Expertenbeitrag

 Stefan Schweizer

Stefan Schweizer

Regional Vice President DACH, Thycotic

Sicheres Identitätsmanagement 5 Schritte zur Eindämmung von Identitätswildwuchs

Autor / Redakteur: Stefan Schweizer / Sebastian Human

Die unkontrollierte Ausbreitung von digitalen Identitäten wird für Unternehmen zu einem immer größeren Sicherheitsproblem. Durch konsequentes Identifizieren und Einschränken von Benutzeridentitäten können IT-Abteilungen die Kontrolle zurückgewinnen und ihre Angriffsfläche minimieren.

Firma zum Thema

Können Identitäten und Zugriffsrechte in einer Produktionsumgebung unkontrolliert wachsen, haben es potenzielle Angreifer deutlich einfacher, Schaden anzurichten.
Können Identitäten und Zugriffsrechte in einer Produktionsumgebung unkontrolliert wachsen, haben es potenzielle Angreifer deutlich einfacher, Schaden anzurichten.
(Bild: gemeinfrei / Pixabay )

Je mehr Identitäten in den Systemen unter dem Radar laufen, desto größer ist das Missbrauchsrisiko. Mit jeder neuen Web-Applikation, jeder neuen SaaS-Plattform und jedem neuen IoT-Gerät steigt die Zahl der Nutzerkonten in den Unternehmen und das Volumen und die Komplexität von Identitäten über Systeme hinweg nimmt exponentiell zu.

IT-Administratoren sind daher stets versucht, den Überblick zu behalten und sämtliche Systeme synchron zu betreiben, was aber meist viele Stunden duplizierter Aufgaben über mehrere Verzeichnisse hinweg für sie bedeutet. Und auch Audits können aufgrund unterschiedlicher Passwortrichtlinien und der Schwierigkeit, exakte Zugriffs-Berichte zu erstellen, nur erschwert durchgeführt werden je mehr versteckte Identitäten existieren.

Herausforderung Unix und Linux

Ein Treiber von Identitätswildwuchs sind dabei unter anderem Linux- und Unix-Systeme. Denn unternehmenskritische Anwendungen wie Web-, Datenbank- und Anwendungsserver laufen immer öfter unter diesen Betriebssystemen.

Das Problem: Trotz ihrer hohen Verbreitung werden lokale und privilegierte Unix- und Linux-Konten oft nur mangelhaft verwaltet und stellen so die mitunter größten Sicherheitslücken in der Unternehmensumgebung dar. Das liegt nicht zuletzt daran, dass viele Unternehmen verschiedene Unix/Linux-Systeme und -Plattformen zur gleichen Zeit im Einsatz haben, was ein einheitliches konsequentes Management zur Herausforderung macht.

Jeder Unix- und Linux-Server verfügt über eine lokale Datenbank mit Benutzern und Gruppen. Läge nur ein einziger Host mit einem einzigen Benutzer vor, gäbe es kein Problem in Sachen Management. Doch sobald mehrere Server ins Spiel kommen – und die meisten Unternehmen haben Hunderte, wenn nicht Tausende von Servern im Einsatz –, wird ein einzelner Benutzer automatisch zu mehreren. Letztlich kann jeder Benutzer zu einer ganzen Reihe verschiedener Benutzernamen, UIDs, PGIDs, GIDs, Home-Verzeichnisse, Anmelde-Shells und Passwörter auf jedem System kommen. Und da die Attribute eines Users sehr eng an die Datei- und Ordnerberechtigungen auf einem Unix-Host gebunden sind, wird die Benutzer-, Gruppen- und Berechtigungsverwaltung schnell zu einer komplizierten, mühsamen und zeitaufwändigen Aufgabe.

Identitätswildwuchs in fünf Schritten eindämmen

Der folgende Fünf-Schritte-Plan hilft Ihnen, die Kontrolle über Ihre Identitätsverwaltung zurückzuerlangen und Ihre Cyber-Angriffsfläche nachhaltig zu minimieren.

1. Legen Sie veraltete oder unbenutzte Anwendungen und Systeme still
So gut wie alle Unternehmen führen regelmäßig neue, innovativere oder benutzerfreundlichere Lösungen ein und ersetzen damit ältere beziehungsweise veraltete Anwendungen und Programme. Dies bedeutet, dass deren Zahl und damit potenzielle Einstiegspunkte für Angreifer immer weiter steigt. Da auf diese immer seltener zugegriffen wird und sie deshalb auch immer seltener aktualisiert werden, bleiben diese Altsysteme oft unverwaltet und ungeschützt. Denn mit zunehmendem Alter der Programme wird es schwieriger, diese zu patchen und zu aktualisieren.

Umso wichtiger ist es, zu identifizieren, welche älteren und potenziell riskanten Systeme nach wie vor noch im Einsatz sind und ob diese möglicherweise über Identitäten verfügen, die nur für den diesen Zugriff existieren.

Stellen Sie fest, welche Systeme nicht mehr benötigt werden, und arbeiten Sie konsequent daran, den Lagerbestand zu reduzieren. Anstatt alle Komponenten zu eliminieren, können Sie möglicherweise einige zusammenführen oder auf eine neue Plattform verschieben.

