Privileged Account Management Tipps & Tricks

Datendiebstahl mit privilegierten Konten

| Autor / Redakteur: Christian Lechner* / Peter Schmitz

Privileged Access- und Account-Management reduziert das Risiko für einen Missbrauch von Administrator-Rechten durch externe Hacker oder Insider deutlich.
Privileged Access- und Account-Management reduziert das Risiko für einen Missbrauch von Administrator-Rechten durch externe Hacker oder Insider deutlich. (Bild: Pixabay / CC0)

Gefahren lauern überall – auch in den eigenen Reihen. Interne Mitarbeiter sind sehr oft für Datendiebstähle verantwortlich, sei es absichtlich oder aus Versehen. Schuld daran ist häufig ein Missbrauch von Administrator- oder Service-Benutzerkonten mit privilegierten Rechten. Mit Privileged Access- und Account-Management lassen sich diese Risiken um sensible Unternehmensdaten minimieren.

In den meisten Unternehmen gibt es eine Vielzahl an privilegierten Benutzerkonten. Das sind zum einen Administrator-Accounts, zum anderen Benutzerkonten, die hochverfügbaren Services zugrunde liegen und daher spezielle Berechtigungen haben. Die Verwaltung und Überwachung solcher Konten muss nicht teuer und aufwändig sein. In der Regel sind viele Maßnahmen und Tools bereits im Unternehmen vorhanden, jedoch unzureichend konfiguriert.

Oft ist lediglich eine Anpassung der IT-Prozesse erforderlich. Für manche Sicherheitsaspekte sind dagegen spezielle Lösungen oder Tools erforderlich. In der Praxis hat sich ein schrittweises Vorgehen bewährt. Unternehmen sollten zunächst mit Maßnahmen zum Basisschutz beginnen und diese dann weiter ausbauen. Die folgenden Empfehlungen helfen dabei.

5 Tipps für den Basisschutz

Machen Sie eine Bestandsaufnahme und reduzieren Sie privilegierte Accounts: Zunächst ist es erforderlich, die privilegierten Accounts im Unternehmen zu identifizieren, zu zählen sowie ihre Bedeutung und Funktion zu analysieren. Um den Verwaltungsaufwand zu verringern, sollten überflüssige Konten direkt gelöscht werden. Außerdem ist es wichtig, Accounts für allgemeine und administrative Zwecke strikt zu trennen. Es gilt die Least-Privilege-Regel: Nutzer erhalten nur die Mindest-Rechte, die sie auch wirklich benötigen.

Etablieren Sie einen On/Off-Boarding-Prozess von Mitarbeitern mit privilegiertem Account: Mitarbeiter sollten erst dann administrative Berechtigungen erhalten, wenn sie in den Sicherheitsrichtlinien des Unternehmens geschult wurden. Außerdem gehören Zugriffsrechte regelmäßig auf den Prüfstand. Wechselt ein Mitarbeiter seine Tätigkeit oder verlässt er gar das Unternehmen, müssen all seine privilegierten Benutzerkonten deaktiviert werden. Zusätzlich sind die Passwörter für alle generischen Accounts zu ändern, auf die der Benutzer Zugriff hatte. Hierzu gehören auch Notfallkonten.

Alle Passwörter erhalten eine maximale Laufzeit und müssen regelmäßig geändert werden: Unbefristete Passwörter sind unzulässig. Um das Risiko zu verringern, dass Zugangsdaten mit Cracking-Tools geknackt oder weitergegeben werden, sollten sie zudem regelmäßig geändert werden. Am komfortabelsten und zuverlässigsten funktioniert dies automatisiert. Microsoft bietet dafür zum Beispiel die „group managed service accounts“. Diese Lösung kann das Passwort eines Service-Kontos automatisiert und in festgelegten Abständen ändern – und zwar ohne Unterbrechung der Service-Verfügbarkeit. Dies gilt selbst dann, wenn der Service und das verwendete Servicekonto sich über mehrere Serversysteme verteilen. Ist eine Anwendung nicht in der Lage, mit „group managed service accounts“ umzugehen, kann die Änderung des Service-Passworts im Rahmen von Wartungsarbeiten oder Softwareupdates erfolgen. Lokale Administratorpasswörter lassen sich beispielsweise automatisiert über den Microsoft Local Account Password Service (LAPS) ändern.

Speichern Sie privilegierte Passwörter in einem sicheren System mit Verschlüsselung: Passwörter für privilegierte Konten dürfen nicht in offenen Briefumschlägen, Excel-Tabellen oder Textdateien abgelegt werden. Auch die direkte Speicherung von Passwörtern in Skripten und Applikationen ist nicht zu empfehlen.

Zugangsdaten sollten nicht von mehreren Personen gemeinsam genutzt werden: Administrative Accounts sollten immer einer bestimmten Person zugeordnet werden können. Die Verwendung eines anonymen Accounts „Administrator“ verhindert diese Zuordnung und macht eine Überprüfung der Berechtigungen – auch nach entdeckten Diebstählen – unmöglich.

