:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/cc/99cc4df961053dc747a06fbf36f0962d/0114222186.jpeg "Ab sofort sehen die Besucher des Drogen-Markplatzes Piilopuoti im Darknet nur die folgende Meldung. (Bild: Finnischer Zoll)")
:quality(80)/p7i.vogel.de/wcms/8b/36/8b367fb79d91b869c7bcbb43197bc2b4/0114153072.jpeg "So kompliziert die DSGVO auch erscheinen mag, wer die Grundsätze für die Verarbeitung personenbezogener Daten als Grundprinzipien beachtet, hat schon sehr viel erreicht. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/72/6372be7ef046411435e68c6203994823/0114113443.jpeg "Threat Intelligence Feeds sind ein wichtiges Tool für Unternehmen, zum Schutz vor DDoS-Angriffen. (Bild: Framestock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/b5/c6b5e92a108fab05277f55f2433e9923/0114199472.jpeg "Cisco will Splunk übernehmen, um Unternehmen in einer KI-gestützten Welt sicherer und widerstandsfähiger zu machen und dabei den eigenen Umsatz und die Marge zu steigern. (Bild: Cisco)")
:quality(80)/p7i.vogel.de/wcms/71/d2/71d2d4f27a8b93346b4930908e422fd6/0114151621.jpeg "Der Schutz von OT-Umgebungen gegenüber Cyber-Gefahren darf durch Unternehmen nicht vernachlässigt werden. Mit Befolgung der sieben Tipps in diesem Artikel sind Security-Verantwortliche auf der sicheren Seite. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/c9/a4c90540231b9fb039bfb567b5f69824/0114002157.jpeg ""Was KI für die Cybersicherheit wirklich bedeutet", ein Interview von Oliver Schonschek, Insider Research, mit Michael Veit von Sophos. (Bild: Vogel IT-Medien / Sophos / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/09/13099874e6859350b3819761430047fb/0114005981.jpeg "Jubel, Trubel und Gedränge – neben Taschendieben machen auch immer mehr Cyberkriminelle auf großen Veranstaltungen wie dem Münchner Oktoberfest ihr „Geschäft“. (Bild: frei lizenziert Pexels - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fc/97/fc9738083cd07dfe9c89c949eb0c40aa/0114113294.jpeg "Microsoft Teams wird in vielen Unternehmen als Kommunikationsplattform genutzt. Immer öfter greifen Hacker gezielt Teams an. Unternehmen müssen reagieren und sich besser schützen! (Bild: Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/09/ea098195a5d78217dbe8e7be250c803f/0113981663.jpeg "Wie die Geschäftsentwicklung von Cequence unterstreicht, wird Anwendungssicherheit für Unternehmen ein zunehmend wichtiger Faktor. (Bild: The Walker Group)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/5f/165f68c6fa324facb4015349f0aabf97/0114113075.jpeg "Um mit KI-basierten Bedrohungen mithalten zu können, kommen Unternehmen nicht umhin, KI-basierte Abwehrmaßnahmen zu nutzen. (Bild: soupstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Entitlement Creep Die Gefahren schlummernder Zugriffsrechte
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Wenn Unternehmen neue Mitarbeiter einstellen oder es interne Positionswechsel gibt, hat das auch Folgen für die IT-Sicherheit, denn das neue Personal braucht natürlich Zugriffsrechte auf Dateien und Ordnerstrukturen. Oft werden dabei neue Benutzer schnell im Netzwerk freigeschaltet, selten wird aber im laufenden Betrieb geprüft, welche Konten noch worauf Zugriff haben.
Die Zahl der digitalen Identitäten in einem Unternehmen nimmt durch solche Effekte rasant zu, was es für Sicherheitsleute schwieriger denn je macht, jede einzeln zu verwalten und zu aktivieren. Diese schleichende Ansammlung von Zugriffsberechtigungen wird als Entitlement Creep bezeichnet. Den Blick über alle Privilegien zu behalten, wird noch schwieriger, wenn Unternehmen mit der Konfiguration von Berechtigungen auf Anwendungen und Infrastrukturen beauftragt werden, sobald Personen den Zugriff auf eine wachsende Vielfalt von Cloud- und lokalen Orten benötigen.