2. Führen Sie mehrere Active-Directory-Strukturen zusammen
In verteilten, stetig wachsenden Unternehmen haben getrennt agierende Niederlassungen und Büros oft ihre eigene Active-Directory-Gesamtstruktur. Doch getrennte Verzeichnissysteme erhöhen nicht nur die Hosting-Kosten, sondern gehen auch einher mit entsprechend hohem Ressourcenaufwand für die Verwaltung.

Die Zusammenführung erfordert zwar eine sorgfältige Planung, kann aber die Kosten deutlich reduzieren und vermeidet zudem die damit verbundenen Risiken menschlicher Fehler.

3. Identifizieren Sie Benutzerkonten auf Unix/Linux-Plattformen
Ein proaktives, kontinuierliches Privilegien- und Zugriffsmanagement ist unerlässlich, um in Ihrer IT-Umgebung einheitliche Sicherheitsrichtlinien durchzusetzen und wertvolle Unix/Linux-Konten und ihre Passwörter zu schützen. Um das Risiko verstehen und anschließend minimieren zu können, müssen Sie in einem ersten Schritt sämtliche nicht-unterstützte Unix-/Linux-Plattformen sowie versteckte und unerwartete Unix/Linux-Konten und -Gruppen identifizieren - inklusive dazugehöriger Passwörter, die keinem Zeitlimit unterliegen. Als nächstes sollten Sie Ausschau halten nach geteilten und gemeinschaftlich genutzten Konten, die gegen das Least-Privilege-Prinzip verstoßen, sowie nach veralteten Passwörtern.

All diese Daten manuell aufzudecken und zusammenzuführen ist sehr aufwändig. Daher empfiehlt es sich, auf Privileged-Account-Discovery-Tools für Unix zurückzugreifen, um diese Schwachstellen in einem Bericht sichtbar zu machen.

4. Bringen Sie Unix/Linux-Benutzerkonten in ein konsolidiertes Verzeichnis
Eine zentralisierte Authentifizierung und Autorisierung sind die Basis, um das Risiko von Identitätswildwuchs zu reduzieren. Das bedeutet, dass Sie jeden lokalen und privilegierten Account – einschließlich Unix-/Linux-Konten – mit einem einzigen Benutzerkonto verbinden müssen, damit alle Zugriffe und Aktivitäten angemessen verwaltet werden können.

Helfen kann Ihnen hierbei eine Identity Bridge, die den vorhandenen Verzeichnisdienst nutzt, um Identitäten im gesamten Unternehmen plattform- und betriebssystemunabhängig zu managen. Mit einer Brücke zu Systemen wie Active Directory müssen Benutzer auf Unix/Linux-Servern und Workstations bei der Verwaltung nicht mehr getrennt agieren. Sie erhalten einen einzigen Kontrollpunkt, um Gruppen, Anwender und die Systeme, auf die sie Zugriff haben, zu steuern und müssen sich so nur einen Benutzernamen und ein Kennwort merken. Das Risiko für Schatten-IT-Umgebungen mit einzigartigen Identitäten und nicht verbundenen Anwendungen sinkt damit nachhaltig.

5. Verwalten Sie privilegierte Zugriffe in Ihrer gesamten Umgebung
Sobald Sie über einen konsolidierten, verwaltbaren Satz von Identitäten verfügen, sollten Sie ein Identity- und Access-Management-System auf Unternehmensebene implementieren, um diese zu schützen. Fakt ist: Ein vielschichtiger, auf Verteidigung ausgerichteter Ansatz für die Verwaltung von privilegierten Identitäten steigert nicht nur die Effizienz, sondern reduziert vor allem auch das Sicherheitsrisiko.

Mit einer umfassenden Privileged-Access-Management-Lösung (PAM) können Sie Benutzer authentifizieren, Berechtigungen zuweisen und Audit-Protokolle erstellen.

Werden Systeme und Plattformen zusammen unter einem Dach im PAM geführt, können Sie Berechtigungen zentral identifizieren, rotieren, ablaufen lassen und deaktivieren, um Missbrauch und Cyberangriffe zu verhindern.

Enterprise PAM-Systeme protokollieren alles, was ein Benutzer auf dem Bildschirm sieht, einschließlich der Tastenanschläge, der Befehle, die er ausführt und der Aktionen, die das System vornimmt. Dies ist besonders wichtig für Unix/Linux-Systeme, da dort Eingaben auf Befehlszeilebene erfolgen. Hochentwickelte PAM-Steuerungen, wie beispielsweise Sitzungsüberwachung und -aufzeichnung, sorgen zudem für Transparenz und vereinfachen die Berichterstattung und die Einhaltung von Compliance-Vorschriften.

In fünf Schritten zu sicheren Identitäten

Die Maßnahmen zur Identitätsverwaltung auf einen Blick:

1. Legen Sie veraltete oder unbenutzte Anwendungen und Systeme still.
2. Führen Sie mehrere Active-Directory-Strukturen zusammen.
3. Identifizieren Sie Benutzerkonten auf Unix/Linux-Plattformen.
4. Bringen Sie Unix/Linux-Benutzerkonten in ein konsolidiertes Verzeichnis.
5. Verwalten Sie privilegierte Zugriffe in Ihrer gesamten Umgebung.

(ID:47058158)

Über den Autor

 Stefan Schweizer

Stefan Schweizer

Regional Vice President DACH, Thycotic