IAM & Admin-Rechte| Schwachstelle Benutzerkonto

Hacker Identity ManagementEines hat die Vergangenheit klar gezeigt: Privilegierte Benutzerkonten – wie sie Administratoren besitzen – sind das Einfallstor schlechthin für kriminelle Aktivitäten. Ohne entsprechende Sicherungsmaßnahmen sind Unternehmen hier potenziellen Angreifern hilflos ausgeliefert.

Die Verwaltung von administrativen Benutzerkonten gehört zu den größten Herausforderungen, denen sich die IT heute zu stellen hat. Die Problematik liegt auf der Hand: Eine typische IT-Umgebung besteht aus Hunderten oder Tausenden von Servern, Datenbanken und Netzwerkgeräten. Sie werden über persönliche, häufig aber auch über generische, manchmal sogar lokale Admin-Accounts gesteuert und verwaltet. Die Schwachstelle ist, dass sich auf den IT-Systemen meistens identische Passwörter befinden, die nur selten oder überhaupt nicht geändert werden. Das damit verbundene Sicherheitsrisiko ist immens, da über die privilegierten Benutzerkonten ein uneingeschränkter Zugriff auf unternehmenskritische Datenbestände möglich ist. Und dies machen sich immer mehr Angreifer zunutze.

Anzeige
APTs nutzen das Einfallstor

Das zeigen unter anderem auch die zahlreichen fortschrittlichen, zielgerichteten Web-Attacken der jüngsten Vergangenheit. Bei diesen so genannten Advanced Persistent Threats (APTs) wurden fast ausschließlich privilegierte Accounts als Einfallstor genutzt. Die missbräuchliche Nutzung privilegierter Accounts ist aber nicht nur ein Thema im Hinblick auf externe Angriffe. Ein Beispiel für einen Insider-Datendiebstahl hat Edward Snowden im Jahr 2013 geliefert, der als Systemingenieur und –administrator fungierte und damit die Möglichkeit hatte, auf hochvertrauliche Informationen zuzugreifen.

Aufgrund dieser Vorfälle erkennen immer mehr Unternehmen, dass privilegierte Benutzerkonten eine Sicherheitslücke darstellen und dass eine stringente Passwort-Verwaltung nicht nur aus Compliance-Gründen, sondern vor allem unter Sicherheitsaspekten geboten ist. Das starke Wachstum des Marktes für Privileged-Account-Security-Lösungen belegt diese Entwicklung, denn mit solchen Lösungen können privilegierte Zugriffe auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert werden.

Beim Einsatz einer Lösung zur Sicherung der privilegierten Accounts stehen Unternehmen mehrere Möglichkeiten offen. Sie können auf eine Hardware-Appliance, eine softwarebasierte Virtual Appliance oder eine reine Software-Anwendung setzen. Bei der Entscheidung für eine Lösung ist nur darauf zu achten, dass sie neben einer regelmäßigen Änderung der Server-, Datenbank- und Netzwerk-Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit aller Aktivitäten bietet. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, auf welche er zugreift und was er mit diesen Informationen macht. Dabei sollten alle Aktionen vom Zeitpunkt der Anmeldung am System bis zur Abmeldung revisionssicher aufgezeichnet werden.

Drei in eins

Konkret sollte eine Sicherheitslösung im Bereich der privilegierten Accounts dreierlei bieten: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Grundvoraussetzung ist, dass die Anwendung eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Unternehmenssysteme enthält. Zudem muss die Lösung eine vollständige Überwachung der Nutzung privilegierter Accounts gewährleisten. Nur dadurch können Unternehmen irreguläre oder gefährliche Aktivitäten identifizieren. Idealerweise können mit der Lösung auch verdächtige Aktivitäten bei privilegierten Benutzerkonten erkannt werden, beispielsweise eine Account-Nutzung zu einer eher unüblichen Zeit.

Implementierungsschritte

Bei der Implementierung einer Lösung im Bereich Privileged Account Security hat sich eine schrittweise Vorgehensweise bewährt. Zunächst müssen die Passwörter zentral gespeichert und alle Zugriffe auf diese Passwörter kontrolliert und protokolliert werden. Genutzt werden sollten dabei Features wie:

  • Verification (Überprüfung der Gültigkeit der Passwörter auf dem Zielsystem)
  • Reconciliation (kontrolliertes Zurücksetzen von Passwörtern im Falle einer erkannten Abweichung)
  • Dual Control (Steuerung von Passwortzugriffen über ein Vier-Augen-Prinzip)
  • Password Expiration Alert (Versenden einer Warnmeldung für Passwörter, für die gemäß der Passwort-Richtlinie eine Änderung ansteht).

Anschließend sollte eine schrittweise Aktivierung der automatischen Anwendung vorher festgelegter Passwort-Policies unter Nutzung von Features wie One-Time Password (zeitnahe erneute Änderung des entnommenen Passworts) oder „Exclusive Password“ (Unterbindung der gleichzeitigen Nutzung desselben Passworts durch mehr als eine Person) erfolgen.

Speziell für diese Anforderung hat CyberArk seine Lösung Privileged Threat Analytics entwickelt, mit der für jeden Nutzer privilegierter Konten ein Verhaltensprofil erstellt werden kann, das zudem permanent aktualisiert wird, das heißt, die Lösung „lernt“ kontinuierlich und berücksichtigt damit auch „normale“ Verhaltensänderungen der Anwender. Ausgehend vom Basisprofil erkennt die Lösung Abweichungen bei der Account-Verwendung und damit Anomalien im Verhalten privilegierter Benutzer. Nicht zuletzt muss eine Privileged-Account-Security-Lösung natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen beziehungsweise Verdachtsmomenten ermöglichen – sei es durch den Entzug von privilegierten Zugriffsberechtigungen oder durch das Schließen einer identifizierten Sicherheitslücke.

Nur wenn ein Unternehmen eine solche Lösung im Bereich der privilegierten Benutzerkonten implementiert hat, mit der eine zentrale Kontrolle, permanente Überwachung und Echtzeit-Reaktionsmöglichkeiten gewährleistet sind, ist es auf der „sicheren Seite“ und zuverlässig geschützt vor Cyber- und Insider-Kriminalität.

www.cyberark.de

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.