:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Die Sicherheitsrisiken privilegierter Admin-Konten PAM: Privileged Account Management
Ganz gleich ob sie „nur“ Zugriff auf die Betriebssysteme oder (was wohl häufiger der Fall sein dürfte) auf das gesamte Unternehmensnetzwerk haben: Administratoren haben sehr viel Macht sowohl über die IT- als auch über die Business-Ressourcen. Ihre „Privilegierten Konten“ können sich dabei allerdings auch schnell zu einer Gefahr entwickeln: Ein Überblick über PAM-Techniken und -Ansätze, die solche Probleme lösen sollen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
„Passwörter sind unsicher, Passwörter sind ‚out‘ und kein vernünftiges Unternehmen nutzt diese archaische Anmeldemethode noch – schon gleich überhaupt nicht in komplexen Netzwerkumgebungen“, so kann man es aktuell häufig von Analysten, Sicherheitsspezialisten und deren Unternehmen hören. Und auch, wenn Single-Sign-On-Lösungen in Netzwerk- und Cloud-Umgebungen schon sehr oft zum Einsatz kommen und Endgeräte mittels biometrischer Methoden wie etwa „Windows Hello“ gesichert werden können, ist die traditionelle Anmeldemethode mit Nutzernamen und Passwort nach wie vor sehr verbreitet.
Das ist eine bekannte Gefahr – doch was ist mit den Konten selbst und den Zugriffsmöglichkeiten, die sie denjenigen bieten, die das Konto nutzen? Hand aufs Herz bei dieser Frage an Administratoren und Netzwerkverantwortliche: Wissen Sie genau, wer auf ihren Systemen und im Netzwerk mit erhöhten oder gar absoluten Zugriffsrechten arbeiten kann? Wer ist beispielsweise nicht als Domänen-Administrator tätig, besitzt aber trotzdem dessen weitreichenden Zugriffsrechte auf die Ressourcen des Unternehmensnetzwerks?
:quality(80)/images.vogel.de/vogelonline/bdb/1539200/1539264/original.jpg "Welcher Nutzer kann was tun und wie groß ist das daraus entstehende Risiko für Unternehmen und Netzwerk? Die eindrucksvolle Grafik zeigt, dass nur wenige Nutzer zur Gruppe der Privilegierten zählen, dass aber dort „an der Spitze“ aber auch das Risiko am größten ist.")
:quality(80)/images.vogel.de/vogelonline/bdb/1539200/1539265/original.jpg "Erschreckende Zahlen – Der „Privileged Access Report 2018“ von BeyondTrust zeigt deutlich, dass diese so sicherheitskritischen Konten oftmals nicht im Fokus der IT-Verantwortlichen und Administratoren stehen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1539200/1539266/original.jpg "Mehr Sicherheit auf den Systemen und in den Netzwerken durch spezielle PAM-Software. Der hier gezeigte „Secret Server“ des Unternehmen Thycotic kann dabei helfen, den Überblick zu behalten.")
Es ist wichtig, sich Gedanken über „privilegierte“ Konten zu machen
Dabei dürfte es jedem IT-Verantwortlichen und CIO klar sein: Es existieren hochprivilegierte Konten, wie etwa „root“ oder „Administrator“, mit deren Einsatz ein Nutzer auf sehr viele Informationsbereiche Zugriff hat und/oder weitreichende Systemeinstellungen durchführen kann. IT-Profis nutzen diese Zugänge, um Daten im Netzwerk freizugeben, Software zu installieren und auszuführen oder kritische Netzwerkgeräte zu überwachen und zu verwalten. Nicht zuletzt kommen sie auch zum Einsatz, um das Netzwerk vor Bedrohungen von innen und außen zu bewahren.
Geht es dabei um kleinere Unternehmen und Bürogemeinschaften, sollte die Verwaltung der privilegierten Konten einfach sein: So könnten die Mitarbeiter das Passwort für das administrative Konto beispielsweise regelmäßig alle paar Tage ändern und sich dann über das aktuelle Kennwort informieren. Wenn das konsequent durchgehalten wird und das Passwort für den administrativen Account nicht am schwarzen Brett oder in einer öffentlichen WhatsApp-Gruppe landet, dürfte ein Teil der Gefahr gebannt sein.
Allerdings sieht die Realität zumeist anders aus: Es gibt viele IT-Mitarbeiter, von denen jeder einzelne über ein administratives Konto und ein reguläres Konto mit geringeren Rechten für das Tagesgeschäft verfügt. Das primäre Administratorkonto der Domäne wird nur selten verwendet und deshalb ist auch das Passwort seit Jahren das gleiche. Dazu passt es, dass laut „US State of Cybercrime Survey“ 21 Prozent aller Unternehmen davon überzeugt sind, dass derzeitige und ehemalige Mitarbeiter die größte Gefahr für die Cyber-Security darstellen – und das trifft dann häufig auch auf noch so kleine Unternehmen zu: Denn wer weiß in diesen Fällen zweifelsfrei, welcher ehemaliger Mitarbeiter immer noch administrativen Zugriff auf das Netzwerk hat?
Active Directory allein kann es nicht stemmen – IAM auch nicht
Kommt das Gespräch auf die privilegierten Benutzerkonten, so verweisen IT-Abteilungen teilweise darauf, dass sie diese Probleme durch den Einsatz von Active Directory oder auch durch Lösungen für das Identity Access Management (IAM) vollständig im Griff haben. So erleichtert ein Verzeichnisdienst ganz sicher die zentrale Verwaltung von Benutzerkonten und ebenso deutlich die Arbeit der Administratoren. Erzwingt er in der Regel doch die Einhaltung von Passwortregeln. Und das sichere Abspeichern von Passwörtern und Benutzernamen, das schaffen auch Freeware-Tools wie etwa Keepass oder LastPass.
