von Redaktion IT-A…
Lesezeit
4 Minuten
Missbrauch privilegierter Accounts verhindern (1)
IT-Administratoren genießen in der Regel das volle Vertrauen ihrer Vorgesetzten und auch der Mitarbeiter ihrer Organisation. Das muss auch so sein, denn bekanntermaßen haben Personen mit Systemadministrationsrechten Zugriff auf praktisch alle Informationen und Daten, die auf den von ihnen verwalteten Systemen gespeichert sind. Nun sind etliche Sicherheitsvorfälle der vergangenen Jahre gerade auf den Missbrauch solch privilegierter Zugänge zurückzuführen. Ein belastbares IT-Sicherheitskonzept muss diese Problematik berücksichtigen und Maßnahmen für eine sichere IT-Administration sicherstellen. Im ersten Teil der Workshopserie erklären wir, warum Admin-Accounts besonders schützenswert sind und wie Vorsichtsmaßnahmen gegen Missbrauch aussehen können.
Gelangen vertrauliche Informationen, beispielsweise über einen bevorstehenden Unternehmensverkauf oder eine Fusion, zur Unzeit an die Öffentlichkeit, kann das für eine Organisation oder deren Börsenkurs einen enormen Schaden bedeuten. Bei der Suche nach dem Schuldigen geht der Blick deshalb meist unweigerlich in Richtung IT-Abteilung, schließlich verfügen die Mitarbeiter dort ja über alle erforderlichen Zugriffsberechtigungen. Schnell sehen sich Administratoren dann unter Generalverdacht.
Doch so einfach ist das Ganze nicht. Denn unabhängig von der formaljuristischen Beweispflicht bei der Überführung eines Innentäters werden die betroffenen Administratoren schon aus moralischen Gründen versuchen zu beweisen, dass sie eben nicht für den Rechtemissbrauch verantwortlich sind – eine für alle Beteiligten äußerst schwierige Situation.
Innentäter keineswegs eine Seltenheit
Und tatsächlich belegen verschiedene Studien, dass Administratoren ihre Rechte durchaus dazu nutzen, Informationen einzusehen, die eigentlich nicht für sie bestimmt sind. In einer Umfrage durch Balabit gab immerhin ein Viertel der Befragten an, in der Vergangenheit bereits auf vertrauliche Personalinformationen wie Gehaltslisten, Arbeitsverträge oder Abmahnungen zugegriffen zu haben. Deutlich über zehn Prozent lesen demnach regelmäßig E-Mails ihrer Kollegen mit und ein kleiner Anteil hat sogar zugegeben, durch Manipulation von Protokollinformationen das eigene Verhalten verschleiert zu haben.
Das ist selbstverständlich nicht in Ordnung, jedoch dürfte der Anteil in anderen Berufsgruppen ähnlich hoch sein. Schließlich sieht auch der neugierige Bankangestellte Gehaltseingang und Vermögen auf den Bankkonten, Steuerberater und Finanzbeamte kennen sogar das komplette Jahreseinkommen. Und auch Ärzte und Pflegekräfte haben in der Regel uneingeschränkten Zugang zu Gesundheitsdaten und den Lebensumständen ihrer Patienten. Vielfältig sind auch die Gründe, warum sich vereinzelt Personen Zugriff auf derlei Informationen verschaffen. Doch egal ob nun durch Neugier, Angst um den eigenen Job oder echte Untreue motiviert – stets handelt es sich dabei um eine strafbare Handlung. Wer erwischt wird, muss neben einer Strafanzeige deshalb auch damit rechnen, künftig nie wieder in einer Vertrauensposition arbeiten zu können [1].
Problemfeld Admin-Account
Werden privilegierte Accounts missbraucht, sind dafür glücklicherweise meist nicht die Mitarbeiter der IT-Abteilung verantwortlich. Denn viele Unternehmen nutzen noch immer Shared Accounts. Dabei teilen sich mehrere Personen die gleichen Zugangsdaten für den Zugriff auf bestimmte Systeme. Das sollten IT-Verantwortliche unbedingt vermeiden, damit jede durchgeführte Aktion immer einer natürlichen Person zugeordnet werden kann.
