Fünf Risiken bei unzureichendem Passwort-Management

Zugriff auf kritische IT-Systeme und -Ressourcen absichern und überwachen

21.10.2009 | Redakteur: Stephan Augsten

Nur ein automatisiertes Passwort-Management garantiert den sicheren und Compliance-konformen Zugriff auf IT-Systeme, meint Cyber-Ark.
Nur ein automatisiertes Passwort-Management garantiert den sicheren und Compliance-konformen Zugriff auf IT-Systeme, meint Cyber-Ark.

Ungeachtet neuer Techniken zur Authentifizierung wird der Zugriff auf die meisten IT-Systeme und Infrastrukturen nach wie vor mit Passwörtern und PINs abgesichert. Dennoch unterschätzen viele Unternehmen laut Cyber-Ark die Gefahren eines vernachlässigten oder fehlenden Passwort-Managements. Der Sicherheitsexperte nennt die fünf größten Gefahren.

Privilegierte Benutzerkonten, wie sie Administratoren besitzen, bergen ein erhebliches Sicherheitsrisiko. Denn die damit verbundenen Passwörter sind auch der Schlüssel zu allen unternehmenskritischen Datenbeständen.

Eine IT-Umgebung umfasst unzählige Server, Datenbanken und Netzwerkgeräte – und sie alle werden über Accounts mit Administratorrechten gesteuert und verwaltet. Hierzu zählen zum Beispiel der Root unter Unix/Linux, das Administrator-Konto bei Windows sowie „Cisco enable“, „Oracle system/sys“ oder „MSSQL sa“.

Allerdings sind der verantwortungsvolle Umgang mit solch privilegierten Benutzerkonten und ein entsprechendes Zugriffsmanagement in Unternehmen die Ausnahme, meint Cyber-Ark. Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn, betont: „Viele Unternehmen ergreifen nach wie vor unzureichende Security-Maßnahmen im Bereich der privilegierten Benutzerkonten.“

So fänden sich auf zahlreichen IT-Systemen identische und/oder leicht zu entschlüsselnde Passwörter, die nur selten oder überhaupt nicht geändert werden. Die fünf größten Gefahren, die damit einhergehen, sind dem Security-Spezialisten Cyber-Ark zufolge:

1. Verletzung gesetzlicher und branchenspezifischer Richtlinien: Compliance-Vorschriften aus dem Sarbanes Oxley Act (SOX), PCI-DSS, ISO27001 oder Basel II erfordern Nachweise darüber,

  • wer auf privilegierte Benutzerkonten zugreift,
  • welche Veränderungen vorgenommen wurden und
  • ob die Passwörter ordnungsgemäß geschützt und geändert wurden.

2. Insider-Bedrohung: Wie so oft kommt eine der größten potenziellen Bedrohungen von innen. So wird in vielen Unternehmen durchgängig ein identisches Root- oder Administrator-Passwort eingesetzt. Dies betrifft unterschiedlichste IT-Systeme und -Applikationen wie Server, Desktops, Datenbanken, Router oder Firewalls. Das erleichtert es Mitarbeitern mit unlauteren Absichten erheblich, wichtige Systeme zu manipulieren.

3. Verlust sensibler Daten: Über privilegierte Benutzerkonten ist ein unbeschränkter Zugriff auf nachgelagerte Systeme möglich. Wenn Unberechtigte Zugang zu solchen Bereichen haben, können sie unkontrolliert agieren und beispielsweise vertrauliche Informationen wie Kunden- oder Finanzdaten entwenden.

4. Hohe Fehleranfälligkeit: Bei einer großen Anzahl an Servern, Datenbanken und Netzwerkgeräten ist die manuelle Änderung von privilegierten Benutzerkonten extrem zeitaufwändig und fehlerbehaftet. Stehen die erforderlichen und richtigen Passwörter einem Administrator im Notfall nicht zur Verfügung, kann das zu mehrstündigen Verzögerungen bei der Behebung von Systemausfällen führen.

5. Keine Nachvollziehbarkeit: Hat eine größere Gruppe von Administratoren Zugriff auf Shared-Account-Passwörter, lässt sich nicht überprüfen, welche Person ein solches Passwort wann und wozu verwendet hat. Dementsprechend ist eine revisionssichere Nachvollziehbarkeit der Verwendung eines generischen Accounts bis auf die Personenebene nicht gewährleistet.

Abhilfe schafft laut Koehler nur eine Lösung, mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden. Nur so ließen sich die Gefahren des Datenmissbrauchs und -diebstahls zuverlässig ausschließen. Gleichzeitig könnten Unternehmen die Anforderungen hinsichtlich Revisionssicherheit, gängiger Compliance-Vorschriften und gesetzlicher sowie aufsichtsrechtlicher Bestimmungen erfüllen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2041745 / Passwort-Management)