Jüngste Untersuchungen von Gartner zeigen, dass die Zahl der unterschiedlichen Berechtigungen bei verschiedenen Cloud-Service-Anbietern im Durchschnitt die 5000 überschritten hat. Darüber hinaus nutzen mehr als 95 Prozent der Konten innerhalb von IaaS-Umgebungen im Durchschnitt weniger als 3 Prozent der gewährten Berechtigungen. Es ist klar, dass IAM-Teams alle Hände voll zu tun haben, wenn sie versuchen, den schmalen Grat zwischen geschäftlicher Effizienz und Sicherheit zu überwinden. Noch offenkundiger ist, dass die Angestellten im Großen und Ganzen zu viel Zugriff haben. Abgesehen davon, dass dies unnötig ist, kann es für die IT-Sicherheit eines Unternehmens gefährlich werden.
Eile mit Weile
Der Grund für die übermäßige Zugriffsverteilung scheint einfach und in einigen Fällen sogar harmlos zu sein: Wenn Mitarbeiter den Arbeitsplatz, die Rolle oder das Projekt wechseln, oder sogar das Unternehmen verlassen, benötigen sie wahrscheinlich neue Berechtigungen, damit sie ihre Aufgaben effizient erledigen können, oder die vorhandenen müssen entfernt werden. Da Unternehmen es jedoch eilig haben, diese Mitarbeiter mit diesen Berechtigungen auszustatten, vergessen sie möglicherweise, dass sie über Prozesse verfügen, um alte Zugriffsrechte zu entfernen, die im Rahmen der neuen Rolle nicht mehr benötigt werden. Da die Mitarbeiter immer häufiger den Arbeitsplatz wechseln, kann dies zu einer schleichenden Anhäufung von Privilegien und Zugriffsrechten führen. Oftmals werden diese Berechtigungen nicht mehr benötigt und haben keine Auswirkungen auf die Produktivität, wenn sie entfernt werden. Trotzdem ist die Ausweitung von Berechtigungen in Unternehmen nur allzu häufig anzutreffen. Ohne eine angemessene Kontrolle darüber, wer auf was zugreifen darf und warum, entstehen Sicherheitslücken.
Übermäßige Privilegien wegen fehlender Übersicht
Die meisten Unternehmer sagen, dass sie sich dem Prinzip des Least Privilege verpflichtet fühlen. In einer kürzlich von ESG durchgeführten Untersuchung gaben jedoch 45 Prozent der Unternehmer zu Protokoll, dass sie Schwierigkeiten haben, zu erkennen, welche Benutzer auf welche Daten zugreifen können. Das verwundert nicht, denn ohne ein angemessenes Identitäts-Lebenszyklus-Management, mit dem veraltete Zugriffsrechte entzogen werden können, ist es leicht, diesen Grundpfeiler der Cyber-Sicherheit zu beschädigen. DDieser Fehler kommt häufig bei der Identitätsverwaltung vor, da Angestellte häufig Berechtigungsdaten aus zahlreichen Quellen importieren müssen (wie CSV-Dateien, HR-Systeme, Cloud-Infrastrukturen, Anwendungsdaten). Diese werden benötigt, um zu ermitteln, wer Zugriff auf welche Daten benötigt. Darüber hinaus konzentrieren sich Unternehmen in der Regel mehr auf die Produktivität ihrer Benutzer und verfolgen einen Laissez-faire-Ansatz bei der Sicherheit. Dies ist besonders dann der Fall, wenn Mitarbeiter schnell Zugriff auf Dinge benötigen, oder wenn Drittanbieter erweitert werden, Mitarbeiter die Abteilung wechseln oder neue Aufgaben übernehmen.
Unsaubere Identitätsverwaltung ist mehr als ein weiteres Risiko
Die Zuordnung von Berechtigungsdaten aus einer Vielzahl unterschiedlicher Quellen stellt IAM-Teams und Auditoren gleichermaßen vor Herausforderungen. Da Mitarbeiter viele Berechtigungen sammeln, können ungenutzte Privilegien ein blinder Fleck für IAM- und Sicherheitsabteilungen sein und mit der Zeit zu einem Risiko werden. Verwaiste Konten sind eine wichtige Komponente der schleichenden Aneignung von Berechtigungen. Da die Mitarbeiter jedoch Zugriffsrechte behalten, die sie nicht mehr benötigen, kann die Zuweisung von Eigentumsrechten oder sogar das Auffinden und Korrelieren verwaister Konten eine zeitraubende Aufgabe sein, die Lücken in der Überwachung der Umgebung schafft. Wenn Audits anstehen, können Gruppen ohne übersichtliche Berichte zudem viel Zeit und Kraft darauf verwenden müssen, überhaupt Daten darüber zu sammeln, wer worauf Zugriff hat. Zeit wird vergeudet, aber häufig kann ein fehlgeschlagenes Audit sogar zu finanziellen Nachteilen, Rufschädigung und mehr führen, denn ein von Hackern übernommenes Benutzer-Konto, dass sehr viele Berechtigungen angehäuft hat, ist wie der Schlüssel zu den Toren der Stadt – besonders dann, wenn die IT-Verantwortlichen nicht wissen, dass dieses Konto über so viele Berechtigungen verfügt, oder überhaupt noch existiert.
