von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Sieben Schritte für mehr Remote-Access-Kontrolle
Schritt 3: Drittanbieterstandards überprüfen
In der Praxis ist es so, dass selbst die vertrauenswürdigsten Geschäftspartner eine Sicherheitsbedrohung darstellen können, wenn sie nicht die erforderlichen Best-Practice-Standards einhalten. Keine Organisation kommt deshalb darum herum, regelmäßig und kritisch zu überprüfen, ob der Umgang mit Anmeldeinformationen auf Drittanbieterseite auch den gewünschten Sicherheitskriterien genügt. Die IT muss wissen, welche externen Anwender mit welchen Zugangsdaten arbeiten – und sie sollte die zugewiesenen Rechte auf ein festgelegtes Zeitfenster beschränken können.
Vertrauen ist gut, aber Kontrolle der vertraglichen Verpflichtungen besser. Für die Zusammenarbeit mit Drittanbietern empfehlen sich daher Service Level Agreements (SLA), die verbindlich regeln, dass die Sicherheitsrichtlinien durchgehend eingehalten werden. Die Sicherheitsstandards des Anbieters gehören also immer wieder auf den Prüfstand, um sie auf das eigene IT-Security-Niveau zu heben. Dazu zählt auch die Überprüfung, ob aktuelle Patches eingespielt und bekannte Schwachstellen behoben wurden.
Schritt 4: Nutzerverhalten kontrollieren
Die Anmeldeinformationen von Anbietern und Partnern sind häufig nur schwach gesichert und können versehentlich offengelegt werden. Daher besteht der beste Weg zum Schutz von Anmeldeinformationen darin, diese proaktiv zu verwalten und zu steuern. Aus IT-Sicht empfiehlt sich, freigegebene Konten zu entfernen, das Onboarding zu erzwingen und Hintergrundprüfungen zur eindeutigen Identifizierung von Drittanbietern durchzuführen, die auf die IT-Systeme eines Unternehmens zugreifen.
Eine granulare Kontrolle der Zugriffsmöglichkeiten von Support-Technikern sorgt für zusätzliche Sicherheit. Es ist nicht sinnvoll, Technikern jederzeit vollständigen Zugriff auf geschäftskritische Datennetze und Systeme zu erlauben. Vielmehr sollten Support-Mitarbeiter lediglich über individuelle und (temporär) beschränkte Zugriffsrechte auf IT-Systeme und Funktionen verfügen.
Schritt 5: Authentifikation von Zugangskontrolle trennen
Zur Erledigung ihrer Aufgaben benötigen die meisten Dienstleister nur Zugriff auf sehr spezifische Systeme. Unternehmen, die den Zugriff per physischer oder logischer Netzwerksegmentierung auf bekannte Kommunikationskanäle beschränken, erreichen deshalb einen besseren Schutz ihrer Netze. Zugriffsverwaltungslösungen wie etwa BeyondTrust Privileged Access Management sperren nicht genehmigte Protokolle und leiten alle Verbindungen zur Reduzierung der Angriffsfläche über einen einheitlichen Zugriffspfad.
Für eine höhere Sicherheit und Transparenz sorgt die Maßnahme, alle Remote-Support-Techniker mit individuellen Einwahldaten auszustatten. Am sichersten ist es, wenn Support-Techniker sich dabei per Zwei-Wege-Authentifizierung beim Remote-Access-Tool einwählen müssen. So lassen sich Hacker wirksam ausschließen und wichtige Compliance-Regularien (zum Beispiel PCI-DSS, Payment Card Industry Data Security Standard) einhalten.
Schritt 6: Nicht autorisierte Befehle und Konfigurationsfehler unterbinden
Mit einer Lösung für die privilegierte Zugriffsverwaltung lassen sich nicht nur fein abgestimmte Berechtigungskontrollen durchführen, sondern auch das Prinzip der geringsten Privilegien durchsetzen. Dieses Konzept der Informationssicherheit sieht vor, die Zugriffsrechte der Benutzer auf ein Minimum einzuschränken, um beispielsweise Konfigurations- und Bedienungsfehler auszuschließen.
