Suchen

Mehrwert durch Privileged Access Management

Unterschätzte Risiken durch ungeschützte Accounts

| Autor/ Redakteur: Stefan Rabben / Peter Schmitz

IT-Entscheider wissen, dass sich die Gefahrenlage grundlegend verändert hat und dringend Handlungsbedarf besteht. Es gibt aber wenig Einigkeit bei der richtigen Auswahl der Sicherheitsmechanismen. Scheinbar immer intelligentere Tools versprechen umfassenden Schutz. Dabei sollte man sich vor Augen führen, was die dringendsten Problemfelder sind.

Firma zum Thema

Privileged Access Management hilft Unternehmen vor allem die besonders gefährdeten Konten mit erweiterten Zugriffsrechten einfach und übersichtlich zu verwalten und zu schützen.
Privileged Access Management hilft Unternehmen vor allem die besonders gefährdeten Konten mit erweiterten Zugriffsrechten einfach und übersichtlich zu verwalten und zu schützen.
( Bild: gemeinfrei )

Bereits Anfang 2019 wurde die Rekordmenge von 2,2 Milliarden E-Mail-Adressen und dazugehörigen Passwörtern durch die unter dem Namen "Collection #1-#5" bekannt gewordenen Datensammlungen veröffentlicht. Die Hintermänner verweisen zudem darauf, dass die Daten für "Credential Stuffing" nutzbar sind. Dabei füttert man Log-in-Mechanismen von Accounts automatisch mit E-Mail- und Passwort-Kombinationen, um diese so zu übernehmen.

Die Anzahl von Accounts ist riesig – gerade in Unternehmen. E-Mail, Datenbanken, ERP und Bürosoftware haben User- und auch Administratorenkonten. Oftmals werden diese Angebote so eingerichtet, dass der Anwender keinen großen Schaden anrichten kann. Gefährlich wird es vor allem, wenn E-Mail-Adressen übernommen werden. Dies geschah beispielsweise im Fall der geleakten Informationen von Politikern. Den Hintermännern gelang es nach Übernahme der Mailzugänge die Kennwörter weiterer Konten, beispielsweise bei Social Media-Plattformen, ebenfalls zurückzusetzen.

Konten mit erhöhter Sicherheitsfreigabe sind besonders schützenswert

Im professionellen Bereich gibt es ein vergleichbares Szenario. Viele Programme und Apps sind über APIs miteinander verbunden. Durch die zunehmende Vernetzung fällt es Angreifern immer leichter, Sicherheitsmechanismen auszumanövrieren – besonders dann, wenn Unternehmen nicht in der Lage sind, Prozesse mit erhöhter Sicherheitsfreigabe zu überwachen.

Entscheider sollten aus dem Angriff auf Politiker lernen, denn die meisten Cyberkriminellen hacken nicht wirklich. Sie manipulieren keine Software, sondern nutzen Fahrlässigkeit und die zunehmende Vernetzung von System für ihre Zwecke. Einfache Passwortmanager reichen dabei für Arbeitsalltag nicht aus, denn die meisten Organisationen sind sich nicht bewusst, welche Sicherheitsfreigaben mit bestimmten Accounts verknüpft sind.

Das Beispiel der riesigen Menge an Zugangsdaten, die abgegriffen wurden, verdeutlicht, dass freiwillige Vorgaben zu starken Passwörtern und regelmäßiger Änderung der Kennwörter nicht greifen. Speziell Konten mit erhöhter Sicherheitsfreigabe müssen aktiv verwaltet werden. Dabei geht es um mehr als den Schutz von Kennwörtern. Ein konkreter Fall, wo Privileged Access Management (PAM) einen deutlichen Mehrwert geliefert hätte, war der Vorfall bei Marriott. Dort stellte man erst im September 2018 fest, dass Angreifer bereits seit vier Jahren ungestört Daten entwenden und verschlüsseln. Nachdem Zusammenschluss von Marriott und Starwood Hotels wurden die Accounts nicht mehr richtig gepflegt. Sicherlich hätte PAM den ungewollten Zugriff nicht sofort unterbunden, allerdings wäre er deutlich früher erkannt und blockiert worden, da die Zugriffe als Anomalien an die Sicherheitsverantwortlichen gemeldet worden wären.