Häufig stellt aber auch das Passwortmanagement einer Organisation das eigentliche Problem dar. So bleibt das Passwort für das Administrator-, Domänenadmin- oder root-Konto oft über Jahre unverändert. Dahinter steckt die Befürchtung, dass wichtige Systemdienste oder auch Backupprozesse nicht mehr laufen, wenn vergessen wurde, das Passwort dort ebenfalls zu ändern. Häufig sind auch Versäumnisse bei der Passwortverwaltung dafür verantwortlich, dass das Admin-Passwort in nicht autorisierte Hände gelangt.
Eine weitere Problematik ergibt sich durch Rechteausweitung (Privilege Escalation). Dabei können sich reguläre Benutzer ohne Kenntnis des Administratorenpassworts administrative Rechte verschaffen, indem sie den Hash des Admin-Kontos aus dem Arbeitsspeicher einfach weiter nutzen (Pass-the-hash-Angriff). Hat sich ein Domänenadministrator per Fernzugriff auf der Workstation eines Benutzers einmal eingeloggt, kann ein normaler Benutzer zum Beispiel mit Hilfe des Tools "mimikatz" [2] den Hashwert des Admin-Kontos dazu verwenden, beispielsweise eine Shell mit Admin-Rechten auf dem Domaincontroller zu starten.
Vorsichtsmaßnahmen treffen
Gerade weil schon der Verdacht auf missbräuchliche Verwendung von Administrationsrechten für alle Beteiligten so heikel ist, müssen sich Unternehmensleitung und IT-Abteilung frühzeitig darüber abstimmen, welche Sicherheitsmaßnahmen für Systemadministratoren getroffen werden sollen. Neben einer sorgfältigen Personalauswahl (polizeiliches Führungszeugnis) und organisatorischen Regelungen (Admin-Richtlinie) kommen auch technische Systeme für die Überwachung administrativer Zugriffe in Frage. Dabei geht es nicht um Leistungskontrolle, sondern ausschließlich darum sicherzustellen, dass administrative Zugriffe lediglich für die Erfüllung regulärer Aufgaben genutzt werden. In erster Linie müssen sich also Unternehmensleitung und IT-Abteilung auf geeignete Maßnahmen verständigen. Es ist aber in jedem Fall sinnvoll, auch den Datenschutzbeauftragten und – wenn vorhanden – den Betriebs- oder Personalrat einzubinden.
Einige der wichtigsten Vorsichtsmaßnahmen schauen wir uns nun im Detail an und beginnen mit dem Punkt "Default-Admin-Konten abschalten". Die meisten Systeme werden mit einem Default-Konto und manchmal auch einem Default-Passwort für die Systemadministration ausgeliefert. Informationen zu Default-Konten und -Passwörtern lassen sich mit Hilfe von Google leicht recherchieren und müssen deshalb unverzüglich geändert werden. Idealerweise achten Sie bereits bei der Anschaffung darauf, dass Systeme personalisierte Admin-Accounts und Single Sign-On beziehungsweise Single-Passwort-Verfahren mit Authentifizierung gegen das Active Directory unterstützen. Ist eine solche Unterstützung nicht gegeben, ist das Default-Admin-Konto auf jeden Fall durch ein neues administratives Benutzerkonto zu ersetzen.
Darüber hinaus müssen alle Personen, die Administratorenfunktionen ausüben, über zwei eigene Konten verfügen. Über einen normalen Benutzer-Account mit eingeschränkten Berechtigungen werden typische Anwenderaufgaben wie Arbeiten mit Standardprogrammen durchgeführt. Das zweite Konto ist ebenfalls personalisiert, aber Teil der Administratorengruppe im AD. Dieses Konto dient ausschließlich administrativen Tätigkeiten.
Auch eine Art der "Gewaltenteilung" sollten Sie nicht aus den Augen verlieren: Vermeiden Sie Machtkonzentrationen, bei denen einzelne Benutzer "allmächtige" Berechtigungen erhalten. Erarbeiten Sie stattdessen ein Rollenkonzept, bei dem sich verschiedene Administratoren Berechtigungen nach dem Need-To-Know-Prinzip teilen.