Im Enterprise-Umfeld lassen sich unterschiedliche Berechtigungsstufen für verschiedene Zielsysteme den einzelnen Benutzerkonten zuordnen. Durch die Einrichtung von Blacklists und Whitelists, durch die Einschränkung nicht erwünschter Befehle bei einfachen Anwendern und durch eine situations- oder applikationsbezogene Erhöhung individueller Berechtigungen gewinnen IT-Abteilungen ein hohes Maß an Kontrolle und Flexibilität.
Schritt 7: IT-Sicherheitswissen vermitteln
Weiterbildungs- und Schulungsmaßnahmen runden das Maßnahmenpaket zur Erhöhung der Sicherheit in Unternehmensnetzen ab. Es ist wichtig, dass im Unternehmen und auf Seiten der Kunden und Lieferanten ein möglichst breites Wissen zur Gefahrenabwehr vorherrscht. Die IT-Risiken sind real, sodass alle Angestellten mit den neuesten Sicherheitstechnologien vertraut sein sollten. Auch IT-Profis müssen ihr Fachwissen fortlaufend über Konferenzen, Schulungen und Eigenlektüre ausbauen. Die technologische Entwicklung hört nicht auf, und angesichts neuer Technikstandards liegen Organisationen mit dem Fokus auf Fortbildung immer richtig.
Fazit
Einige der verheerendsten Sicherheitsverstöße der jüngsten Vergangenheit sind direkt auf Verfehlungen von Drittanbietern zurückzuführen. Hacker setzen ganz gezielt auf die Kompromittierung von (weniger geschützten) Drittanbietern, um in lukrative Firmennetze einzudringen. Das Risiko von Sicherheits- und Datenverletzungen durch Drittanbieter ist viel zu groß, als dass es ignoriert werden könnte. Diese Liste mit sieben Schritten schafft eine gute Ausgangsposition für gemeinsame IT-Risikomanagementrichtlinien, die Sicherheitslücken bei der Zusammenarbeit mit externen Dienstleistern schließen.
ln/Roland Schäfer, Regional Sales Manager bei BeyondTrust
In der Praxis ist es so, dass selbst die vertrauenswürdigsten Geschäftspartner eine Sicherheitsbedrohung darstellen können, wenn sie nicht die erforderlichen Best-Practice-Standards einhalten. Keine Organisation kommt deshalb darum herum, regelmäßig und kritisch zu überprüfen, ob der Umgang mit Anmeldeinformationen auf Drittanbieterseite auch den gewünschten Sicherheitskriterien genügt. Die IT muss wissen, welche externen Anwender mit welchen Zugangsdaten arbeiten – und sie sollte die zugewiesenen Rechte auf ein festgelegtes Zeitfenster beschränken können.
Vertrauen ist gut, aber Kontrolle der vertraglichen Verpflichtungen besser. Für die Zusammenarbeit mit Drittanbietern empfehlen sich daher Service Level Agreements (SLA), die verbindlich regeln, dass die Sicherheitsrichtlinien durchgehend eingehalten werden. Die Sicherheitsstandards des Anbieters gehören also immer wieder auf den Prüfstand, um sie auf das eigene IT-Security-Niveau zu heben. Dazu zählt auch die Überprüfung, ob aktuelle Patches eingespielt und bekannte Schwachstellen behoben wurden.
Schritt 4: Nutzerverhalten kontrollieren
Die Anmeldeinformationen von Anbietern und Partnern sind häufig nur schwach gesichert und können versehentlich offengelegt werden. Daher besteht der beste Weg zum Schutz von Anmeldeinformationen darin, diese proaktiv zu verwalten und zu steuern. Aus IT-Sicht empfiehlt sich, freigegebene Konten zu entfernen, das Onboarding zu erzwingen und Hintergrundprüfungen zur eindeutigen Identifizierung von Drittanbietern durchzuführen, die auf die IT-Systeme eines Unternehmens zugreifen.
