In allen IT-Umgebungen sind privilegierte Konten unabdingbar. Dazu gehört zwangsläufig, dass Administratoren und Power-User über erweiterte Systemberechtigungen zur Verwaltung der Anwendungen und des Netzwerkes verfügen müssen. Allerdings gehen ausgerechnet von diesen Konten hohe Risiken für jedes Unternehmensnetzwerk aus. Allein im Jahr 2017 haben nachweislich bei über 40% aller Datenschutzverletzungen privilegierte Konten eine Rolle gespielt. Es gibt eine Reihe von Gründen, warum gerade mit diesen Konten ein erhöhtes Risiko verbunden ist.
Um die Risiken zu minimieren und sich vor dem Missbrauch privilegierter Konten zu schützen, gibt es jedoch einige konkrete Maßnahmen die Unternehmen treffen können.
Die Bestandsaufnahme: Grundlage für eine Schwachstellenanalyse
Ein erster wichtiger Schritt zu mehr Sicherheit ist eine vollständige Bestandsaufnahme aller privilegierten Konten, einschließlich der Benutzer und Systeme. Zunächst ist es erforderlich festzustellen, wie viele derartige Konten überhaupt existieren und welche Benutzer darauf zugreifen können und müssen. Erst durch eine komplette Aufstellung aller Konten mit erweiterten Berechtigungen sowie derjenigen Nutzer und Systeme, die tatsächlich darauf Zugriff haben, kann exakt eingeschätzt werden, wo Schwachstellen bestehen, die Anfälligkeiten für interne oder externe Datenschutzverletzungen eröffnen. Darauf aufbauend lässt sich analysieren und festlegen, welche Prioritäten und Erfordernisse notwendig sind, um diese Schwachstellen zu beseitigen.
Sichere Speicherung sensibler Anmeldeinformationen
Um für die Sicherheit der Anmeldeinformationen zu sorgen, bietet sich hier als Möglichkeit die Verwendung von Passwort-Managern an. Sie verfügen über verschiedene Sicherheitsmaßnahmen, die durch verschlüsselte Speicherung der Passwörter, strenge Zugriffskontrollen auf das Passwort-Management-System selbst und darüber hinaus eine abgesicherte Kommunikation sicherstellen. Eine weitere Möglichkeit bieten Passwort-Manager, die Anmeldeinformationen den Benutzern nur nach einem definierten Freigabeprozess zur Verfügung zu stellen. Sollten Passwort-Manager keine geeignete Option für ein Unternehmen darstellen, ist es wichtig, dass alle Passwörter für Konten mit erweiterten Berechtigungen verschlüsselt sowie der Zugriff darauf über zwei oder mehr Authentifizierungsfaktoren geschützt werden.
Grundprinzipien: minimale Rechtevergabe und persönliche Verantwortung
Um eine bestmögliche Sicherheit und regelgerechtes Vorgehen sicherzustellen, sind im Wesentlichen zwei Vorgaben entscheidend wichtig. Zum einen die persönliche Verantwortlichkeit und zum anderen das Prinzip der minimalen Rechtevergabe. Um potenziell schädliche und gefährliche Aktivitäten, absichtlichen oder versehentlichen Ursprungs, zu begrenzen, ist es notwendig zu dokumentieren, wer und wann im IT-Umfeld auf etwas zugreifen kann. Daher ist es wichtig, dass den jeweiligen Benutzern nur genau die Berechtigungen zugewiesen werden, die sie tatsächlich zur Erfüllung ihrer beruflichen Aufgaben brauchen. Nicht alle Systeme verfügen über die Möglichkeit, um persönliche Verantwortlichkeiten sicherzustellen und Zugriffsberechtigungen nach dem o. a. Prinzip zu vergeben. Hier bietet es sich an, auf Lösungen von Drittanbietern zurückzugreifen, die sowohl eine Zugriffskontrolle auf einzelne Benutzer, wie auch auf Gruppen erlauben.
Regelmäßige Überwachung von Zugriffen
Die Kontrolle über Aktivitäten privilegierter Nutzer ist nur dann zielführend, wenn dokumentiert wird, was die betreffenden Nutzer mit ihren Zugriffsberechtigungen tatsächlich tun. Daher sollte in regelmäßigen Berichten aufgeführt werden, wann Passwörter privilegierter Konten geändert wurden und ob und welche potenziell schädliche Befehle auf einem System von wem und wann ausgeführt wurden. Darüber hinaus ist es wichtig einen regelmäßigen Geschäftsprozess zu implementieren, der sicherstellt, dass Nutzer, die auf privilegierte Konten zugreifen, diese Berechtigung weiterhin benötigen. Mithilfe wiederkehrender Audits und eines strukturierten Berichtswesens lässt sich erkennen, wie es um die Sicherheit der privilegierten Konten eines Unternehmens bestellt ist. Es lassen sich somit Bereiche identifizieren, in denen Verbesserungen erforderlich sind und Risiken minimiert werden müssen.
Mit den, ohne Zweifel notwendigen privilegierten Konten, sind in jedem Unternehmen Risiken verbunden. Die aufgeführten Prüfschritte bilden eine stabile Basis, um Zugriffsberechtigungen sicher zu verwalten. So lassen sich der Sicherheitsstatus eines Unternehmens einschätzen, Lücken und Schwachstellen identifizieren und Compliance-Risiken des Unternehmens senken.