Aber gerade im Netzwerk ist es wichtig, dass die Zugriffsrichtlinien zuverlässig und auf Identitäten basierend durchgesetzt werden. Da einfache Lösungen so etwas in einer komplexen Netzwerkumgebung sicher nicht leisten können, kommen IAM-Lösungen zum Einsatz, die den grundsätzlichen Zugriff der Nutzer auf Ressourcen wie Anwendungen, Datenbanken, Storage und die Netzwerke richtlinienkonform regeln können.
Sie authentifizieren die Nutzer, autorisieren deren Zugriffe und provisionieren diese auch, in dem sie die Zugriffe zuweisen oder auch wieder entziehen können. Schließlich können sie die Zugriffe und Rechte über entsprechende Audits dokumentieren. Braucht es da noch eine PAM-Software, mit deren Hilfe die privilegierten Konten aufgespürt und überwacht werden?
Auf jeden Fall, denn leider entziehen sich die privilegierten Nutzerkonten im Netzwerk oftmals den vorgenannten Kontrollmechanismen. Tätig sind hier „spezielle Nutzer“, die beispielsweise auch direkt auf die Einstellungen der Konten zugreifen und diese ändern können. Dabei existieren diese „Super-User“ sowohl aus der Sicht der Business-Anwendungen als aus Sicht der reinen IT-Lösungen. Im Business-Umfeld greifen sie dabei beispielsweise ebenso auf sensitive Daten aus dem HR-Bereich wie auf Finanzunterlagen oder gar Daten zu Patenten zu. Im reinen IT-Umfeld finden sich hier mehr die Nutzer mit den klassischen Administrator-Rechten, die beispielsweise eine kritische Infrastruktur lahmlegen oder sensible IT-Adressen unberechtigt benutzen können.
PAM-Lösungen kontrollieren diese speziellen Nutzergruppen im Idealfall in allen Bereichen und können dort wirken, wo die Standardmechanismen der IAM-Lösungen – die sich um die „normalen Nutzer“ kümmern – einfach nicht mehr greifen.
Die Analysten von Gartner veröffentlichten dazu in ihrem Report zum „Magic Quadrant for Privileged Access Management“ im Dezember 2018 folgende Vermutungen: Bis zum Jahr 2021 werden 50 Prozent der Unternehmen, die DevOps nutzen, auf PAM-basierte Produkte und dort auf so genannte „Secret Management“-Produkte setzen. Ein Beispiel dafür ist der Secret Server der Firma Thycotic, der auch in einer Freeware-Version bereitsteht, die sich unter anderem gut dazu eignet, im kleinen Rahmen in diese Thematik einzusteigen. Liegen die Analysten mit dieser Aussage richtig, so würde das einen enormen Anstieg beim Einsatz solcher Lösung bedeuten, da es nach Aussagen von Gartner aktuell weniger als 10 Prozent der Unternehmen sind, die auf derartige Software setzen. Bis zum Jahr 2022 sehen die Gartner-Leute dann den Einsatz vom PAM-Werkzeugen bei mehr als der Hälfte der Enterprise-Unternehmen.
Zudem werden die beiden Disziplinen IAM und PAM zusammenwachsen. Denn es scheint, dass die Anbieter erkannt haben, dass die Unternehmen wohl beide Ansätze in Betracht ziehen wollen und müssen. Das zeigt beispielsweise auch die Tatsache, dass der ungarische Anbieter Balabit, der sich auf den Bereich PAM spezialisiert hatte, im letzten Jahr vom Identity-Anbieter One Identity (ehemals Teil von Quest) übernommen wurde.
Fazit: Netzwerkadministratoren müssen die „Super-User“ im Blick behalten
In vielen IT-Abteilungen herrscht (leider) immer noch ein gewisses „Silo-Denken“: So wollen sich die Netzwerkleute vielfach nicht um die Sicherheit kümmern, denn das ist ja die Aufgabe der Mitarbeiter aus dem Bereich Security (und umgekehrt). Doch gerade, wenn es um die „Superuser“ und anderen privilegierten Konten im Netzwerk geht, sind Fachverstand und Überblick der Netzwerktruppe extrem gefragt.
Ganz aktuell sorgte Ende Januar eine Zero-Day-Lücke im Exchange-Server für Aufsehen, durch die Angreifer mittels eines (gehackten) E-Mail-Kontos die Administratorrechte für den Domänen-Controller erlangen konnten. Obwohl dieses Angriff-Szenario nicht unbedingt trivial war, konnte ein Angreifer damit seine Nutzerrechte so erweitern, dass er die Rechte des privilegierten Domänen-Kontos erlangen konnte. Auch für solche Fälle kann eine PAM-Lösung, die entsprechende Zugriffe auch protokolliert, eine wichtige Maßnahme sein, um die Angriffsfläche des gesamten Netzwerks und der Server-Systeme deutlich zu verringern.
(ID:45822558)
:quality(80)/images.vogel.de/vogelonline/bdb/1913800/1913848/original.jpg "B2B-Unternehmen wie auch KRITIS-Unternehmen können mit Wallix Bastion 9 digitale Identitäten schützen. (adam121 - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904510/original.jpg "Privileged Access Management ist eine Funktion in Windows Server 2022 um Administratorkonten in Active Directory vor Angriffen zu schützen. (NicoElNino - stock.adobe.com)")