von Redaktion IT-A…
Lesezeit
2 Minuten
Sicherer Umgang mit privilegierten Benutzerkonten
Datenmissbrauch oder -diebstahl ist längst kein Einzelfall mehr und für Unternehmen in der Regel mit erheblichen Imageschäden oder finanziellen Verlusten verbunden. Dabei hat sich gezeigt, dass sowohl Cyber-Attacken als auch Insider-Angriffe häufig auf eine missbräuchliche Nutzung privilegierter Benutzerkonten zurückzuführen sind. Ohne eine strikte Vergabe und Kontrolle von IT-Berechtigungen sind Unternehmen hier potenziellen Angreifern schutzlos ausgeliefert.
Datenpannen, Datenmissbrauch, Datenlecks, Identitätsdiebstahl: Vorfälle dieser Art haben in Deutschland im Jahr 2013 wieder deutlich zugenommen, so lautet das Ergebnis des von der Münchner Agentur PRCOM initiierten "Projektes Datenschutz". Insgesamt 50 Datenpannen sind öffentlich geworden. Durch die nach wie vor laxe Auslegung der Meldepflicht dürfte die Dunkelziffer aber wesentlich höher liegen. Die Konsequenzen dieser Datenpannen können für Unternehmen weitreichend sein, von einem temporären Imageschaden bis zu einem nachhaltigen finanziellen Verlust.
Das Problem ist bekannt, doch trotzdem ergreifen viele Unternehmen adäquate Sicherheitsmaßnahmen nur zögerlich und vielfach auch in unzureichendem Maße. Denn mit einer herkömmlichen Abschottung des eigenen Firmennetzes von der "Außenwelt" ist es keineswegs getan.
Das belegen auch die zahlreichen fortschrittlichen, zielgerichteten Web-Attacken der jüngsten Vergangenheit. Bei diesen so genannten Advanced Persistent Threats (APTs) wurden fast ausschließlich privilegierte Benutzerkonten – wie sie Administratoren besitzen – als Einfallstor genutzt. In all diesen Fällen hat sich gezeigt, dass die klassische Perimeter-Sicherheit mit der Nutzung von Firewalls, Antiviren-Scannern oder Webfilter-Techniken heute keinen ausreichenden Schutz mehr vor externen Angriffen bietet.
Sicherheitsrisiko privilegierte Accounts
In einer Zeit, in der sich der Perimeter-Schutz somit als Schwachstelle erwiesen hat und zunehmend Strategien zur missbräuchlichen Nutzung der Passwörter von Administratoren entwickelt werden, sind neue Sicherheitskonzepte gefragt, und zwar in den Bereichen Zugriffsschutz und Rechtemanagement. Das heißt, die Systeme und Applikationen selbst müssen in den Fokus der Sicherheitsstrategie rücken und das macht die Implementierung einer Lösung im Bereich Privileged Account Security erforderlich.
Die Verwaltung privilegierter Benutzerkonten ist per se keine einfache Aufgabe, da eine typische IT-Umgebung aus Hunderten oder Tausenden von Servern, Datenbanken und Netzwerkgeräten besteht, die über persönliche, häufig aber auch über generische, manchmal sogar lokale Admin-Accounts gesteuert und verwaltet werden. Die Verwaltung und Überwachung der IT-Berechtigungen ist aber unverzichtbar, weil das damit verbundene Sicherheitsrisiko immens ist. Über die privilegierten Benutzerkonten ist ein uneingeschränkter Zugriff auf Unternehmenssysteme möglich, das heißt, wer Zugang zu einem privilegierten Benutzerkonto erhält, kann Unternehmensressourcen kontrollieren, Sicherheitssysteme ausschalten und auf vertrauliche Daten zugreifen. Und dies machen sich immer mehr Angreifer zunutze.
Rechtliche Vorgaben forcieren Lösung
Eine Lösung zur Vergabe und Kontrolle von IT-Berechtigungen ist allein schon aufgrund gesetzlicher und aufsichtsrechtlicher Richtlinien unverzichtbar. So finden sich in zahlreichen international gültigen Bestimmungen und Compliance-Vorgaben Regelungen für das Passwort-Management. Beispiele hierfür sind ISO 27001 und ISO 27002, der Sarbanes Oxley Act, SAS70/SSAE16 oder Basel II. Aber auch in nationalen Gesetzestexten wie dem KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), den GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) oder dem BDSG (Bundesdatenschutzgesetz) sind entsprechende Vorgaben für IT-Verantwortliche enthalten.
