Fachartikel

Missbrauch privilegierter Accounts verhindern (1)

IT-Administratoren genießen in der Regel das volle Vertrauen ihrer Vorgesetzten und auch der Mitarbeiter ihrer Organisation. Das muss auch so sein, denn bekanntermaßen haben Personen mit Systemadministrationsrechten Zugriff auf praktisch alle Informationen und Daten, die auf den von ihnen verwalteten Systemen gespeichert sind. Nun sind etliche Sicherheitsvorfälle der vergangenen Jahre gerade auf den Missbrauch solch privilegierter Zugänge zurückzuführen. Ein belastbares IT-Sicherheitskonzept muss diese Problematik berücksichtigen und Maßnahmen für eine sichere IT-Administration sicherstellen. Im ersten Teil der Workshopserie erklären wir, warum Admin-Accounts besonders schützenswert sind und wie Vorsichtsmaßnahmen gegen Missbrauch aussehen können.
Privilegierte Konten befinden sich leider nicht immer in der Hand derer, die auch verantwortungsvoll damit umgehen.
Gelangen vertrauliche Informationen, beispielsweise über einen bevorstehenden Unternehmensverkauf oder eine Fusion, zur Unzeit an die Öffentlichkeit, kann das für eine Organisation oder deren Börsenkurs einen enormen Schaden bedeuten. Bei der Suche nach dem Schuldigen geht der Blick deshalb meist unweigerlich in Richtung IT-Abteilung, schließlich verfügen die Mitarbeiter dort ja über alle erforderlichen Zugriffsberechtigungen. Schnell sehen sich Administratoren dann unter Generalverdacht.

Doch so einfach ist das Ganze nicht. Denn unabhängig von der formaljuristischen Beweispflicht bei der Überführung eines Innentäters werden die betroffenen Administratoren schon aus moralischen Gründen versuchen zu beweisen, dass sie eben nicht für den Rechtemissbrauch verantwortlich sind – eine für alle Beteiligten äußerst schwierige Situation.

Innentäter keineswegs eine Seltenheit
Und tatsächlich belegen verschiedene Studien, dass Administratoren ihre Rechte durchaus dazu nutzen, Informationen einzusehen, die eigentlich nicht für sie bestimmt sind. In einer Umfrage durch Balabit gab immerhin ein Viertel der Befragten an, in der Vergangenheit bereits auf vertrauliche Personalinformationen wie Gehaltslisten, Arbeitsverträge oder Abmahnungen zugegriffen zu haben. Deutlich über zehn Prozent lesen demnach regelmäßig E-Mails ihrer Kollegen mit und ein kleiner Anteil hat sogar zugegeben, durch Manipulation von Protokollinformationen das eigene Verhalten verschleiert zu haben.

Das ist selbstverständlich nicht in Ordnung, jedoch dürfte der Anteil in anderen Berufsgruppen ähnlich hoch sein. Schließlich sieht auch der neugierige Bankangestellte Gehaltseingang und Vermögen auf den Bankkonten, Steuerberater und Finanzbeamte kennen sogar das komplette Jahreseinkommen. Und auch Ärzte und Pflegekräfte haben in der Regel uneingeschränkten Zugang zu Gesundheitsdaten und den Lebensumständen ihrer Patienten. Vielfältig sind auch die Gründe, warum sich vereinzelt Personen Zugriff auf derlei Informationen verschaffen. Doch egal ob nun durch Neugier, Angst um den eigenen Job oder echte Untreue motiviert – stets handelt es sich dabei um eine strafbare Handlung. Wer erwischt wird, muss neben einer Strafanzeige deshalb auch damit rechnen, künftig nie wieder in einer Vertrauensposition arbeiten zu können [1].
Problemfeld Admin-Account
Werden privilegierte Accounts missbraucht, sind dafür glücklicherweise meist nicht die Mitarbeiter der IT-Abteilung verantwortlich. Denn viele Unternehmen nutzen noch immer Shared Accounts. Dabei teilen sich mehrere Personen die gleichen Zugangsdaten für den Zugriff auf bestimmte Systeme. Das sollten IT-Verantwortliche unbedingt vermeiden, damit jede durchgeführte Aktion immer einer natürlichen Person zugeordnet werden kann.

