Privilegierte Anwender als Sicherheitsrisiko

Zugriffskontrolle wird immer wichtiger

09.05.2016 von Andreas Gerst
Privilegierte Anwender haben fast unbegrenzten Zugang zu Daten. Unternehmen müssen den Zugriff auf ihre sensiblen Informationen besser schützen und kontrollieren.

Jahrelang haben wir beim Begriff "privilegierte User", also Anwender mit besonderen "privilegierten" Zugriffsrechten auf Daten und Systeme, an interne Mitarbeiter - typischerweise aus der IT-Abteilung - mit direkter Verantwortlichkeit für Server und Netzwerke gedacht. Diese Sicht muss sich ändern: Der Schutz gegen ein Sicherheitsleck im Zusammenhang mit privilegierten Benutzerkonten muss viel weitreichender gesehen werden, als nur die vielzitierte Bedrohung durch einen Insider zu beherrschen.

Bösartige Insider können sicher großen Schaden anrichten, aber einige der schwerwiegendsten Angriffe über Accounts von privilegierten Nutzern gingen von Lieferanten, Auftragnehmern, Geschäftspartnern oder anderen externen Anwendern aus, denen Zugriff auf die Unternehmenssysteme gewährt wurde und die keine Mitarbeiter sind.

Privilegierte Nutzer haben häufig den Schlüssel zu Daten, die sie gar nicht benötigen. Hier entstehen unnötige Einfallstore im Unternehmensnetz.
Foto: optimarc - www.shutterstock.com

Drittanbieter größere Gefahr

Die Erfahrung legt nahe, dass solche Drittanbieter ein höheres Risiko darstellen als interne Mitarbeiter. In den Vereinigten Staaten gab es bereits eine Reihe gravierender Angriffe, in denen Cyberkriminelle über kompromittierte Anmeldedaten von externen Parteien unberechtigt Zugang erhielten und dann auf das Netzwerk und seine Ressourcen zugreifen konnten.

Gleichzeitig steigt aber die Zahl der privilegierten User-Accounts von Nutzern, die nicht zum traditionellen IT-Team gehören, kontinuierlich an. Diese Schatten-IT ist damit nicht nur eine Herausforderung für die IT-Abteilung und Security-Verantwortliche, sondern auch für das Unternehmen insgesamt: Abteilungen und Bereiche aus dem Business beschaffen und nutzen eigenständig Anwendungen und insbesondere Cloud-Dienste, ohne dass die IT und Sicherheitsverantwortliche davon wissen, geschweige denn das damit einhergehende Sicherheitsrisiko bewerten und abdecken können.

Um das Thema noch komplexer zu gestalten: Nicht alle privilegierten Nutzer sind Menschen. In Cloud- und virtualisierten Umgebungen gibt es eine Vielzahl von automatisierten Tools für Konfiguration und Provisionierung, die von Skripten und Programmen gesteuert werden. Das Ergebnis ist eine "Inflation" an Nutzerkonten, die privilegierten Zugriff auf große Teile der Infrastruktur haben.

Die meisten der Skripte und Programme, die in sehr großer Zahl über die Jahre erstellt und wurden und die nun mit den automatisierten Systemen verknüpft sind, erfordern Zugriff auf Ressourcen wie Datenbanken oder Applikationen. Die benötigten Zugangsdaten sind dabei oft fest in die Programme oder Konfigurationsdateien eingebettet - und damit ein leichtes Ziel.

Wo Angreifer einsteigen

Aber auch die privilegierten Accounts selbst mit den zugehörigen Credentials müssen bei einer Sicherheitsstrategie angemessen berücksichtigt werden: Diese Accounts stellen das größte Risiko dar, da sie die Eingangspforte für Angreifer sind. Ein einfacher Weg, eine starke Authentifizierung zu gewährleisten, ist die ausschließliche Bereitstellung eines privilegierten Zugriffs durch ein Netzwerk-basiertes Gateway.

Selbsverständlich sollte sich ein solches System in die bestehende Identity-Management-Infrastruktur integrieren. Da diese Identity-Systeme sowohl authorisierte Nutzer als auch Rollen und Genehmigungen definieren, lassen sich diese Daten als Basis für den privilegiertem Zugriff nutzen. Darüber hinaus ist es extrem wichtig, Multifaktor-Authentifizierung (MFA) für privilegierten Zugriff vorzuschreiben.