Trotzdem sind die meisten Unternehmen weit weg von sicheren Administratonskonten. Oftmals werden Accounts sogar geteilt. Mehrere Nutzer loggen sich mit denselben Credentials ein und Passwörter werden nicht geändert. Somit ist auch unklar, wer zu welchem Zeitraum Zugriff hatte und wer überhaupt über die Zugangsdaten verfügt. Auch können Personen ihre Zugangsberechtigungen nutzen, um Informationen bei einem Stellenwechsel einfach auf ihren neuen Arbeitgeber zu übertragen, falls ihnen der Zugriff nicht rechtzeitig entzogen wird. Es kommt sehr häufig vor, dass Zugriffsrechte für einen ehemaligen Mitarbeiter aktiviert bleiben, obwohl er das Unternehmen schon längst verlassen hat.

Experten und Analysten empfehlen den Einsatz von PAM und Vorfälle wie massenhaft geleakte Zugangsdaten, Insider-Angriffe und gekaperte Accounts machen deutlich, dass PAM einen großen Sicherheitsmehrwert liefert. Zurzeit sind einige wenige Lösungen erhältlich, die für den europäischen Markt entwickelt wurden und an künftige Richtlinien angepasst werden können. Allgemeine Standards wie die ISO 27001 oder der BSI-Grundschutz, sind aktuelle Beispiele, die allerdings vorrangig als Orientierung dienen. Es ist also wahrscheinlich, dass neue Vorschriften folgen. In jedem Fall bieten PAM-Lösungen einen einzigartigen Weg zu effizienteren IT-Sicherheit und Compliance.

Es braucht eine einheitliche Lösung, die es Unternehmen erlaubt, vor allem Konten mit erweiterten Zugriffsrechten einfach und übersichtlich zu verwalten. Dabei werden die Nutzer klassifiziert und kategorisiert. Administratorenkonten mit erhöhter Sicherheitsfreigabe, beispielsweise für einen IT-Dienstleister, können gezielt überwacht werden. Accounts der Mitarbeiterinnen und Mitarbeiter werden ebenfalls in die Verwaltung mit einbezogen. Damit können alle Veränderungen in einer Organisation erfasst und integriert werden.

Fazit

Im Zeitalter der Digitalisierung muss PAM zum Standard jeder IT-Sicherheitsstrategie gehören. Als nach Beginn der 90er Jahre die ersten Viren zu einer Bedrohung wurden, wurden Anti-Virus und Firewall schnell zur Grundausstattung. Nachdem Schadsoftware ausgeklügelter wurde, folgten in den darauffolgenden Jahrzehnten Intrusion Prevention und SIEM-Lösungen. Durch Cloud Computing, IoT und M2M ist es heute für die meisten Organisationen ein logischer Schritt auf PAM zu setzen.

PAM hilft die Workflows der Anwender individuell zu prüfen, um so festzustellen, ob ihre Aktionen legitim sind. Zugriffsrechte können einfach begrenzt werden, sodass die Administratoren bestimmte Vorgänge in zeitlich beschränkten Zugangsfenstern ansetzen können. Dies ermöglicht die Planung von Aufgaben und gewährleistet gleichzeitig Schutz. Auf diese Weise können unerwünschte Zugriffe erkannt und unterbunden werden.

Buchtipp „Cybersicherheit“Das Fachbuch „Cybersicherheit" führt grundlegend und praxisnah an die aktuellen Herausforderungen der IT-Security heran. Dabei werden bewusst neue digitale Entwicklungen, wie die Vernetzung industrieller Maschinen und Anlagen durch Industrie-4.0-Technologien, adressiert. „Cybersicherheit“ kann hier versandkostenfrei oder als eBook bestellt werden.

Über den Autor: Stefan Rabben ist Area Sales Director DACH and Eastern Europe bei Wallix.

Dieser Beitrag ist ursprünglich auf unserem Partnerportal Security-Insider erschienen.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45873574)