Fachartikel

Missbrauch privilegierter Accounts verhindern (1)

IT-Administratoren genießen in der Regel das volle Vertrauen ihrer Vorgesetzten und auch der Mitarbeiter ihrer Organisation. Das muss auch so sein, denn bekanntermaßen haben Personen mit Systemadministrationsrechten Zugriff auf praktisch alle Informationen und Daten, die auf den von ihnen verwalteten Systemen gespeichert sind. Nun sind etliche Sicherheitsvorfälle der vergangenen Jahre gerade auf den Missbrauch solch privilegierter Zugänge zurückzuführen. Ein belastbares IT-Sicherheitskonzept muss diese Problematik berücksichtigen und Maßnahmen für eine sichere IT-Administration sicherstellen. Im ersten Teil der Workshopserie erklären wir, warum Admin-Accounts besonders schützenswert sind und wie Vorsichtsmaßnahmen gegen Missbrauch aussehen können.
Privilegierte Konten befinden sich leider nicht immer in der Hand derer, die auch verantwortungsvoll damit umgehen.
Gelangen vertrauliche Informationen, beispielsweise über einen bevorstehenden Unternehmensverkauf oder eine Fusion, zur Unzeit an die Öffentlichkeit, kann das für eine Organisation oder deren Börsenkurs einen enormen Schaden bedeuten. Bei der Suche nach dem Schuldigen geht der Blick deshalb meist unweigerlich in Richtung IT-Abteilung, schließlich verfügen die Mitarbeiter dort ja über alle erforderlichen Zugriffsberechtigungen. Schnell sehen sich Administratoren dann unter Generalverdacht.

Doch so einfach ist das Ganze nicht. Denn unabhängig von der formaljuristischen Beweispflicht bei der Überführung eines Innentäters werden die betroffenen Administratoren schon aus moralischen Gründen versuchen zu beweisen, dass sie eben nicht für den Rechtemissbrauch verantwortlich sind – eine für alle Beteiligten äußerst schwierige Situation.

Innentäter keineswegs eine Seltenheit
Und tatsächlich belegen verschiedene Studien, dass Administratoren ihre Rechte durchaus dazu nutzen, Informationen einzusehen, die eigentlich nicht für sie bestimmt sind. In einer Umfrage durch Balabit gab immerhin ein Viertel der Befragten an, in der Vergangenheit bereits auf vertrauliche Personalinformationen wie Gehaltslisten, Arbeitsverträge oder Abmahnungen zugegriffen zu haben. Deutlich über zehn Prozent lesen demnach regelmäßig E-Mails ihrer Kollegen mit und ein kleiner Anteil hat sogar zugegeben, durch Manipulation von Protokollinformationen das eigene Verhalten verschleiert zu haben.

Das ist selbstverständlich nicht in Ordnung, jedoch dürfte der Anteil in anderen Berufsgruppen ähnlich hoch sein. Schließlich sieht auch der neugierige Bankangestellte Gehaltseingang und Vermögen auf den Bankkonten, Steuerberater und Finanzbeamte kennen sogar das komplette Jahreseinkommen. Und auch Ärzte und Pflegekräfte haben in der Regel uneingeschränkten Zugang zu Gesundheitsdaten und den Lebensumständen ihrer Patienten. Vielfältig sind auch die Gründe, warum sich vereinzelt Personen Zugriff auf derlei Informationen verschaffen. Doch egal ob nun durch Neugier, Angst um den eigenen Job oder echte Untreue motiviert – stets handelt es sich dabei um eine strafbare Handlung. Wer erwischt wird, muss neben einer Strafanzeige deshalb auch damit rechnen, künftig nie wieder in einer Vertrauensposition arbeiten zu können [1].
Problemfeld Admin-Account
Werden privilegierte Accounts missbraucht, sind dafür glücklicherweise meist nicht die Mitarbeiter der IT-Abteilung verantwortlich. Denn viele Unternehmen nutzen noch immer Shared Accounts. Dabei teilen sich mehrere Personen die gleichen Zugangsdaten für den Zugriff auf bestimmte Systeme. Das sollten IT-Verantwortliche unbedingt vermeiden, damit jede durchgeführte Aktion immer einer natürlichen Person zugeordnet werden kann.

