alphaspirit - Fotolia

Protect - Detect - Respond: Privilege Management erfordert einen neuen Ansatz

Der Schutz und die Überwachung privilegierter Benutzerkonten erweisen sich aktuell in vielen Fällen als nicht ausreichend. Neue Konzepte sind gefragt.

Rund 70 Prozent aller Fälle von IT-Sabotage, Korruption und IT-Kriminalität gehen laut Angaben (PDF) des Bundesamts für Verfassungsschutz auf interne Mitarbeiter zurück. Gleichzeitig sind die Firmenmauern als Sicherheitsperimeter einer jahrzehntelang geschlossenen IT-Welt durch Technologien wie die Cloud durchlässiger geworden. Mit immer mehr Geräten greifen Mitarbeiter überall auf Informationen zu. Ausgefeilte und lang andauernde Angriffe von außen nehmen ebenfalls zu. Ein Beispiel für eine Attacke nach dem Muster so genannter Advanced Persistent Threats (APT) war Anfang 2015 der Virus Carbanak, mit dem der wohl bislang größte Bankraub der Geschichte durchgeführt wurde.

Privilegierte Konten Kernziel von Angriffen

Eine von KuppingerCole durchgeführte Online-Studie zu digitalen Risiken und Sicherheit ergab, dass ein großer Teil sehr schwerwiegender Vorfälle von internen Angreifern selbst oder mit ihrer Unterstützung realisiert wurden. Häufig kommen bei ausgereiften Attacken aber auch interne Nutzerkonten zum Einsatz, die von Angreifern gekapert werden. Auf ihren Schutz und ihre Überwachung sollten Unternehmen daher besonderen Wert legen. Vor allem, wenn es sich um privilegierte Konten mit erhöhten Berechtigungen handelt, wie etwa die von Administratoren und Operatoren, aber auch System- und Servicekonten. Oft gehören privilegierte Konten nicht nur einer einzelnen Person, sondern sie werden als Shared Accounts von mehreren Administratoren gleichzeitig genutzt, etwa das in vielen Umgebungen eingesetzte Hauptkonto der UNIX- und Linux-Systeme, das so genannte Root-Konto. Durch das Teilen steigt die Angriffsfläche, da verschiedene Leute über ein und dasselbe Passwort verfügen.

Angreifer versuchen mit viel Geduld, genau an diese Konten heranzukommen. Schließlich bestehen erfolgreiche Angriffe für sie darin, mit möglichst umfassenden Nutzerprivilegien möglichst viel Schaden anzurichten. Um die Risiken zu adressieren, lassen sich eine Reihe von Maßnahmen ergreifen. Unternehmen sollten lokale Zugriffe von privilegierten Benutzern und Shared Accounts zum Beispiel so weit wie möglich einschränken und steuern.

Sie müssen ein professionelles Identity & Access Management realisieren mit einem Minimum an Berechtigungen für die Mitarbeiter („so viel wie nötig, so wenig wie möglich“). Sie müssen Sessions von Operatoren und Administratoren überwachen. Dazu zählen auch die Zugriffe auf die Cloud. Wer greift auf Cloud oder Managed Services zu? Wer greift andererseits von Seiten der Cloud oder Managed Service Provider auf Daten und Anwendungen im Unternehmen zu? Zudem gilt es auch Anomalien im Verhaltensmuster der Benutzer zu erkennen. Warum steigt etwa die Zahl der Zugriffe auf eine Applikation an einem Tag schlagartig an? Nicht zuletzt sollten sich Unternehmen Gedanken über Audits machen. Nicht immer sagt ein externes Audit für die eigene Sicherheit tatsächlich viel aus.

Wirksam schützen, erkennen und reagieren

Unternehmen müssen sich wegbewegen von dem reinen Schutzgedanken (Protect). Es reicht nicht, sich allein auf die Rechtevergabe und technische Aspekte wie Firewalls zu verlassen. Sie müssen zudem verstehen, was aktuell in ihrem Netzwerk passiert (Detect), um auf Eindringlinge und Schädlinge im Netzwerk schnell und gezielt zu reagieren (Respond).

Hat ein Administrator etwa gerade eine Session auf einem System, müssen seine Zugriffsanforderungen begründet sein. Meist sind sie auch zeitlich beschränkt. Werden sie genehmigt, dann werden eine Authentifizierung und eine Autorisierung durchgeführt. Damit ist die Session erst einmal geschützt (Protect). Dann folgt die eigentliche Session verbunden mit der Frage, was nun eigentlich genau darin geschieht (Detect). Hier geht es um Fragen der Protokollierung, Aufnahmen, Überwachung und (Echtzeit-)Analyse.

Stellen die Überwacher dabei fest, dass der Administrator als interner Angreifer handelt und etwa Firewalls mit böser Absicht ausschaltet oder sein Account von einem Hacker gekapert wurde, können sofort manuell oder automatisch Gegenmaßnahmen erfolgen (Respond).

Martin Kuppinger,
KuppingerCole Research

Gegebenenfalls schließen sich nachträgliche forensische Analysen sowie die Archivierung und ein Audit an. Gerade das Session Management im weiteren Sinne ist einer der wichtigsten Bausteine, wenn es darum geht, Angriffsflächen und Risiken zu reduzieren.

Gleich, ob SAP, Windows, Datenbanksysteme oder Virtualisierungs-Plattformen: Einblick in die Administration kritischer Systeme ermöglicht Unternehmen, das Einhalten von Vorschriften zu kontrollieren und die Kernsysteme inklusive der darin gespeicherten Informationen zu schützen.

Durch gezieltes Protokollieren und Analysieren der Aktivitäten privilegierter Nutzer und Administratoren lassen sich Fehlverhalten und daraus erwachsende Gefahren schnell erkennen und weitere negative Auswirkungen für Systeme, Anwendungen und Daten durch rasches Reagieren verhindern. Aus Gründen des Datenschutzes darf dies allerdings nicht wahllos, sondern muss anwender- und anwendungsbezogen – also zweckbezogen – erfolgen.

Über den Autor:
Martin Kuppinger ist Gründer des unabhängigen Analystenunternehmen KuppingerCole und als Prinzipal Analyst verantwortlich für den Bereich KuppingerCole Research.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Erfahren Sie mehr über Identity and Access Management (IAM)

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close