Beispielsweise heißt es in der Anlage zu §9 Satz 1 des Bundesdatenschutzgesetzes ganz klar: Es ist zu "gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)."
Seite 1: Sicherheitslücke Admin-Account
Seite 2: Vertrauen ist gut, Überwachung ist besser
dr/ln/Jochen Koehler, Regional Director DACH bei CyberArk
Das Problem ist bekannt, doch trotzdem ergreifen viele Unternehmen adäquate Sicherheitsmaßnahmen nur zögerlich und vielfach auch in unzureichendem Maße. Denn mit einer herkömmlichen Abschottung des eigenen Firmennetzes von der "Außenwelt" ist es keineswegs getan.
Das belegen auch die zahlreichen fortschrittlichen, zielgerichteten Web-Attacken der jüngsten Vergangenheit. Bei diesen so genannten Advanced Persistent Threats (APTs) wurden fast ausschließlich privilegierte Benutzerkonten – wie sie Administratoren besitzen – als Einfallstor genutzt. In all diesen Fällen hat sich gezeigt, dass die klassische Perimeter-Sicherheit mit der Nutzung von Firewalls, Antiviren-Scannern oder Webfilter-Techniken heute keinen ausreichenden Schutz mehr vor externen Angriffen bietet.
Sicherheitsrisiko privilegierte Accounts
In einer Zeit, in der sich der Perimeter-Schutz somit als Schwachstelle erwiesen hat und zunehmend Strategien zur missbräuchlichen Nutzung der Passwörter von Administratoren entwickelt werden, sind neue Sicherheitskonzepte gefragt, und zwar in den Bereichen Zugriffsschutz und Rechtemanagement. Das heißt, die Systeme und Applikationen selbst müssen in den Fokus der Sicherheitsstrategie rücken und das macht die Implementierung einer Lösung im Bereich Privileged Account Security erforderlich.
Die Verwaltung privilegierter Benutzerkonten ist per se keine einfache Aufgabe, da eine typische IT-Umgebung aus Hunderten oder Tausenden von Servern, Datenbanken und Netzwerkgeräten besteht, die über persönliche, häufig aber auch über generische, manchmal sogar lokale Admin-Accounts gesteuert und verwaltet werden. Die Verwaltung und Überwachung der IT-Berechtigungen ist aber unverzichtbar, weil das damit verbundene Sicherheitsrisiko immens ist. Über die privilegierten Benutzerkonten ist ein uneingeschränkter Zugriff auf Unternehmenssysteme möglich, das heißt, wer Zugang zu einem privilegierten Benutzerkonto erhält, kann Unternehmensressourcen kontrollieren, Sicherheitssysteme ausschalten und auf vertrauliche Daten zugreifen. Und dies machen sich immer mehr Angreifer zunutze.
Rechtliche Vorgaben forcieren Lösung
Eine Lösung zur Vergabe und Kontrolle von IT-Berechtigungen ist allein schon aufgrund gesetzlicher und aufsichtsrechtlicher Richtlinien unverzichtbar. So finden sich in zahlreichen international gültigen Bestimmungen und Compliance-Vorgaben Regelungen für das Passwort-Management. Beispiele hierfür sind ISO 27001 und ISO 27002, der Sarbanes Oxley Act, SAS70/SSAE16 oder Basel II. Aber auch in nationalen Gesetzestexten wie dem KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), den GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) oder dem BDSG (Bundesdatenschutzgesetz) sind entsprechende Vorgaben für IT-Verantwortliche enthalten.
Beispielsweise heißt es in der Anlage zu §9 Satz 1 des Bundesdatenschutzgesetzes ganz klar: Es ist zu "gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)."
Seite 1: Sicherheitslücke Admin-Account
Seite 2: Vertrauen ist gut, Überwachung ist besser
| Seite 1 von 2 | Nächste Seite >> |
dr/ln/Jochen Koehler, Regional Director DACH bei CyberArk