Betreiber kritischer Infrastrukturen (KRITIS, beispielsweise Energieversorger) sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen und in diesem Zuge einen Informationssicherheitsbeauftragten zu bestellen. Auch ohne gesetzliche Verpflichtung kann die Ernennung eines IT-Sicherheitsbeauftragten außerhalb der IT-Abteilung sinnvoll sein, zum Beispiel zur Überwachung der Gewaltenteilung bei Administratoren
Last not least empfehlen wir, dass Sie ein Vier-Augen-Prinzip für besonders sensible Vorgänge einführen. Dazu gehören beispielsweise Einsichtnahme in Benutzer-Mailboxen oder die Auswertung von Logfiles. Je nach Anwendungsfall können unterschiedliche Rollen involviert werden (zum Beispiel Admin und Admin, Admin und Betriebsrat oder Admin und IT-Sicherheitsbeauftragter).
jp/ln/Thomas Zeller
[1] https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LAG%20K%F6ln&Datum=14.05.2010&Aktenzeichen=4%20Sa%201257/09
[2] https://github.com/gentilkiwi/mimikatz/
Doch so einfach ist das Ganze nicht. Denn unabhängig von der formaljuristischen Beweispflicht bei der Überführung eines Innentäters werden die betroffenen Administratoren schon aus moralischen Gründen versuchen zu beweisen, dass sie eben nicht für den Rechtemissbrauch verantwortlich sind – eine für alle Beteiligten äußerst schwierige Situation.
Innentäter keineswegs eine Seltenheit
Und tatsächlich belegen verschiedene Studien, dass Administratoren ihre Rechte durchaus dazu nutzen, Informationen einzusehen, die eigentlich nicht für sie bestimmt sind. In einer Umfrage durch Balabit gab immerhin ein Viertel der Befragten an, in der Vergangenheit bereits auf vertrauliche Personalinformationen wie Gehaltslisten, Arbeitsverträge oder Abmahnungen zugegriffen zu haben. Deutlich über zehn Prozent lesen demnach regelmäßig E-Mails ihrer Kollegen mit und ein kleiner Anteil hat sogar zugegeben, durch Manipulation von Protokollinformationen das eigene Verhalten verschleiert zu haben.
Das ist selbstverständlich nicht in Ordnung, jedoch dürfte der Anteil in anderen Berufsgruppen ähnlich hoch sein. Schließlich sieht auch der neugierige Bankangestellte Gehaltseingang und Vermögen auf den Bankkonten, Steuerberater und Finanzbeamte kennen sogar das komplette Jahreseinkommen. Und auch Ärzte und Pflegekräfte haben in der Regel uneingeschränkten Zugang zu Gesundheitsdaten und den Lebensumständen ihrer Patienten. Vielfältig sind auch die Gründe, warum sich vereinzelt Personen Zugriff auf derlei Informationen verschaffen. Doch egal ob nun durch Neugier, Angst um den eigenen Job oder echte Untreue motiviert – stets handelt es sich dabei um eine strafbare Handlung. Wer erwischt wird, muss neben einer Strafanzeige deshalb auch damit rechnen, künftig nie wieder in einer Vertrauensposition arbeiten zu können [1].
Problemfeld Admin-Account
Werden privilegierte Accounts missbraucht, sind dafür glücklicherweise meist nicht die Mitarbeiter der IT-Abteilung verantwortlich. Denn viele Unternehmen nutzen noch immer Shared Accounts. Dabei teilen sich mehrere Personen die gleichen Zugangsdaten für den Zugriff auf bestimmte Systeme. Das sollten IT-Verantwortliche unbedingt vermeiden, damit jede durchgeführte Aktion immer einer natürlichen Person zugeordnet werden kann.
Häufig stellt aber auch das Passwortmanagement einer Organisation das eigentliche Problem dar. So bleibt das Passwort für das Administrator-, Domänenadmin- oder root-Konto oft über Jahre unverändert. Dahinter steckt die Befürchtung, dass wichtige Systemdienste oder auch Backupprozesse nicht mehr laufen, wenn vergessen wurde, das Passwort dort ebenfalls zu ändern. Häufig sind auch Versäumnisse bei der Passwortverwaltung dafür verantwortlich, dass das Admin-Passwort in nicht autorisierte Hände gelangt.