Sieben Tipps für den Schutz der digitalen Identität
Die eigene digitale Identität schützen
Der Security-Software-Hersteller ESET hat einige Empfehlungen zusammengestellt, wie Anwender ihre Daten auch in der digitalisierten Welt schützen.
Auf Warnsignale achten
Identitätsdiebe ändern regelmäßig private Adressen, sodass Briefe den Empfänger nicht mehr erreichen. Erhält man beispielsweise keine Briefe mehr von der eigenen Bank, kann dies ein erstes Anzeichen für Identitätsdiebstahl sein. Um solchem Missbrauch zu entgehen sei jedem angeraten, die eigene Bank zu kontaktieren, wenn erwartete Briefsendungen nicht zum sonst üblichen Zeitpunkt ankommen. Außerdem hilft es, auch unerwartete Post von unbekannten Finanzinstituten immerhin zu überfliegen, anstatt sie direkt als unerwünschte Werbung abzutun. Wenn von einem Darlehensgeber oder Kreditkartenunternehmen ein Umschlag im Briefkasten liegt, sollte dieser in jedem Fall durchgelesen werden, um sicherzustellen, dass keine fremde Person ein Darlehen auf fremden Namen aufgenommen hat.
Bonität regelmäßig prüfen
Bei Kreditauskunfteien wie der Schufa in Deutschland oder KSV1870 in Österreich kann sich jeder über die eigene Bonität informieren und herausfinden, ob Kreditkarten oder Darlehen unter dem eigenen Namen laufen, die gänzlich unbekannt sind. Eine solche Bonitätsauskunft ist einmal im Jahr kostenfrei und sollte für jedermann ein absolutes Muss sein.
Wichtige Briefe immer persönlich versenden
Kreditkarten-Anträge oder Steuererklärungen enthalten wertvolle Informationen, die auch ein Cyberkrimineller wertschätzt. Denn diese Daten genügen ihm, die Identität des Opfers zu kopieren und für seine eigenen Zwecke zu missbrauchen. Briefe, die solche sensiblen Informationen enthalten, dürfen folglich niemals unbedacht an andere Personen weitergegeben werden.
Onlinebanking: regelmäßig Passwort ändern
Das Passwort zum Onlinebanking-Account gehört zu den wichtigsten Sicherheiten, die jeder Bankkunde hat. Wahrscheinlich ist das vielen Nutzern bewusst und dennoch gibt es mit Sicherheit einige, die dasselbe Passwort benutzen wie schon vor ein paar Jahren. Für all jene, auf die dies zutrifft: Passwort umgehend ändern. Manche Seiten fordern regelmäßig dazu auf, das Passwort zu ändern. Nutzer reagieren darauf häufig, indem sie einfach ein Sonderzeichen oder eine Ziffer an das bestehende Passwort anhängen. Das ist jedoch keine zu empfehlende Vorgehensweise. Denn sollte ein Passwort irgendwann einmal kompromittiert werden, ist das das erste, was ein Passwort-Knacker ausprobieren wird.
Bei Anrufen gilt keine Auskunftspflicht
Identitätsbetrüger verlassen sich häufig darauf, dass Leute Informationen aus eigenem Antrieb preisgeben – zum Beispiel bei Anrufen oder indem sie auf gefälschte E-Mails von ihrer Bank oder einem anderen Institut antworten. So arbeiten Banken aber nicht. Wenn ein Telefonat merkwürdig erscheint, ist es jedermanns gutes Recht, einfach aufzulegen.
Auch zuhause persönliche Informationen schützen
Wer fremde Leute wie Vertreter oder Reinigungskräfte in die eigenen vier Wände lässt, sollte in jedem Fall sicherstellen, dass Dokumente wie Steuererklärungen, Kreditkarteninformationen und Ausweise nicht offen herumliegen. Im Falle eines Einbruchs ist es von höchster Wichtigkeit zu prüfen, ob sich jemand der Identität bemächtigt hat.
Vorsicht bei Facebook-Tests
Links in sozialen Netzwerken sind generell mit Vorsicht zu genießen. Insbesondere die beliebten Facebook-Tests sollte man niemals unreflektiert anklicken. Denn manche dieser Tests sind nicht nur langweilig, sondern auch gefährlich.

Die Trennung von Authentifizierung und Zugang zum Privileged Access Management-System einerseits und dem tatsächlichen Zugriff auf die dadurch geschützten Ressourcen andererseits gibt Anwendern nur Zugang zu genau den Systemen und Ressourcen, die durch Richtlinien definiert und erlaubt sind. Ist nur der Zugriff auf einen einzelnen Server oder eng begrenzte Ressourcen notwendig, erhält der Nutzer auch nur Zugang zu genau diesem Teil des Netzwerks.

Darüber hinaus ist es möglich, den Grad an Kontrolle und die möglichen Aktionen auf dem System wie Shell-Zugang durch Proxy-Sessions zu begrenzen - und damit die Gefahr einzuschränken, dass ein Angreifer sich zusätzliche Berechtigungen verschafft oder lateral im Netzwerk bewegt.

Umfangreiche Logging-, Warn-, Aufzeichnungs- und Auditingfunktionen stellen ein Frühwarnsystem dar und zeigen verdächtiges oder ungewöhnliches Verhalten auf - die Protokolle lassen sich entweder individuell oder über ein Log-Management- oder SIEM-System im Kontext anderer Aktivitäten analysieren. So erhalten Unternehmen weitere Anhaltspunkte für verdächtige Vorfälle und können mit der Untersuchung beginnen, bevor ein Missbrauch tatsächlich stattfindet. Da in der Praxis häufig geteilte administrative Accounts wie "root" genutzt werden, ist das Zuordnen von Aktivitäten zu einem bestimmten Mitarbeiter enorm wichtig, um Compliance-Richtlinien zu erfüllen.

Auch Session-Recording bietet eine Reihe von Vorteilen, unter anderem eine direkte Wiedergabe und eine schnelle Wiederherstellung im Falle von unbeabsichtigten oder fehlerhaften Änderungen. Die Aufnahmen lassen sich darüber hinaus zu Trainingszwecken nutzen und zeigen Situationen auf, in denen Fehler gemacht wurden - so dass sich entsprechende Handlungsempfehlungen ableiten lassen.