Sicherheit privilegierter Accounts Cyber-Kriminalität bedroht auch Behörden

Autor / Redakteur: Marco Jendrzejak / Peter Schmitz |

Auch Behörden sind vor den bedrohlich zunehmenden Cyber-Attacken nicht mehr gefeit. Als zentrale Sicherheitslücke haben sich privilegierte Benutzerkonten herauskristallisiert, die Hacker bei fast allen Fällen von Datensabotage oder -diebstahl als Einfallstor nutzen. Klassische Sicherheitsmaßnahmen reichen nicht mehr aus, nötiger denn je sind Lösungen im Bereich Privileged Account Security.

Anbieter zum Thema

Es gibt vielfältige Lösungen zur Privileged Account Security auf dem Markt. Behörden sollten bei der Auswahl aber darauf achten, dass ihre speziellen Anforderungen und die BSI-Empfehlungen erfüllt sind.
Es gibt vielfältige Lösungen zur Privileged Account Security auf dem Markt. Behörden sollten bei der Auswahl aber darauf achten, dass ihre speziellen Anforderungen und die BSI-Empfehlungen erfüllt sind.
(Bild: marconst - Pixabay / CC0 )

Die Digitalisierung macht auch vor der Öffentlichen Verwaltung nicht Halt – Stichwort eGovernment. Die zunehmende Einführung der vernetzten Verwaltung und der Ausbau der elektronischen Angebote für den Bürger haben auch dazu geführt, dass die Gefahr eines Cyber-Angriffs und Diebstahls vertraulicher Daten deutlich gestiegen ist.

Dass Institutionen zur Gefahrenabwehr Standard-Sicherheitsvorkehrungen mit Firewall, Antivirenschutz oder Webfilter-Techniken ergreifen, ist heute Status quo. Allerdings: Sie reichen bei Weitem nicht mehr aus. Mit immer ausgefeilteren Methoden wie den häufig anzutreffenden Advanced Persistent Threats (APTs) oder Ransomware-Attacken ist es relativ leicht möglich, den Schutzwall gegen Angriffe von außen zu überwinden. Als beliebtes „Mittel zum Zweck“ fungieren dabei privilegierte Benutzerkonten mit ihren weitreichenden Rechten. Der Grund: Über sie wird die gesamte IT-Umgebung mit Servern, Datenbanken und Netzwerkgeräten gesteuert und verwaltet.

Die Verwaltung der Benutzerkonten ist prinzipiell keine einfache Aufgabe, da eine typische IT-Umgebung bei einer öffentlichen Einrichtung aus zahlreichen Servern, Datenbanken und Netzwerkgeräten besteht, die über persönliche, häufig aber auch über generische, manchmal sogar lokale Admin-Konten gesteuert und verwaltet werden. Unter Sicherheitsaspekten problematisch sind vor allem die von mehreren Personen genutzten so genannten Shared Accounts, zum Beispiel Administratoren- und Dienste-Konten in Windows, lokale privilegierte Konten auf Desktops, Root-Konten in Unix und Linux oder Administrator-Konten für Datenbanksysteme. Bei ihnen kann nicht kontrolliert werden, welcher Mitarbeiter ein Konto wann und wozu verwendet hat.

Privilegierte Benutzerkonten zuverlässig sichern

Zur Sicherung von privilegierten Benutzerkonten sind verschiedenste Lösungen im Bereich Privileged Account Security auf dem Markt verfügbar. Bei der Auswahl sollten Behörden auf jeden Fall darauf achten, dass die Applikation neben einer regelmäßigen Änderung der Server-, Datenbank- und Netzwerk-Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit aller Aktivitäten bietet. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, auf welche er zugreift und was er mit diesen Informationen macht.

Dieser Punkt ist vor allem für öffentliche Institutionen von hoher Relevanz, da diese oft von externen IT-Dienstleistern unterstützt werden, die etwa zur Wartung der Systeme vorübergehend auf Anwendungen zugreifen müssen. Idealerweise bietet die Privileged-Account-Security-Lösung deshalb die Möglichkeit, externen Anwendern einen lediglich temporären Zugriff auf die nötigen privilegierten Konten einzuräumen – mit einer Protokollierung aller Tätigkeiten zur späteren Kontrolle. Dies empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in den „Grundregeln zur Absicherung von Fernwartungszugängen“. So lautet eine Grundregel: „Die Durchführung einer Fernwartung muss protokolliert werden“.

