befehlen eine Bestätigung verlangt wird. Fälle, in denen User versehentlich ein File löschen oder einen Serverausfall verursachen, lassen sich so reduzieren und die Systemverfügbarkeit steigt;
  • durch bessere forensische Möglichkeiten können die Wiederherstellungszeiten nach einem Ausfall verkürzt werden. Die Aufzeichnung privilegierter Sessions ermöglicht es im Vergleich zu Server-Logs schneller nachzuvollziehen, welche Änderungen vor kurzem gemacht wurden;
  • liegen detaillierte User Access Logs vor, lassen sich wiederkehrende Muster für das Trouble-Shooting erkennen, beispielsweise wenn einem bestimmten Problem immer dieselben User-Aktionen vorausgehen.

Wie alle Security-Initiativen hat auch die Implementierung neuer Sicherheitsmaßnahmen für privilegierte Benutzerkonten Auswirkungen auf die IT und das Geschäftsleben – und kann damit auf Widerstände stoßen. Der Eindruck von Usern, dass diese Maßnahmen ihre Arbeit erschweren wird, ist aber in den allermeisten Fällen mehr eine Frage der Wahrnehmung als der Realität. Die enge Zusammenarbeit der Sicherheitsteams mit Usern, Entwicklern und allen übrigen Stakeholder ist deshalb der Schlüssel für eine erfolgreiche Initiative zum Schutz privilegierter Benutzerkonten.
 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok