Priviligierte Konten in IT-Umgebungen

Durch die Gewährleistung der regelmäßigen Änderung von Kennwörtern für privilegierte Konten können Sie einen großen Schritt in Richtung mehr Sicherheit in Ihrer Umgebung gehen.

Privilegierte Konten sind in Unternehmens-IT-Umgebungen heutzutage eine Notwendigkeit, da sie Administratoren die Verwaltung der Umgebung ermöglichen. Durch entsprechende Medienberichterstattung werden wir jedoch täglich daran erinnert, dass mit privilegierten Zugriffsrechten auch das Risiko für Sicherheitslücken steigt – ganz gleich, welcher Branche Ihr Unternehmen angehört. Es gibt allerdings auch Möglichkeiten zum Schutz. Mit den fünf in diesem Artikel beschriebenen konkreten Schritten können Sie Ihre Organisation vor den Risiken schützen, die mit privilegierten Konten einhergehen.

Einführung

Privilegierte Konten sind in Unternehmens-IT-Umgebungen heutzutage eine Notwendigkeit: Administratoren benötigen erweiterte Berechtigungen für die Verwaltung der Umgebung. Privilegierte Konten führen jedoch auch zu massiven Compliance-und Sicherheitsrisiken. Bei privilegierten Konten herrscht insbesondere oftmals das Prinzip "Alles oder nichts" vor. Unter UNIX müssen Helpdesk- Mitarbeiter vollständige Administratorberechtigungen erhalten, um einfach Kennwortrücksetzungen durchführen zu können. Diese können absichtlich oder auch versehentlich missbraucht werden. Außerdem ist die Verwaltung von privilegierten Konten grundsätzlich schwierig. Da viele Personen und Systeme Zugriff auf dieselben Anmeldedaten benötigen, ist es nicht einfach, die Anmeldedaten vertraulich zu halten, sie regelmäßig zu ändern und Einzelpersonen für Aktionen, die sie mit diesen Anmeldedaten durchführen, zur Verantwortung zu ziehen.

Die Risiken sind hoch, da sie zu Sicherheitslücken führen. Laut dem Data Breach Investigations Report von Verizon wurden bei 76 Prozent der Sicherheitslücken schwache oder gestohlene Anmeldedaten ausgenutzt und bei 13 Prozent wurden Berechtigungen missbräuchlich oder falsch verwendet. Wie können Sie Ihre Organisation schützen? In diesem Artikel werden fünf konkrete Schritte beschrieben, mit denen Sie die Sicherheitsrisiken von privilegierten Konten in Ihrem Unternehmen mindern können.

Schritt 1:

Führen Sie eine Bestandserfassung Ihrer privilegierten Konten durch, einschließlich der Benutzer und Systeme, die diese verwenden.

Sie können die Risiken von privilegierten Konten nicht mindern, wenn Sie die Anzahl der Konten nicht kennen und nicht wissen, welche Benutzer Zugriff auf diese benötigen. Verschaffen Sie sich also einen genauen Überblick. Erfassen Sie auch die einzelnen Benutzer, die diese privilegierten Konten verwenden, und denken Sie daran, dass Kennwörter für privilegierte Konten in vielen Skripten und Anwendungen oft hartcodiert sind.

Mit einer umfassenden Liste aller privilegierten Konten und der Benutzer und Systeme, die Zugriff auf diese benötigen, kann Ihre Organisation Schwachstellen ausmachen, die zu internen oder externen Sicherheitslücken führen können, und sich zuerst um diese Bereiche kümmern.

Schritt 2:

Stellen Sie sicher, dass Ihre privilegierten Kennwörter zuverlässig gespeichert sind.

Sobald Sie den Bestand Ihrer Konten und Kennwörter erfasst haben, speichern Sie die Anmeldedaten auf sichere Weise. Eine gute Option ist eine Lösung, die eine Art Kennwortsafe erstellt, in dem privilegierte Anmeldedaten mit mehreren Sicherheitsebenen, wie Verschlüsselung, Firewalls und sicherer Kommunikation, geschützt werden.