Häufig stellt aber auch das Passwortmanagement einer Organisation das eigentliche Problem dar. So bleibt das Passwort für das Administrator-, Domänenadmin- oder root-Konto oft über Jahre unverändert. Dahinter steckt die Befürchtung, dass wichtige Systemdienste oder auch Backupprozesse nicht mehr laufen, wenn vergessen wurde, das Passwort dort ebenfalls zu ändern. Häufig sind auch Versäumnisse bei der Passwortverwaltung dafür verantwortlich, dass das Admin-Passwort in nicht autorisierte Hände gelangt.

Eine weitere Problematik ergibt sich durch Rechteausweitung (Privilege Escalation). Dabei können sich reguläre Benutzer ohne Kenntnis des Administratorenpassworts administrative Rechte verschaffen, indem sie den Hash des Admin-Kontos aus dem Arbeitsspeicher einfach weiter nutzen (Pass-the-hash-Angriff). Hat sich ein Domänenadministrator per Fernzugriff auf der Workstation eines Benutzers einmal eingeloggt, kann ein normaler Benutzer zum Beispiel mit Hilfe des Tools "mimikatz" [2] den Hashwert des Admin-Kontos dazu verwenden, beispielsweise eine Shell mit Admin-Rechten auf dem Domaincontroller zu starten.

Vorsichtsmaßnahmen treffen
Gerade weil schon der Verdacht auf missbräuchliche Verwendung von Administrationsrechten für alle Beteiligten so heikel ist, müssen sich Unternehmensleitung und IT-Abteilung frühzeitig darüber abstimmen, welche Sicherheitsmaßnahmen für Systemadministratoren getroffen werden sollen. Neben einer sorgfältigen Personalauswahl (polizeiliches Führungszeugnis) und organisatorischen Regelungen (Admin-Richtlinie) kommen auch technische Systeme für die Überwachung administrativer Zugriffe in Frage. Dabei geht es nicht um Leistungskontrolle, sondern ausschließlich darum sicherzustellen, dass administrative Zugriffe lediglich für die Erfüllung regulärer Aufgaben genutzt werden. In erster Linie müssen sich also Unternehmensleitung und IT-Abteilung auf geeignete Maßnahmen verständigen. Es ist aber in jedem Fall sinnvoll, auch den Datenschutzbeauftragten und – wenn vorhanden – den Betriebs- oder Personalrat einzubinden.

Einige der wichtigsten Vorsichtsmaßnahmen schauen wir uns nun im Detail an und beginnen mit dem Punkt "Default-Admin-Konten abschalten". Die meisten Systeme werden mit einem Default-Konto und manchmal auch einem Default-Passwort für die Systemadministration ausgeliefert. Informationen zu Default-Konten und -Passwörtern lassen sich mit Hilfe von Google leicht recherchieren und müssen deshalb unverzüglich geändert werden. Idealerweise achten Sie bereits bei der Anschaffung darauf, dass Systeme personalisierte Admin-Accounts und Single Sign-On beziehungsweise Single-Passwort-Verfahren mit Authentifizierung gegen das Active Directory unterstützen. Ist eine solche Unterstützung nicht gegeben, ist das Default-Admin-Konto auf jeden Fall durch ein neues administratives Benutzerkonto zu ersetzen.

Darüber hinaus müssen alle Personen, die Administratorenfunktionen ausüben, über zwei eigene Konten verfügen. Über einen normalen Benutzer-Account mit eingeschränkten Berechtigungen werden typische Anwenderaufgaben wie Arbeiten mit Standardprogrammen durchgeführt. Das zweite Konto ist ebenfalls personalisiert, aber Teil der Administratorengruppe im AD. Dieses Konto dient ausschließlich administrativen Tätigkeiten.

Auch eine Art der "Gewaltenteilung" sollten Sie nicht aus den Augen verlieren: Vermeiden Sie Machtkonzentrationen, bei denen einzelne Benutzer "allmächtige" Berechtigungen erhalten. Erarbeiten Sie stattdessen ein Rollenkonzept, bei dem sich verschiedene Administratoren Berechtigungen nach dem Need-To-Know-Prinzip teilen.