Eine granulare Kontrolle der Zugriffsmöglichkeiten von Support-Technikern sorgt für zusätzliche Sicherheit. Es ist nicht sinnvoll, Technikern jederzeit vollständigen Zugriff auf geschäftskritische Datennetze und Systeme zu erlauben. Vielmehr sollten Support-Mitarbeiter lediglich über individuelle und (temporär) beschränkte Zugriffsrechte auf IT-Systeme und Funktionen verfügen.
Schritt 5: Authentifikation von Zugangskontrolle trennen
Zur Erledigung ihrer Aufgaben benötigen die meisten Dienstleister nur Zugriff auf sehr spezifische Systeme. Unternehmen, die den Zugriff per physischer oder logischer Netzwerksegmentierung auf bekannte Kommunikationskanäle beschränken, erreichen deshalb einen besseren Schutz ihrer Netze. Zugriffsverwaltungslösungen wie etwa BeyondTrust Privileged Access Management sperren nicht genehmigte Protokolle und leiten alle Verbindungen zur Reduzierung der Angriffsfläche über einen einheitlichen Zugriffspfad.
Für eine höhere Sicherheit und Transparenz sorgt die Maßnahme, alle Remote-Support-Techniker mit individuellen Einwahldaten auszustatten. Am sichersten ist es, wenn Support-Techniker sich dabei per Zwei-Wege-Authentifizierung beim Remote-Access-Tool einwählen müssen. So lassen sich Hacker wirksam ausschließen und wichtige Compliance-Regularien (zum Beispiel PCI-DSS, Payment Card Industry Data Security Standard) einhalten.
Schritt 6: Nicht autorisierte Befehle und Konfigurationsfehler unterbinden
Mit einer Lösung für die privilegierte Zugriffsverwaltung lassen sich nicht nur fein abgestimmte Berechtigungskontrollen durchführen, sondern auch das Prinzip der geringsten Privilegien durchsetzen. Dieses Konzept der Informationssicherheit sieht vor, die Zugriffsrechte der Benutzer auf ein Minimum einzuschränken, um beispielsweise Konfigurations- und Bedienungsfehler auszuschließen.
Im Enterprise-Umfeld lassen sich unterschiedliche Berechtigungsstufen für verschiedene Zielsysteme den einzelnen Benutzerkonten zuordnen. Durch die Einrichtung von Blacklists und Whitelists, durch die Einschränkung nicht erwünschter Befehle bei einfachen Anwendern und durch eine situations- oder applikationsbezogene Erhöhung individueller Berechtigungen gewinnen IT-Abteilungen ein hohes Maß an Kontrolle und Flexibilität.
Schritt 7: IT-Sicherheitswissen vermitteln
Weiterbildungs- und Schulungsmaßnahmen runden das Maßnahmenpaket zur Erhöhung der Sicherheit in Unternehmensnetzen ab. Es ist wichtig, dass im Unternehmen und auf Seiten der Kunden und Lieferanten ein möglichst breites Wissen zur Gefahrenabwehr vorherrscht. Die IT-Risiken sind real, sodass alle Angestellten mit den neuesten Sicherheitstechnologien vertraut sein sollten. Auch IT-Profis müssen ihr Fachwissen fortlaufend über Konferenzen, Schulungen und Eigenlektüre ausbauen. Die technologische Entwicklung hört nicht auf, und angesichts neuer Technikstandards liegen Organisationen mit dem Fokus auf Fortbildung immer richtig.
Fazit
Einige der verheerendsten Sicherheitsverstöße der jüngsten Vergangenheit sind direkt auf Verfehlungen von Drittanbietern zurückzuführen. Hacker setzen ganz gezielt auf die Kompromittierung von (weniger geschützten) Drittanbietern, um in lukrative Firmennetze einzudringen. Das Risiko von Sicherheits- und Datenverletzungen durch Drittanbieter ist viel zu groß, als dass es ignoriert werden könnte. Diese Liste mit sieben Schritten schafft eine gute Ausgangsposition für gemeinsame IT-Risikomanagementrichtlinien, die Sicherheitslücken bei der Zusammenarbeit mit externen Dienstleistern schließen.
ln/Roland Schäfer, Regional Sales Manager bei BeyondTrust
