Gerüstet gegen Cyber-Attacken Von der reaktiven Abwehr zum aktiven Schutz

Autor / Redakteur: Michael Kleist * / Susanne Ehneß

Privilegierte Benutzerkonten stellen für jedes Unternehmen, aber auch jede Behörde eine erhebliche Sicherheitsgefahr dar. Das hat die jüngste Vergangenheit ganz klar gezeigt: ­Nahezu immer wurden bei Fällen von Daten­sabotage oder -diebstahl privilegierte Benutzerkonten als Einfallstor genutzt.

Firmen zum Thema

(Bild: alphaspirit_Fotolia.com)

Datenpannen, Datenmissbrauch, Datenlecks, Identitätsdiebstahl: Vorfälle dieser Art nehmen auf breiter Front zu, auch wenn sie nicht immer publik werden. Hohe öffentliche Aufmerksamkeit zog vor allem der Sony-Hack auf sich. Bei der Attacke auf den US-amerikanischen Filmkonzern Sony ­Pictures Entertainment gelang es den Angreifern, vertrauliche Unterlagen, persönliche Daten und eMails in großem Stil zu entwenden. Der Imageverlust für das Unternehmen war immens.

Nach übereinstimmenden Informationen hatten die Angreifer nach Überwindung der Firewall einen Root-Zugriff auf die Daten- und Kommunikationsserver des Konzerns. Dadurch konnten sie im ­Unternehmensnetzwerk wie Administratoren agieren und auf ­jede Datei zugreifen.

Dieses Beispiel verdeutlicht: Die Gefahren, die von administrativen Zugängen ausgehen, sind immens, und die klassische Perimeter-­Sicherheit mit der Nutzung von Firewalls, Anti-Viren-Scannern oder Webfilter-Techniken bietet keinen ausreichenden Schutz mehr vor externen Angriffen. Das Ergreifen derartiger Sicherheitsmaßnahmen, also der Aufbau eines Schutzwalles gegen externe Angreifer, ist heute IT-Standard geworden.

Die Frage „Wie kann die Sicherheit aufrechterhalten werden, wenn sich der Angreifer bereits ­innerhalb des Unternehmens befindet“? wurde in der Vergangenheit hingegen eher nicht gestellt. Dieser Aspekt muss aber thematisiert werden, denn Hacker sollten natürlich daran gehindert werden, sich frei im Netzwerk zu bewegen, sobald sie sich Zugang verschafft haben.

Das heißt, es geht um einen Paradigmenwechsel im Bereich der IT-Sicherheit. Der Fokus darf heute nicht nur auf dem Aufspüren und der Abwehr von Angriffen liegen. Ebenso wichtig ist auch das Ergreifen geeigneter Schutzmaßnahmen, und zwar in den Bereichen Rechte­management und privilegierter Zugriff. Das bedeutet, dass die Systeme und Applikationen selbst in den Mittelpunkt der Sicherheitsstrategie rücken müssen. Genau dies ist auch der Ansatz von Privileged-Account-Security-Lösungen, mit denen privilegierte Zugriffe auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert werden können.

Unterschätztes Risiko

Immer mehr Unternehmen erkennen auch die Notwendigkeit eines solchen Paradigmenwechsels. Das starke Wachstum des Marktsegmentes „Privileged Account Security“ belegt dies eindeutig. Behörden hingegen unterschätzen vielfach noch das Sicherheitsrisiko. Das zeigt auch die aktuelle globale Online-Studie „Digital Risk and Awareness Survey“ des Analystenhauses KuppingerCole in Wies­baden. Im Hinblick auf die generelle Einschätzung von Cyber-Risiken merken die Analysten hier an: „Ein gleichzeitig erstaunliches und alarmierendes Ergebnis ist die ­fehlende Aufmerksamkeit der ­Leitungsebene einer signifikanten Zahl von Behörden für diese Bedrohungen.“

So hat die Untersuchung ergeben, dass sich mehr als ein Viertel der Behördenleiter (26,3 Prozent) nicht für diesen Themenkomplex interessiert; im Unternehmens­bereich liegt dieser Wert bei unter zehn Prozent (8,2 Prozent).

Lesen Sie auf der nächsten Seite weiter.

Komplex

Die Verwaltung privilegierter Benutzerkonten ist prinzipiell keine einfache Aufgabe, da eine typische IT-Umgebung bei einer öffentlichen Einrichtung aus zahlreichen Servern, Datenbanken und Netzwerkgeräten besteht, die über ­persönliche, häufig aber auch über generische, manchmal sogar lokale Admin-Konten gesteuert und verwaltet werden.

