Top-5-Rangliste

Missverständnisse in der IT-Sicherheit

19.09.2012 von Ronald Wiltscheck
Security-Spezialist Wallix trifft in Unternehmen immer wieder auf fünf schwerwiegende Missverständnisse hinsichtlich der eigenen IT-Sicherheit. Werden diese Fehleinschätzungen nicht ausgeräumt, bleibt de Kunde nicht ausreichend geschützt. Auch wenn die meisten Firmen mittlerweile auf Perimeter-Sicherheit via Firewalls, auf Intrusion Detection- und Prevention-Systeme (IDS/IPS) sowie auf via VPN verschlüsselte Kommunikation viele Wert legen, das Risiko durch privilegierte Anwender (wie externe Dienstleister oder interne Administratoren) bleibt bestehen.

Security-Spezialist Wallix trifft in Unternehmen immer wieder auf fünf schwerwiegende Missverständnisse hinsichtlich der eigenen IT-Sicherheit. Werden diese Fehleinschätzungen nicht ausgeräumt, bleibt de Kunde nicht ausreichend geschützt. Auch wenn die meisten Firmen mittlerweile auf Perimeter-Sicherheit via Firewalls, auf Intrusion Detection- und Prevention-Systeme (IDS/IPS) sowie auf via VPN verschlüsselte Kommunikation viele Wert legen, das Risiko durch privilegierte Anwender (wie externe Dienstleister oder interne Administratoren) bleibt bestehen.

Die Admin-Konsole bei Wallix
Foto: Wallix

Welche Missverständnisse es in den meisten Unternehmen immer wieder gibt und was ein Spezialist für Privileged User Management in diesem Zusammenhang rät, erzählt im Folgenden Wallix-CEO Jean-Noel de Galzain:

Missverständnis 1: Policy wird eingehalten

Der Kunde hatte gerade ein Audit für sein System durchgeführt und glaubt, dass die vorgegebene Security-Richtlinie ("policy") eingehalten wird. Doch auch wenn das Audit erfolgreich war, heißt dies noch lange nicht, dass der Kunde gegen Angriffe ausreichend geschützt ist. Unternehmen wie Sony, RSA und Google haben 2011 diese bittere Erfahrung hinnehmen müssen, sogar die US-Regierung musste sich einem Angriff beugen.

Warum sind aber viele Kunden dennoch zuversichtlich, was ihre IT-Sicherheit betrifft? Weil zum einen viele IT-Abteilungen sich im Vorfeld eines Audits sehr sorgfältig vorbereiten, um eine gute Compliance zu erzielen. Wenn jedoch der Druck vorbei ist, tendieren sie dazu, das Thema Compliance für den Rest des Jahres zu vernachlässigen. Zum anderen wissen die Prüfer nicht notwendigerweise, wo sie nach Sicherheitsschwachstellen suchen müssen und orientieren sich eventuell in die falsche Richtung.

Hacker greifen ohne Vorwarnung an und verlassen sich nicht auf Glück, um Zugang zu den Systemen der Kunden zu bekommen. Sie wissen sehr präzise, wonach sie suchen und wo sie dies am ehesten finden.

Wallix empfiehlt auch nach dem Audit einen scharfen Fokus auf Compliance zu behalten und es als eine tagtägliche Aufgabe zu betrachten. Sicherheitslücken sollten vorrangig regelmäßig festgestellt und bereinigt werden, diese Aufgaben können auch externe IT-Security-Dienstleister übernehmen.

Missverständnis 2: Passwörter werden regelmäßig geändert, der Kunde fühlt sich sicher

Auch wenn Ihr Kunden die Passwörter seiner normaler Anwender oft ändert, sind in vielen Fällen privilegierte Anwender (Super User) für diese Aufgabe selbst zuständig. Da viele aber nicht in diesen Passwort-Änderung-Prozess involviert sind, werden ihre Zugangsdaten nicht regelmäßig modifiziert. Nicht einmal die firmeninternen Systemadministratoren ändern ihre Zugangsdaten vorschriftsmäßig. Sie tun dies oft nur manuell, von Zeit zu Zeit, das garantiert keine Sicherheit. Die Aufgabe der Passwortänderung könnte zu aufwendig, schwierig und zeitraubend sein, um sie dauerhaft durchzuführen.

