Sicherer Umgang mit privilegierten Benutzerkonten

15.12.2014

Datenmissbrauch oder -diebstahl ist längst kein Einzelfall mehr und für Unternehmen in der Regel mit erheblichen Imageschäden oder finanziellen Verlusten verbunden. Dabei hat sich gezeigt, dass sowohl Cyber-Attacken als auch Insider-Angriffe häufig auf eine missbräuchliche

Nutzung privilegierter Benutzerkonten zurückzuführen sind. Ohne eine strikte Vergabe und Kontrolle von IT-Berechtigungen sind Unternehmen hier potenziellen Angreifern schutzlos ausgeliefert.

Datenpannen, Datenmissbrauch, Datenlecks, Identitätsdiebstahl: Vorfälle dieser Art haben in Deutschland im Jahr 2013 wieder deutlich zugenommen, so lautet das Ergebnis des von der Münchner Agentur PRCOM initiierten "Projektes Datenschutz". Insgesamt 50 Datenpannen sind öffentlich geworden. Durch die nach wie vor laxe Auslegung der Meldepflicht dürfte die Dunkelziffer aber wesentlich höher liegen. Die Konsequenzen dieser Datenpannen können für Unternehmen weitreichend sein, von einem temporären Imageschaden bis zu einem nachhaltigen finanziellen Verlust.

Das Problem ist bekannt, doch trotzdem ergreifen viele Unternehmen adäquate Sicherheitsmaßnahmen nur zögerlich und vielfach auch in unzureichendem Maße. Denn mit einer herkömmlichen Abschottung des eigenen Firmennetzes von der "Außenwelt" ist es keineswegs getan.

Das belegen auch die zahlreichen fortschrittlichen, zielgerichteten Web-Attacken der jüngsten Vergangenheit. Bei diesen so genannten Advanced Persistent Threats (APTs) wurden fast ausschließlich privilegierte Benutzerkonten – wie sie Administratoren besitzen – als Einfallstor genutzt. In all diesen Fällen hat sich gezeigt, dass die klassische Perimeter-Sicherheit mit der Nutzung von Firewalls, Antiviren-Scannern oder Webfilter-Techniken heute keinen ausreichenden Schutz mehr vor externen Angriffen bietet.

Sicherheitsrisiko privilegierte Accounts
In einer Zeit, in der sich der Perimeter-Schutz somit als Schwachstelle erwiesen hat und zunehmend Strategien zur missbräuchlichen Nutzung der Passwörter von Administratoren entwickelt werden, sind neue Sicherheitskonzepte gefragt, und zwar in den Bereichen Zugriffsschutz und Rechtemanagement. Das heißt, die Systeme und Applikationen selbst müssen in den Fokus der Sicherheitsstrategie rücken und das macht die Implementierung einer Lösung im Bereich Privileged Account Security erforderlich.

Die Verwaltung privilegierter Benutzerkonten ist per se keine einfache Aufgabe, da eine typische IT-Umgebung aus Hunderten oder Tausenden von Servern, Datenbanken und Netzwerkgeräten besteht, die über persönliche, häufig aber auch über generische, manchmal sogar lokale Admin-Accounts gesteuert und verwaltet werden. Die Verwaltung und Überwachung der IT-Berechtigungen ist aber unverzichtbar, weil das damit verbundene Sicherheitsrisiko immens ist. Über die privilegierten Benutzerkonten ist ein uneingeschränkter Zugriff auf Unternehmenssysteme möglich, das heißt, wer Zugang zu einem privilegierten Benutzerkonto erhält, kann Unternehmensressourcen kontrollieren, Sicherheitssysteme ausschalten und auf vertrauliche Daten zugreifen. Und dies machen sich immer mehr Angreifer zunutze.

Rechtliche Vorgaben forcieren Lösung
Eine Lösung zur Vergabe und Kontrolle von IT-Berechtigungen ist allein schon aufgrund gesetzlicher und aufsichtsrechtlicher Richtlinien unverzichtbar. So finden sich in zahlreichen international gültigen Bestimmungen und Compliance-Vorgaben Regelungen für das Passwort-Management. Beispiele hierfür sind ISO 27001 und ISO 27002, der Sarbanes Oxley Act, SAS70/SSAE16 oder Basel II. Aber auch in nationalen Gesetzestexten wie dem KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), den GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) oder dem BDSG (Bundesdatenschutzgesetz) sind entsprechende Vorgaben für IT-Verantwortliche enthalten.