Häufig stellt aber auch das Passwortmanagement einer Organisation das eigentliche Problem dar. So bleibt das Passwort für das Administrator-, Domänenadmin- oder root-Konto oft über Jahre unverändert. Dahinter steckt die Befürchtung, dass wichtige Systemdienste oder auch Backupprozesse nicht mehr laufen, wenn vergessen wurde, das Passwort dort ebenfalls zu ändern. Häufig sind auch Versäumnisse bei der Passwortverwaltung dafür verantwortlich, dass das Admin-Passwort in nicht autorisierte Hände gelangt.

Eine weitere Problematik ergibt sich durch Rechteausweitung (Privilege Escalation). Dabei können sich reguläre Benutzer ohne Kenntnis des Administratorenpassworts administrative Rechte verschaffen, indem sie den Hash des Admin-Kontos aus dem Arbeitsspeicher einfach weiter nutzen (Pass-the-hash-Angriff). Hat sich ein Domänenadministrator per Fernzugriff auf der Workstation eines Benutzers einmal eingeloggt, kann ein normaler Benutzer zum Beispiel mit Hilfe des Tools "mimikatz" [2] den Hashwert des Admin-Kontos dazu verwenden, beispielsweise eine Shell mit Admin-Rechten auf dem Domaincontroller zu starten.

Vorsichtsmaßnahmen treffen
Gerade weil schon der Verdacht auf missbräuchliche Verwendung von Administrationsrechten für alle Beteiligten so heikel ist, müssen sich Unternehmensleitung und IT-Abteilung frühzeitig darüber abstimmen, welche Sicherheitsmaßnahmen für Systemadministratoren getroffen werden sollen. Neben einer sorgfältigen Personalauswahl (polizeiliches Führungszeugnis) und organisatorischen Regelungen (Admin-Richtlinie) kommen auch technische Systeme für die Überwachung administrativer Zugriffe in Frage. Dabei geht es nicht um Leistungskontrolle, sondern ausschließlich darum sicherzustellen, dass administrative Zugriffe lediglich für die Erfüllung regulärer Aufgaben genutzt werden. In erster Linie müssen sich also Unternehmensleitung und IT-Abteilung auf geeignete Maßnahmen verständigen. Es ist aber in jedem Fall sinnvoll, auch den Datenschutzbeauftragten und – wenn vorhanden – den Betriebs- oder Personalrat einzubinden.

Einige der wichtigsten Vorsichtsmaßnahmen schauen wir uns nun im Detail an und beginnen mit dem Punkt "Default-Admin-Konten abschalten". Die meisten Systeme werden mit einem Default-Konto und manchmal auch einem Default-Passwort für die Systemadministration ausgeliefert. Informationen zu Default-Konten und -Passwörtern lassen sich mit Hilfe von Google leicht recherchieren und müssen deshalb unverzüglich geändert werden. Idealerweise achten Sie bereits bei der Anschaffung darauf, dass Systeme personalisierte Admin-Accounts und Single Sign-On beziehungsweise Single-Passwort-Verfahren mit Authentifizierung gegen das Active Directory unterstützen. Ist eine solche Unterstützung nicht gegeben, ist das Default-Admin-Konto auf jeden Fall durch ein neues administratives Benutzerkonto zu ersetzen.

Darüber hinaus müssen alle Personen, die Administratorenfunktionen ausüben, über zwei eigene Konten verfügen. Über einen normalen Benutzer-Account mit eingeschränkten Berechtigungen werden typische Anwenderaufgaben wie Arbeiten mit Standardprogrammen durchgeführt. Das zweite Konto ist ebenfalls personalisiert, aber Teil der Administratorengruppe im AD. Dieses Konto dient ausschließlich administrativen Tätigkeiten.