Eine weitere Problematik ergibt sich durch Rechteausweitung (Privilege Escalation). Dabei können sich reguläre Benutzer ohne Kenntnis des Administratorenpassworts administrative Rechte verschaffen, indem sie den Hash des Admin-Kontos aus dem Arbeitsspeicher einfach weiter nutzen (Pass-the-hash-Angriff). Hat sich ein Domänenadministrator per Fernzugriff auf der Workstation eines Benutzers einmal eingeloggt, kann ein normaler Benutzer zum Beispiel mit Hilfe des Tools "mimikatz" [2] den Hashwert des Admin-Kontos dazu verwenden, beispielsweise eine Shell mit Admin-Rechten auf dem Domaincontroller zu starten.
Vorsichtsmaßnahmen treffen
Gerade weil schon der Verdacht auf missbräuchliche Verwendung von Administrationsrechten für alle Beteiligten so heikel ist, müssen sich Unternehmensleitung und IT-Abteilung frühzeitig darüber abstimmen, welche Sicherheitsmaßnahmen für Systemadministratoren getroffen werden sollen. Neben einer sorgfältigen Personalauswahl (polizeiliches Führungszeugnis) und organisatorischen Regelungen (Admin-Richtlinie) kommen auch technische Systeme für die Überwachung administrativer Zugriffe in Frage. Dabei geht es nicht um Leistungskontrolle, sondern ausschließlich darum sicherzustellen, dass administrative Zugriffe lediglich für die Erfüllung regulärer Aufgaben genutzt werden. In erster Linie müssen sich also Unternehmensleitung und IT-Abteilung auf geeignete Maßnahmen verständigen. Es ist aber in jedem Fall sinnvoll, auch den Datenschutzbeauftragten und – wenn vorhanden – den Betriebs- oder Personalrat einzubinden.
Darüber hinaus müssen alle Personen, die Administratorenfunktionen ausüben, über zwei eigene Konten verfügen. Über einen normalen Benutzer-Account mit eingeschränkten Berechtigungen werden typische Anwenderaufgaben wie Arbeiten mit Standardprogrammen durchgeführt. Das zweite Konto ist ebenfalls personalisiert, aber Teil der Administratorengruppe im AD. Dieses Konto dient ausschließlich administrativen Tätigkeiten.
Auch eine Art der "Gewaltenteilung" sollten Sie nicht aus den Augen verlieren: Vermeiden Sie Machtkonzentrationen, bei denen einzelne Benutzer "allmächtige" Berechtigungen erhalten. Erarbeiten Sie stattdessen ein Rollenkonzept, bei dem sich verschiedene Administratoren Berechtigungen nach dem Need-To-Know-Prinzip teilen.
Betreiber kritischer Infrastrukturen (KRITIS, beispielsweise Energieversorger) sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen und in diesem Zuge einen Informationssicherheitsbeauftragten zu bestellen. Auch ohne gesetzliche Verpflichtung kann die Ernennung eines IT-Sicherheitsbeauftragten außerhalb der IT-Abteilung sinnvoll sein, zum Beispiel zur Überwachung der Gewaltenteilung bei Administratoren
Last not least empfehlen wir, dass Sie ein Vier-Augen-Prinzip für besonders sensible Vorgänge einführen. Dazu gehören beispielsweise Einsichtnahme in Benutzer-Mailboxen oder die Auswertung von Logfiles. Je nach Anwendungsfall können unterschiedliche Rollen involviert werden (zum Beispiel Admin und Admin, Admin und Betriebsrat oder Admin und IT-Sicherheitsbeauftragter).
Im zweiten Teil
beschäftigen wir uns mit Verschlüsselung, der technischen Kontrolle
administrativer Zugriffe und gezielter Protokollierung im Active
Directory. Im dritten Teil
stellen wir nach einem kurzen Blick auf Privileged Access Management im
AD einige Werkzeuge für die Überwachung administrativer Zugriffe vor.
jp/ln/Thomas Zeller
[1] https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LAG%20K%F6ln&Datum=14.05.2010&Aktenzeichen=4%20Sa%201257/09
[2] https://github.com/gentilkiwi/mimikatz/