Unter Sicherheitsaspekten problematisch sind vor allem die von mehreren Personen genutzten so genannten Shared Accounts, zum Beispiel Administratoren- und Dienste-Konten in Windows, lokale privilegierte Konten auf Desktops, Root-Konten in Unix/Linux oder Administrator-Konten für ­Datenbanksysteme. Bei ihnen kann nicht kontrolliert werden, welcher Mitarbeiter ein Konto wann und wozu verwendet hat, das heißt, eine revisionssichere Überprüfung der Verwendung eines generischen Kontos bis auf die Personenebene ist nicht möglich.

Ebenso problematisch sind SSH-Keys, die häufig für direkte Zugriffe auf kritische Unix-Systeme – oft auch als „root“ – verwendet werden. Eine zentrale Verwaltung oder Überwachung der Keys gibt es in der Regel nicht. Wenn aber SSH-Keys einen unkontrollierten privilegierten Zugriff auf die jeweiligen Zielsysteme ermöglichen, ist ein hohes Sicherheitsrisiko vorhanden. Dieser Aspekt ist nicht zuletzt auch für öffentliche Einrichtungen von Relevanz, da diese zunehmend auf Unix-Infrastrukturen setzen.

Benutzerkonten sichern

Bevor privilegierte und adminis­trative Benutzerkonten entsprechend gesichert werden, müssen sie zunächst identifiziert werden. Eine Lösung im Bereich Privileged Account Security sollte somit auch die Möglichkeit bieten, diese Konten automatisch zu erkennen und zu analysieren – mit einer detaillierten Auswertung hinsichtlich Anzahl, Ort und Status. Idealerweise ermöglicht solche Lösungen auch die Identifizierung von Passwort-Hashes, das heißt ein automatisches Aufspüren von Pass-the-Hash-Schwachstellen.

Zur Sicherung von Benutzerkonten mit erweiterten Rechten sind heute mehrere Tools auf dem Markt verfügbar. Bei der Auswahl sollten Behörden auf jeden Fall ­darauf achten, dass die Lösung ­neben einer regelmäßigen, automatischen Änderung der Server-, Datenbank- und Netzwerk-Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit aller Aktivitäten bietet. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, auf welche er zugreift und was er mit diesen Informationen macht. Im besten Fall können mit einer Privileged-Account-Security-Anwendung zudem neben Passwörtern auch SSH-Keys verwaltet und gesichert werden. Konkret muss eine Sicherheitsapplikation drei Leistungsmerkmale bieten:

  • Zugriffskontrolle,
  • Überwachung und
  • Reaktionsmöglichkeit.

Grundvoraussetzung ist, dass sie eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Zielsysteme enthält. ­Zudem muss eine vollständige Überwachung der Nutzung privilegierter Konten gewährleistet sein. Nicht zuletzt sollte natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen unterstützt werden – sei es durch den Entzug von privilegierten Zugriffsberechtigungen oder durch das Beenden einer aktiven Verbindung.

Echtzeit-Analytik

Eine zukunftsweisende Lösung im Bereich Privileged Account Security bietet auch Echtzeit-Analytik und -Alarmierung bereits bei verdächtigen Aktivitäten im Zusammenhang mit privilegierten Konten; das betrifft zum Beispiel abweichende Zugriffszeiten oder die ungewöhnliche Häufung von Zugriffen. Sicherheitsverantwort­liche erhalten damit zielgerichtete Bedrohungsanalysen in Echtzeit, auf deren Basis sie auch auf laufende Angriffe reagieren können. Insgesamt betrachtet sind Benutzerkonten mit erweiterten Rechten per se eine zentrale Sicherheitslücke der IT. Das ist inzwischen auch weitgehend bekannt.

Der Autor: Michael Kleist
Der Autor: Michael Kleist
(Bild: CyberArk)

An einer Lösung im Bereich Privileged Account Security, die einen gezielten Schutz dieser Konten bietet, führt deshalb auch in Behörden kein Weg vorbei. Und die damit verbundenen Vorteile sind weitreichend: von der generellen Erhöhung der Sicherheit über die zuverlässige Erfüllung von Compliance-Anforderungen, wie den Vorgaben des Bundesamtes für ­Sicherheit in der Informationstechnik, bis zur Reduzierung des Administrationsaufwandes. Dies trägt nicht zuletzt auch zu einer nachhaltigen Kostensenkung bei.

* Michael Kleist ist Regional Director DACH bei CyberArk

(ID:43985928)