Betreiber kritischer Infrastrukturen (KRITIS, beispielsweise Energieversorger) sind verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) einzuführen und in diesem Zuge einen Informationssicherheitsbeauftragten zu bestellen. Auch ohne gesetzliche Verpflichtung kann die Ernennung eines IT-Sicherheitsbeauftragten außerhalb der IT-Abteilung sinnvoll sein, zum Beispiel zur Überwachung der Gewaltenteilung bei Administratoren

Last not least empfehlen wir, dass Sie ein Vier-Augen-Prinzip für besonders sensible Vorgänge einführen. Dazu gehören beispielsweise Einsichtnahme in Benutzer-Mailboxen oder die Auswertung von Logfiles. Je nach Anwendungsfall können unterschiedliche Rollen involviert werden (zum Beispiel Admin und Admin, Admin und Betriebsrat oder Admin und IT-Sicherheitsbeauftragter).

Im zweiten Teil beschäftigen wir uns mit Verschlüsselung, der technischen Kontrolle administrativer Zugriffe und gezielter Protokollierung im Active Directory. Im dritten Teil stellen wir nach einem kurzen Blick auf Privileged Access Management im AD einige Werkzeuge für die Überwachung administrativer Zugriffe vor.
7.09.2020/jp/ln/Thomas Zeller

Nachrichten

Deutsche Firmen investieren am meisten in Cyber-Sicherheit [19.04.2021]

Die Ergebnisse des Hiscox Cyber Readiness Reports 2021 zeigen eine zunehmende Sensibilisierung für Cyber-Gefahren: Zwar stieg der Anteil deutscher Unternehmen mit mindestens einer Cyber-Attacke auf 46 Prozent (2020: 41 Prozent), aber auch die Zahl der gut vorbereiteten Cyber-Experten erhöhte sich auf 21 Prozent (2020: 17 Prozent). [mehr]

Geografische und netzwerkbezogene Warnzeichen für Phishing-Angriffe [16.04.2021]

Das Land, aus dem E-Mails stammen, und die Anzahl der Länder, durch die sie auf dem Weg zu ihrem endgültigen Ziel geleitet werden, sind wichtige Warnzeichen für Phishing-Angriffe. In einer neuen Studie von Barracuda in Zusammenarbeit mit der Columbia University wurden Geolokalisierung und Netzwerkinfrastruktur von mehr als 2 Milliarden im Januar 2020 versendeten E-Mails analysiert, darunter 218.000 Phishing-E-Mails. [mehr]

Tipps & Tools

Vorschau Mai 2021: Hybrid Cloud [19.04.2021]

Nahezu alle Unternehmen stehen inzwischen mit einem Bein in der Cloud, ohne gleich die lokale Infrastruktur aus dem Fenster zu werfen. In der Mai-Ausgabe widmet sich IT-Administrator dem Thema "Hybrid Cloud" und zeigt, wie sich beide Welten sinnvoll zusammenführen lassen. So lesen Sie beispielsweise, wie Sie Azure-Ressourcen lokal einbinden und Workloads in hybriden Umgebungen ausrollen. Außerdem zeigen wir im Mai-Heft, wie Sie mit vSphere Trust Authority Ihre VMware-Umgebung absichern und Applikations-Rollouts auf verschiedenen Clouds mit Ansible automatisieren. [mehr]

Monitoring, Backup und Recovery in virtualisierten Umgebungen (1) [9.04.2021]

Beim Betrieb einer Virtualisierungsinfrastruktur müssen IT-Verantwortliche auch dafür sorgen, dass die Umgebung verfügbar ist und im Fehlerfall schnell und ohne Datenverluste wieder anläuft. Hier kommen Monitoring, Backup, Ausfallsicherheit und Desaster-Recovery-Strategien ins Spiel. Im ersten Teil unseres Fachartikels beschäftigen wir uns mit der Ausfallsicherheit von Servern, der Hochverfügbarkeit von Storage-Systemen und der Redundanz im Netzwerk. [mehr]

Buchbesprechung

Computernetze und Internet of Things

von Patrick-Benjamin Bök, Andreas Noack, Marcel Müller

Anzeigen