Mithilfe von Kennwortsafetechnologie können Sie auch sicherstellen, dass Anmeldedaten für privilegierte Konten Benutzern zeitgerecht mit entsprechenden Genehmigungen bereitgestellt werden. Wenn Sie keinen Kennwortsafe verwenden möchten, sollten Sie zumindest dafür sorgen, dass alle Kennwörter verschlüsselt werden und dass für den Zugriff auf diese mehrere Authentifizierungsebenen erforderlich sind.

Schritt 3:

Setzen Sie strenge Änderungsver­waltungsprozesse für Kennwörter für privilegierte Konten durch.

Den meisten Organisationen ist die Wichtigkeit von starken Kennwörtern bewusst und sie verlangen regelmäßige Kennwortänderungen. Oft wird diese Richtlinie aber verstärkt bei alltäglichen Benutzern und nicht bei privilegierte Konten durchgesetzt – oft aus gutem Grund. Da Anmeldedaten für privilegierte Konten oftmals in Skripten und Anwendungen hartcodiert sind, birgt ihre Änderung das Risiko eines Ausfalls wichtiger Anwendungen.

Die Erstellung einer umfassenden und präzisen Bestandsliste aller Skripte und Anwendungen, die diese privilegierten Anmeldedaten verwenden (siehe Schritt 1), ist ein guter Anfangspunkt. Außerdem sollten Sie eventuell die Investition in eine Softwarelösung in Erwägung ziehen, die hartcodierte Kennwörter mit programmatischen Aufrufen ersetzt, mit denen die Anmeldedaten für Konten dynamisch abgerufen werden.

Durch die Gewährleistung der regelmäßigen Änderung von Kennwörtern für privilegierte Konten können Sie einen großen Schritt in Richtung mehr Sicherheit in Ihrer Umgebung gehen.

Schritt 4:

Sorgen Sie nach Möglichkeit für klare Verantwortlichkeiten und gewähren Sie nur das erforderliche Mindestmaß an Berechtigungen.

Für starke Sicherheit und viele Compliance-Vorschriften sind sowohl individuelle Verantwortlichkeiten als auch Berechtigungen nach dem Least Privilege-Prinzip erforderlich. Organisationen müssen genau wissen, wer wann Zugriff auf welche Ressourcen hat, und sie sollten Benutzern nur die Zugriffsebene gewähren, die sie zum Ausführen ihrer Aufgaben benötigen. Dadurch können schädigende Handlungen eingegrenzt werden – sowohl unbeabsichtigte als auch böswillige.

Nicht alle Systeme bieten jedoch native Tools, mit denen Sie individuelle Verantwortlichkeit und Least Privilege-Zugriff durchsetzen können. In diesem Fall sollten Sie sich über Drittanbieterlösungen informieren, die eine granulare Delegierung und Kontrolle ermöglichen.

Schritt 5:

Prüfen Sie die Nutzung von privilegiertem Zugriff regelmäßig.

Es reicht nicht aus, nur zu kontrollieren, welche Berechtigungen privilegierte Benutzer haben. Sie müssen auch prüfen, wie sie diese tatsächlich einsetzen. Erstellen und prüfen Sie regelmäßig Berichte, aus denen hervorgeht, wann Kennwörter für privilegierte Konten geändert wurden und welche schädlichen Befehle auf jedem System verwendet wurden und von wem.

Implementieren Sie außerdem einen Prozess für regelmäßige Zertifizierung, damit Benutzer, die Zugriff auf privilegierte Konten erhalten oder anfragen können, diese Möglichkeit auch zukünftig haben. Durch regelmäßige Prüfung, Berichterstellung und Zertifizierung können Sie sich in Ihrer Organisation einen Überblick darüber verschaffen, wie sicher privilegierte Konten sind, und Sie können verbesserungswürdige Bereiche identifizieren sowie Maßnahmen zur Risikoreduzierung ergreifen.

Fazit

Privilegierter Zugriff stellt ein großes Sicherheitsrisiko dar, das auf durchdachte, praktikable und abgestimmte Art und Weise gemindert werden muss. Es gibt keine Wunderwaffe für das Thema IT-Sicherheit, aber mit den fünf soeben beschriebenen Schritten kann Ihre Organisation seine aktuelle Situation bewerten, Schwachstellen, identifizieren und die Risiken im Zusammenhang mit privilegiertem Zugriff mindern.