Im Einzelnen muss eine Sicherheitslösung drei Grundvoraussetzungen erfüllen:

  • Zugriffskontrolle
  • Überwachung
  • Reaktionsmöglichkeit

Unerlässlich ist, dass die Anwendung eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Unternehmenssysteme enthält. Zudem muss eine vollständige Überwachung der Nutzung privilegierter Benutzerkonten gewährleistet sein. Nur dadurch können Unternehmen irreguläre oder gefährliche Aktivitäten identifizieren. Nicht zuletzt muss eine Privileged-Account-Security-Lösung natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen ermöglichen – sei es durch den Entzug von privilegierten Zugriffsberechtigungen oder durch das Schließen einer identifizierten Sicherheitslücke.

Ergänzendes zum Thema
Best Practices

Für die erfolgreiche Abwehr zielgerichteter Attacken empfehlen sich folgende Best Practices:

Sichere Speicherung privilegierter Zugangsdaten

Alle privilegierten Zugangsdaten, einschließlich Passwörter und SSH-Keys, müssen sicher gespeichert werden und eine Zugriffsmöglichkeit sollte nur mit Multifaktor-Authentifizierung bestehen.

Automatische Änderung privilegierter Zugangsdaten

Alle privilegierten Zugangsdaten müssen regelmäßig geändert werden.

Isolierung und Überwachung privilegierter Account-Sessions

Privilegierte Sessions von Administratoren sollten in einer vollständig isolierten und überwachten Umgebung erfolgen, um eine mögliche Ausbreitung von Malware zu verhindern.

Richtlinienbasierte Einschränkung von Administratorrechten und Endpunktsicherung

Administratorrechte sollten aufgabenbezogen nur granular vergeben werden, und auch an Endpunkten müssen flexible Least-Privilege-Richtlinien für Fach- und administrative Anwender umgesetzt werden.

Endpunktsicherheitslösung reduziert Angriffsfläche zusätzlich

Mit Lösungen in den Bereichen Netzwerk-Perimeter und privilegierte Konten ist eine Behörde in puncto Sicherheit prinzipiell gut aufgestellt. Wer aber noch einen Schritt weiter gehen möchte, sollte auch die Endpunktsicherheit thematisieren, da hier die meisten Angriffe starten oder auch schon Schaden anrichten – zum Beispiel durch Ransomware.

Zu den zentralen Herausforderungen gehören hier die Benutzerrechteverwaltung und Applikationskontrolle. Auch normale Anwender erhalten in vielen Behörden Administratorenrechte oder zumindest zusätzliche Benutzerrechte. Dafür gibt es mehrere Gründe, etwa die Entlastung der IT oder die Nutzung von Applikationen, die nur im Admin-Modus ablauffähig sind. Werden mehr Privilegien als nötig vergeben, entsteht aber eine große, unübersichtliche und häufig missbräuchlich genutzte Angriffsfläche. Einfach und schnell lässt sie sich mit einer Lösung reduzieren, die die Umsetzung flexibler Least-Privilege-Richtlinien für Fach- und administrative Anwender unterstützt. Sie muss zum einen die Einschränkung der Privilegien auf das notwendige Mindestmaß und zum anderen die bedarfsabhängige, auch temporäre Vergabe von Rechten ermöglichen. Wichtig bei der Auswahl einer Lösung ist, dass sie einen hohen Automatisierungsgrad besitzt, mit einer automatisierten Erstellung und Aktualisierung von Richtlinien.

Ebenso wichtig wie die Rechtevergabe und -kontrolle ist auch die Applikationsüberwachung, denn es ist durchaus denkbar, dass eine schädliche Anwendung mit Malware ohne erhöhte Berechtigung ausgeführt wird und ein Netzwerk kompromittiert. Eine Sicherheitslösung muss zunächst einmal automatisch schädliche Anwendungen blockieren. Unternehmen wie Behörden setzen hier in der Regel auf Whitelists und Blacklists. Das greift aber zu kurz, da dabei der immense Graubereich in der Applikationslandschaft unberücksichtigt bleibt. Eine Sicherheitslösung sollte deshalb auch ein Grey-Listing unterstützen, mit dem auch Applikationen, die nicht auf einer Whitelist oder Blacklist stehen, kontrolliert werden können – beispielsweise mit der Anwendung von Richtlinien wie einem beschränkten Zugriffsrecht oder der Unterbindung eines Zugangs zum Behördennetz, bis die Applikation näher überprüft ist.

Setzt eine Behörde eine Lösung im Bereich Privileged Account Security ein, die auch das Thema Endpunktsicherheit abdeckt, bieten sich zahlreiche Vorteile: von der generellen Erhöhung der Sicherheit über die zuverlässige Erfüllung von Compliance-Anforderungen wie den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bis zur Reduzierung des Administrationsaufwandes. Dies trägt entscheidend zu einer deutlichen Mitarbeiterentlastung bei und ist damit auch eine Antwort auf die Ressourcenknappheit in der öffentlichen Verwaltung.

* Marco Jendrzejak ist Account Executive Government bei CyberArk in Düsseldorf.

(ID:44426883)