4 Tipps für den erweiterten Schutz

Ändern Sie Passwörter für privilegierte Benutzerkonten automatisiert alle 60, besser alle 30 Tage: Passwörter sollten komplex sein, also eine Mindestlänge haben sowie Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten und nur einmalig vergeben werden können. Übertreiben sollten Sie es mit der Komplexität allerdings nicht. Bei einer Mindestlänge von 20 Zeichen kommen Benutzer schnell in die Versuchung, ihr gewähltes Passwort aufzuschreiben. Kennwortänderungen können automatisiert überprüft und gemeldet werden.

Verwenden Sie Einmal-Passwörter: Das häufige Ändern von Passwörtern erhöht den Aufwand für einen potenziellen Angreifer und macht eine Berechnung von Zugangsdaten nahezu unmöglich. Besonders effektiv sind daher Passwörter, die nur für eine Sitzung gültig sind. Dafür eignet sich zum Beispiel der Einsatz einer Zwei-Faktor-Lösung mit One-Time-Passwort (OTP).

Eliminieren Sie die interaktive Anmeldung bei Service Accounts: Die interaktive Nutzung von Service Accounts stellt ein erhebliches Risiko dar. Dies lässt sich mit relativ einfachen Mitteln und ohne große Kosten beseitigen. Dafür ist es unbedingt erforderlich, die vorhandenen Benutzerkonten zu erfassen. Eine interaktive Anmeldung an Windows-Systemen kann beispielsweise zentral durch Gruppenrichtlinien gesteuert werden.

Kontrollieren Sie gezielt die Verwendung von administrativen, privilegierten Accounts: Durch die Aufzeichnung aller Benutzeraktivitäten und deren Auswertung lassen sich ungewöhnliche Vorfälle schneller aufdecken – etwa wenn sich eine Person als Administrator aus einer anderen Zeitzone anmeldet. Automatisierte Alarme liefern zusätzliche Informationen über den Zugriff auf privilegierte Benutzerkonten und deren Nutzung. Microsoft bietet mit seinen „Advanced Threat Analytics“ und dem „Azure Security Center“ Lösungen, um den Zeitaufwand für die Prüfung potenzieller Sicherheitsvorfälle und -verletzungen erheblich zu reduzieren. Häufig lassen sich solche Systeme zudem in bestehende SIEM (Security Information und Event Management)-Umgebungen integrieren.

3 Tipps für einen umfassenden Schutz

Nutzen Sie automatisierte Tools zur Verwaltung privilegierter Accounts: Privilegierte Benutzerkonten im gesamten Unternehmen manuell zu verwalten und zu überwachen, ist aufwändig. Außerdem schleichen sich so schnell Fehler ein. Wesentlich komfortabler und effizienter sind hier Lösungen mit einem hohen Automatisierungsgrad, die sich in bestehende Identity-Management-Systeme integrieren lassen. Automatisierte Verwaltungssysteme bieten auch häufig die Möglichkeit, komplexe Berechtigungs- und Genehmigungsabläufen abzubilden.

Nutzen Sie eine Multifaktor-Authentifizierung für sämtliche administrativen Zugriffe: Eine Multifaktor-Authentifizierung bietet zusätzlichen Schutz vor modernen Angriffen wie „Pass-the-Hash“ und „Pass-the-Token“. Ältere IT-Systeme unterstützen dies jedoch häufig nicht. In solchen Fällen können Privileged-Account-Security-Lösungen die Legacy-Applikationen über Mehrfaktor-Authentifizierung absichern.

Verhindern Sie den direkten Zugriff auf vertrauliche Systeme und Daten: Dies erreichen Sie durch die Implementierung eines Gateways. Die Privileged-Access-Mangement-Lösung (PAM) von Microsoft beispielsweise erschwert es Angreifern, auf Ressourcen innerhalb einer Active-Directory-Umgebung zuzugreifen. Sie basiert auf neuen Funktionen in den Active-Directory-Domänendiensten und im Microsoft Identity Manager. PAM trennt privilegierte Konten von einer vorhandenen Active-Directory-Umgebung. Ein privilegiertes Konto muss zunächst angefordert werden. Nach der Genehmigung erhält es Berechtigungen in einer neuen, geschützten Gesamtstruktur anstatt in der aktuellen Gesamtstruktur des Benutzers oder der Anwendung. Dadurch kann die gefährdete Active-Directory-Umgebung besser kontrolliert werden.

Fazit

Privileged Access- und Account-Management reduziert das Risiko für einen Missbrauch von Administrator-Rechten deutlich. Viele der genannten Sicherheitstipps lassen sich schon mit einfachen Mitteln und wenig Aufwand umsetzen. Für umfassenden Schutz empfehlen sich automatisierte Lösungen. Ein unabhängiger IT-Dienstleister kann dabei helfen, die Anforderungen eines Unternehmens mit den verfügbaren Möglichkeiten abzugleichen um eine passende Lösung nach Best-Practice-Gesichtspunkten zu designen.

* Christian Lechner ist Senior Consultant Cybersecurity & Enterprise Mobility bei Axians IT Solutions.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44444810 / Passwort-Management)