Steigender Datenmissbrauch

Priviligierte Benutzerkonten als Einfallstor

Die Zahl der von Datenmissbrauch oder -diebstahl betroffenen Unternehmen steigt weiter kontinuierlich. Neben Cyberattacken häufen sich auch die Fälle von Insiderangriffen. Eines hat sich dabei ganz klar gezeigt: Privilegierte Benutzerkonten – wie sie Administratoren besitzen – sind das Einfallstor schlechthin.

Schlüsselübergaben, Bildquelle: Cyberark

Auf der sicheren Seite: Eine Privileged-Account-Security-Lösung muss eine sofortige Reaktion bei Sicherheitsvorfällen bzw. Verdachtsmomenten ermöglichen.

Ohne entsprechende Sicherungsmaßnahmen sind Unternehmen hier potentiellen Angreifern hilflos ausgeliefert. Die Verwaltung von administrativen Benutzerkonten gehört zu den größten Herausforderungen, denen sich die IT heute zu stellen hat. Die Problematik liegt auf der Hand: Eine typische IT-Umgebung besteht aus Hunderten oder Tausenden von Servern, Datenbanken und Netzwerkgeräten. Sie werden über persönliche, häufig aber auch über generische, manchmal sogar lokale Admin-Accounts gesteuert und verwaltet. Die Schwachstelle ist, dass sich auf den IT-Systemen meistens identische Passwörter befinden, die nur selten oder überhaupt nicht geändert werden. Das damit verbundene Sicherheitsrisiko ist immens, da über die privilegierten Benutzerkonten ein uneingeschränkter Zugriff auf unternehmenskritische Datenbestände möglich ist. Und dies machen sich immer mehr Angreifer zunutze.

Das zeigen u.a. auch die zahlreichen fortschrittlichen, zielgerichteten Webattacken der jüngsten Vergangenheit. Bei diesen so genannten Advanced Persistent Threats (APTs) wurden fast ausschließlich privilegierte Accounts als Einfallstor genutzt. Die missbräuchliche Nutzung privilegierter Accounts ist aber nicht nur ein Thema im Hinblick auf externe Angriffe. Ein Beispiel für einen Insiderdatendiebstahl hat Edward Snowden im Jahr 2013 geliefert, der als Systemingenieur und -administrator fungierte und damit die Möglichkeit hatte, auf hochvertrauliche Informationen zuzugreifen.

Aufgrund dieser Vorfälle erkennen immer mehr Unternehmen, dass privilegierte Benutzerkonten eine Sicherheitslücke darstellen und dass eine stringente Passwortverwaltung nicht nur aus Compliance-Gründen, sondern vor allem unter Sicherheitsaspekten geboten ist. Das starke Wachstum des Marktes für Privileged-Account-Security-Lösungen belegt diese Entwicklung, denn mit solchen Lösungen können privilegierte Zugriffe auf beliebige Zielsysteme zentral berechtigt, kontrolliert und revisionssicher auditiert werden.

Gefährliche Aktivitäten identifizieren

Beim Einsatz einer Lösung zur Sicherung der privilegierten Accounts stehen Unternehmen mehrere Möglichkeiten offen: Sie können auf eine Hardware-Appliance, eine softwarebasierte Virtual Appliance oder eine reine Software-Anwendung setzen. Bei der Entscheidung für eine Lösung ist nur darauf zu achten, dass sie neben einer regelmäßigen Änderung der Server-, Datenbank- und Netzwerkpasswörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit aller Aktivitäten bietet. Mittels solcher Sessionprotokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, auf welche er zugreift und was er mit diesen Informationen macht. Dabei sollten alle Aktionen vom Zeitpunkt der Anmeldung am System bis zur Abmeldung revisionssicher aufgezeichnet werden.

Konkret sollte eine Sicherheitslösung im Bereich der privilegierten Accounts dreierlei bieten: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Grundvoraussetzung ist, dass die Anwendung eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Unternehmenssysteme enthält. Zudem muss die Lösung eine vollständige Überwachung der Nutzung privilegierter Accounts gewährleisten. Nur dadurch können Unternehmen irreguläre oder gefährliche Aktivitäten identifizieren. Idealerweise können mit der Lösung auch verdächtige Aktivitäten bei privilegierten Benutzerkonten erkannt werden, beispielsweise eine Account-Nutzung zu einer eher unüblichen Zeit. Speziell für diese Anforderung hat etwa Cyberark seine Lösung Privileged Threat Analytics entwickelt, mit der für jeden Nutzer privilegierter Konten ein Verhaltensprofil erstellt werden kann, das zudem permanent aktualisiert wird, das heißt, die Lösung „lernt“ kontinuierlich und berücksichtigt damit auch „normale“ Verhaltensänderungen der Anwender.

Nicht zuletzt muss eine Privileged-Account-Security-Lösung natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen bzw. Verdachtsmomenten ermöglichen – sei es durch den Entzug von privilegierten Zugriffsberechtigungen oder durch das Schließen einer identifizierten Sicherheitslücke. Nur wenn ein Unternehmen eine solche Lösung im Bereich der privilegierten Benutzerkonten implementiert hat, mit der eine zentrale Kontrolle, permanente Überwachung und Echtzeitreaktionsmöglichkeiten gewährleistet sind, ist es auf der „sicheren Seite“ und zuverlässig geschützt vor Cyber- und Insiderkriminalität.


Implementierungsschritte bei Privileged-Account-Security-Lösungen

Bei der Implementierung einer Lösung im Bereich „Privileged Account Security“ hat sich eine schrittweise Vorgehensweise bewährt. Zunächst müssen die Passwörter zentral gespeichert und alle Zugriffe auf diese Passwörter kontrolliert und protokolliert werden. Genutzt werden sollten dabei Features wie:

  • Verification (Überprüfung der Gültigkeit der Passwörter auf dem Zielsystem)
  • Reconciliation (kontrolliertes Zurücksetzen von Passwörtern im Falle einer erkannten Abweichung)
  • Dual Control (Steuerung von Passwortzugriffen über ein Vier-Augen-Prinzip)
  • Password Expiration Alert (Versenden einer Warnmeldung für Passwörter, für die gemäß der Passwortrichtlinie eine Änderung ansteht).

Anschließend sollte eine schrittweise Aktivierung der automatischen Anwendung vorher festgelegter Passwort-Policies unter Nutzung von Features wie „One-Time Password“ (zeitnahe erneute Änderung des entnommenen Passworts) oder „Exclusive Password“ (Unterbindung der gleichzeitigen Nutzung desselben Passworts durch mehr als eine Person) erfolgen.

(Bild-)Quelle: Cyberark

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok