Es ist allgemein bekannt, dass Superuser-Accounts mit ihren weit reichenden Rechten ein Sicherheitsrisiko für jedes Unternehmen darstellen, denn privilegierte Administratoren können unter Umständen ohne Einschränkugnen auf unternehmenskritische Datenbestände zugreifen. Deswegen empfehlen Security-Experten, zuverlässige und vor allem einfach zu verwaltende Passwort-Management-Applikationen zu implementieren.
Obwohl viele Kunden durch ihre Reseller und IT-Security-Dienstleister gut aufgeklärt weden, gehen sie beim Passwort-Management nach wie vor ein hohes Risiko ein. Sicherheitsanbieter Cyber-Ark zeigt die sechs häufigsten Schwachstellen auf und nennt eine Möglichkeit, wie sie einfach und schnell beseitigt werden können.
1. Überall das gleiche Admin-Passwort
Ein Unternehmen hat Hunderte bis Tausende Rechner zu verwalten, das Admin-Passwort ist allerdings überall identisch. Grund hierfür ist oft einfach die Bequemlichkeit und vereinfachte Verwaltung der Systeme.
2. Unveränderte Passwörter
Oft werden Passwörter nie oder nur unregelmäßig geändert, weil die Admins und Helpdesk-Mitarbeiter Änderungen in der Regel direkt am Rechner vornehmen müssten.
3. User kennen das Admin-Passwort
Die Admins geben ihr Passwort auch an einzelne User weiter, damit diese zum Beispiel schnell ein Update installieren können. So erhalten diese aber auch einen Vollzugriff auf die Unternehmenssysteme.
4. Default-Passwörter bleiben
Es werden Passwörter verwendet, die einfach zu erraten sind. Es ist auch kein Einzelfall, dass bei Applikationen die Default-Passwörter nicht geändert werden.
5. Passwörter in Excel-Listen
Vielfach werden Tools zur Erstellung von Passwort-Datenbanken verwendet. Hier finden sich oft Excel-Listen, die zwar eine Speicherung der Kennwörter ermöglichen, aber keine automatische Änderung.
6. Geteilte Accounts
Die Nutzung von Shared Accounts ist weit verbreitet, das heißt mehrere Administratoren nutzen dasselbe Passwort. Dadurch kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat, eine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene ist also nicht möglich.
Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn, betont: "Unsere Erfahrung zeigt, dass bei vielen Unternehmen im Hinblick auf Admin-Passwörter einiges im Argen liegt und sie sich die Verwaltung von Passwörtern auch unnötig schwer machen. Einmal abgesehen davon, dass es vereinzelt überhaupt kein Passwort-Management gibt, werden die Passwörter sehr oft auch noch manuell geändert. Dies ist in der Regel ein sehr zeitaufwändiger Prozess, bei dem außerdem auch Fehler nicht ausgeschlossen werden können. Da es heute Lösungen gibt, mit denen privilegierte administrative Accounts automatisch zu verwalten und zu ändern sind, ist eine solche Vorgehensweise völlig überflüssig."
Deswegen empfiehlt der Manager für die Verwaltung von Admin-Passwörtern eine professionelle Software-Lösung. Sie sollte administrative Accounts weitgehende automatisch verwalten, diese Passwöreter regelmäßig ändern und überwachen. Die Passwörter der Systemverwalter sollten verschlüsselt in einem "digitalen Tresor" aufbewahrt werden.
Starke Authentisierung und eindeutige Berechtigungsstrukturen sind unabdingbar, damit nur die berechtigten Netzwerk-Administratoren auf sensible Unternehmensdaten Zugriff erhalten. Nach den von der Geschäftsleitung vorgegebenen Sicherheitsrichtlinien werden die Passwörter automatisch geändert, der Anwender kann dabei die Komplexität und den Änderungszyklus frei festlegen. Durch eine vollständige Zugriffskontrolle und revisionssichere Protokollierung kann die Nutzung der privilegierten Benutzerkonten zu jeder Zeit überprüft werden, rät Koehler von CyberArk. (rw)