Bei Nachlässigkeit droht der Schneeball-Effekt
Leider handeln viele Abteilungen bei der Verwaltung und Pflege von Berechtigungen nach dem Motto: Wir kümmern uns darum, wenn wir müssen. Das ist inakzeptabel, doch ohne eine zentralisierte Lösung kann es unnötig erscheinen, sich überhaupt die Mühe zu machen, den Leuten die Berechtigungen zu entziehen; diese hatten bereits Zugang gewährt bekommen, warum sollte man sich nun darum kümmern, diesen zu entziehen? Solch eine Denkweise kann jedoch zu einem Berg ungenutzter Rechte und Berechtigungen führen. Wenn ein Audit ansteht oder eine neue Organisationsanweisung eingeführt wird, um alle Zugriffe zu erfassen, kann es nahezu unmöglich sein, die richtigen Berechtigungen zuzuweisen. Ohne eine angemessene, kontinuierliche Erfassung der Berechtigungen kann es zu einem Schneeball-Effekt kommen. Dann fallen Hunderttausende von Berechtigungen an, die es anzulegen und aufzuholen gilt, was nicht zu bewältigen ist.
Gegenmaßnahmen
Umfassende Identity Governance and Administration (IGA) ist in der Lage, die Lebenszeit von digitalen Identitäten, wie Benutzerkonten, zu überblicken, sodass bei einem Wechsel dieser Identitäten von einer Abteilung zur anderen, oder bei der Verlängerung von Verträgen mit Vertragspartnern, diese automatisch mit dem richtigen Zugang ausgestattet werden, um ihre Aufgaben erfüllen zu können – mehr aber nicht. So können Identitäten auf durchdachte Weise mit ausreichendem Zugang ausgestattet werden, damit die Angestellten dahinter produktiv bleiben. Saubere IGA stellt jedoch auch sicher, dass der Zugang, der für die Ausführung einer bestimmten Aufgabe nicht mehr erforderlich ist, gekennzeichnet und automatisch deaktiviert wird. Dies ist ein Hauptanwendungsfall von IGA, der dazu beitragen kann, eine schleichende Ausdehnung der Berechtigungen zu verhindern.
Außerdem können Unternehmen IGA nutzen, um die Fähigkeit zur Erstellung von Zugriffspaketen durch Rollen oder Richtlinien zu delegieren. Diese enthalten Ressourcen, die Identitäten beantragen können und listen die Personen, die den Zugriff genehmigen müssen. Ordentliches IGA muss klarstellen, welche Arten von Berechtigungen verfügbar sind und welche Berechtigungen für die jeweilige Aufgabe erforderlich sind, damit Personen Zugriffsanfragen stellen und diese wiederum genehmigt werden können. Die Einbindung von Zertifizierungskampagnen, während derer schnell geprüft werden kann, ob Berechtigungen noch genutzt werden, ist ebenfalls eine Kernaufgabe vollwertiger IGA. Auf diese Weise entsteht erst gar kein Schneeball, sondern alle Identitäten verfügen stets bloß über die Zugriffsberechtigungen, die sie wirklich benötigen, während überflüssige Identitäten entfernt werden. Die Sicherheitslücke, dass ein Konto für Hacker besonders lukrativ wird, weil es verwaist ist und haufenweise Zugriffsberechtigungen aufweist, wird geschlossen.
Über den Autor: Andrew Silberman ist Product Marketing Director bei Omada.
(ID:48537834)
:quality(80)/p7i.vogel.de/wcms/ad/22/ad22b32381e93c0e483a882166f587cb/0106382026.jpeg "LAPSUS$ hat uns deutlich vor Augen geführt, dass es auch für unerfahrene Angreifer sehr einfach ist, in kurzer Zeit erheblichen Schaden anzurichten. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/21/2921b37e9174454514f87109f30498da/0113796994.jpeg "Sicherheitsverantwortliche müssen in hybriden IT-Landschaften oft verschiedene Multi-Faktor-Authentifizierungen in einem System vereinen. (Bild: ArtemisDiana - stock.adobe.com)")