Beispielsweise heißt es in der Anlage zu §9 Satz 1 des Bundesdatenschutzgesetzes ganz klar: Es ist zu "gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)."

In die gleiche Richtung zielen auch die Prüfungen durch Wirtschaftsprüfungsgesellschaften, in denen aktuell verstärkt die Thematik Passwort-Management aufgegriffen wird. Dabei wird insbesondere bemängelt, dass zu viele Mitarbeiter im Unternehmen umfangreiche Privilegien besitzen – Privilegien, die sie nicht oder nur selten benötigen.

Konkrete Vorgaben zum Passwort-Management sind auch in den Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik) vorhanden. In den IT-Grundschutz-Katalogen des BSI wird zum Thema "Passwortschutz für IT-Systeme" ausgeführt: "Der Passwortschutz eines IT-Systems soll gewährleisten, dass nur solche Benutzer einen Zugriff auf die Daten und IT-Anwendungen erhalten, die eine entsprechende Berechtigung nachweisen."

Funktionsumfang einer Privileged Account-Security-Lösung
Bei der Auswahl einer Lösung zur Sicherung der privilegierten Accounts haben Unternehmen mehrere Optionen. Sie können auf eine Hardware-Appliance, eine Software-basierte Virtual Appliance oder eine reine Software-Anwendung setzen. Wichtig ist, dass die Lösung neben einer regelmäßigen Änderung der Server, Datenbank und Netzwerk-Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit aller Aktivitäten bietet. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, auf welche er zugreift und was er mit diesen Informationen macht. Dabei sollten alle Aktionen vom Zeitpunkt der Anmeldung am System bis zur Abmeldung revisionssicher aufgezeichnet werden.

Im Einzelnen muss eine Sicherheitslösung drei Leistungsmerkmale bieten: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Grundvoraussetzung ist, dass die Anwendung eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Unternehmenssysteme enthält. Zudem muss eine vollständige Überwachung der Nutzung privilegierter Accounts gewährleistet sein. Nur dadurch können Unternehmen irreguläre oder gefährliche Aktivitäten identifizieren. Idealerweise sind mit der Lösung bereits verdächtige Aktivitäten bei privilegierten Benutzerkonten zu erkennen, beispielsweise eine Account-Nutzung zu einer eher unüblichen Zeit.

Speziell für diese Anforderung hat beispielsweise CyberArk auch seine Applikation Privileged Threat Analytics entwickelt, die für jeden Nutzer privilegierter Konten ein Verhaltensprofil automatisch erlernt und dieses zudem permanent aktualisiert. Ausgehend von diesem Normalprofil erkennt die Lösung Abweichungen bei der Account-Verwendung und damit Anomalien im Verhalten privilegierter Benutzer. Nicht zuletzt muss eine Privileged Account-Security-Lösung natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen beziehungsweise Verdachtsmomenten ermöglichen – sei es durch den Entzug von privilegierten Zugriffsberechtigungen oder durch das Schließen einer identifizierten Sicherheitslücke.

Es liegt auf der Hand, dass eine solche Lösung zahlreiche Vorteile bietet: neben einer generellen Prozessoptimierung und Effizienzsteigerung im Passwort-Management auch eine deutliche Erhöhung der Transparenz bei der Systemnutzung im Hinblick auf Personen, Zeitpunkt oder konkrete Aktivitäten.

Fazit
Werden bei der Lösungsauswahl und -implementierung die genannten Aspekte berücksichtigt, lassen sich die Gefahren des Datenmissbrauchs und -diebstahls durch missbräuchliche Nutzung privilegierter Benutzerkonten zuverlässig ausschließen. Auch die Überwindung des Perimeter-Schutzwalls durch externe Angreifer stellt dann kein Problem mehr dar. Außerdem erfüllt ein Unternehmen mit einer modernen Privileged Account-Security-Lösung, mit der privilegierte Zugriffe auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert werden, die einschlägigen Anforderungen aus gängigen Compliance-Vorschriften und gesetzlichen sowie aufsichtsrechtlichen Bestimmungen effizient und ohne hohen Administrationsaufwand.