Auch eine Art der "Gewaltenteilung" sollten Sie nicht aus den Augen verlieren: Vermeiden Sie Machtkonzentrationen, bei denen einzelne Benutzer "allmächtige" Berechtigungen erhalten. Erarbeiten Sie stattdessen ein Rollenkonzept, bei dem sich verschiedene Administratoren Berechtigungen nach dem Need-To-Know-Prinzip teilen.

Betreiber kritischer Infrastrukturen (KRITIS, beispielsweise Energieversorger) sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen und in diesem Zuge einen Informationssicherheitsbeauftragten zu bestellen. Auch ohne gesetzliche Verpflichtung kann die Ernennung eines IT-Sicherheitsbeauftragten außerhalb der IT-Abteilung sinnvoll sein, zum Beispiel zur Überwachung der Gewaltenteilung bei Administratoren

Last not least empfehlen wir, dass Sie ein Vier-Augen-Prinzip für besonders sensible Vorgänge einführen. Dazu gehören beispielsweise Einsichtnahme in Benutzer-Mailboxen oder die Auswertung von Logfiles. Je nach Anwendungsfall können unterschiedliche Rollen involviert werden (zum Beispiel Admin und Admin, Admin und Betriebsrat oder Admin und IT-Sicherheitsbeauftragter).

Im zweiten Teil beschäftigen wir uns mit Verschlüsselung, der technischen Kontrolle administrativer Zugriffe und gezielter Protokollierung im Active Directory. Im dritten Teil stellen wir nach einem kurzen Blick auf Privileged Access Management im AD einige Werkzeuge für die Überwachung administrativer Zugriffe vor.
7.09.2020/jp/ln/Thomas Zeller

Nachrichten

Linux-Verschlüsselung im Visier [28.09.2020]

Elcomsoft hat mehrere seiner Passwort-Wiederherstellungstools aktualisiert. Sie unterstützen nun LUKS. Dies ist der Verschlüsselungsstandard für Festplatten unter Linux. Mit den Werkzeugen können Experten die Verschlüsselungs-Metadaten von Festplatten entschlüsseln, die mit dem LUKS-Standard verschlüsselt sind. [mehr]

Kostenfreie IP-Kommunikation für Firmen [25.09.2020]

3CX bietet Unternehmen sein Kommunikationssystem ein Jahr lang kostenlos inklusive einer neuen Hosting-Option. Das 3CX-Webportal und die mobilen Apps für iOS und Android ermöglichen es Mitarbeitern, ihre Büro-Nebenstelle überall dort zu nutzen, wo sie über eine Internetverbindung verfügen. [mehr]

Tipps & Tools

Neue Security-Herausforderungen durch IoT [29.09.2020]

Das Internet der Dinge ist für viele Unternehmen in Deutschland sowohl eine Chance als auch ein Risiko, so das Ergebnis einer aktuellen Studie im Auftrag von Palo Alto Networks. Einerseits ermöglicht ein hoher Vernetzungsgrad eine Effizienzsteigerung, zunehmende Automatisierung, bessere Datennutzung und neue Geschäftsmodelle. Gleichzeitig aber stellt die wachsende Popularität des IoT für Unternehmen und ihre IT-Abteilungen eine wachsende Herausforderung für die Daten- und IT-Sicherheit dar. [mehr]

In Kürze versandbereit: Sonderheft Collaboration [28.09.2020]

Die unternehmensweite Zusammenarbeit ist unter den aktuellen Umständen schwieriger als je zuvor. Das notwendige Know-how bieten wir in unserem zweiten Sonderheft 2020 "Collaboration – Datenaustausch und Kommunikation in Microsoft-Infrastrukturen". Hierin erfahren Sie, wie Sie Ihre Collaboration-Infrastruktur gekonnt einrichten und wie der Datenaustausch mit OneDrive sowie die Aufgaben- und Projektverwaltung mit Microsoft Teams gelingen. Abonnenten, die noch bis 29. September auf das All-Inclusive-Abo upgraden, erhalten das Sonderheft für nur 16 Euro inklusive. [mehr]

Buchbesprechung

Windows 10 Pannenhilfe

von Wolfram Gieseke

Anzeigen