Wallix-CEO Jean-Noel de Galzain: "Hacker greifen ohne Vorwarnung an und verlassen sich nicht auf ihr Glück."
Foto: Wallix

Jemand, der physikalisch (oder über Skripts) über ein Gerät Passwort-Änderungen zur Einhaltung von Compliance-Regularien vornehmen soll, wird in der Regel auf Probleme stoßen oder Fehler machen. Wenn die Anzahl und Komplexität der auf Geräten installierten Services, zu denen privilegierte Nutzer Zugang haben, zu groß wird, verlieren viele Kunden den Überblick über diese Berechtigungen.

Diese Geräte und Systeme müssen dabb korrekt heruntergefahren und nach einem ebenfalls spezifizierten manuell durchzufüührenden Prozess wieder hochgefahren werden, bevor eine Änderung implementiert ist. Dies ist eine schwierige Aufgabe, die nur wenige Personen sicher und effektiv durchführen können.

Wallix empfiehlt, dass alle voreingestellten Passwörter geändert werden müssen, bevor ein neues Gerät oder Programm im Kundennetzwerk implementiert wird. Das ist aber nun leichter gesagt als getan, denn möglicherweise gibt es weit mehr geteilte Zugangsdaten als der Kunde weiß.

Missverständnis 3: Für privilegierte Accounts hat jeder Administrator eigene einmalige Zugangsdaten, da besteht absolut kein Risiko

Dies ist ein Bereich, in dem Bequemlichkeit Sicherheit zunichte machen kann. Viele der 'gehackten' Unternehmen waren definitiv überzeugt, dass die Zugangsdaten privilegierter Accounts einmalig vergeben waren, bis sie realisierten, dass sie in Wirklichkeit von vielen privilegierten Anwendern genutzt wurden.

Es gibt zahlreiche administrative Accounts und auch bei Ihren Kunden ist es nicht ungewöhnlich, dass Zugangsdaten geteilt werden. Wenn mehrere privilegierte Anwender die gleichen Zugangsdaten für den Zugang zu Systemen und die Implementierung von Änderungen nutzen, ist es unmöglich, zu wissen, von wem die Änderungen stammen und wer Zugang zu sensiblen Daten hatte.

Wallix empfiehlt hier, sich regelmäßige Updates der privilegierten Accounts anzulegen - maximal alle 60 Tagen. Implementieren Sie ein komplexes und einmaliges Passwort für jeden einzelnen privilegierten Account Ihres Kunden.

Missverständnis 4: Die IT-Abteilung kontrolliert den Zugang, da kann nichts mehr passieren

Das ist ein Trugschluss. Nur weil jeder Zugang kontrolliert wird, bedeutet dies nicht, dass Ihr Kunde sicher ist. Warum? Weil die Passwörter höher privilegierter Accounts in der Regel in Anwendungen integriert sind oder direkt an externe Dienstleister kommuniziert werden. Werden diese Zugangsdaten geteilt, ist es absolut unmöglich, präzise zu wissen, wer sich einloggt und wer was exakt während einer Session getan hat.

Und da diese Passwörter oft auch gar nicht mehr geändert werden, haben Mitarbeiter, die das Unternehmen kürzlich verlassen haben oder Dienstleister, deren Vertrag ausgelaufen ist, eine (Gnaden-)Frist, in der sie ihre (temporär noch gültigen) Zugangsdaten für das Einhacken in die Unternehmenssysteme nutzen können.

Laut Wallix hilft hier ein IAM-System (Indentity and Access Management) nur bedingt. Das ist nur eine Teillösung, die den Umsatz nicht optimal managen kann. Genau wie ein Unternehmen sich entwickelt und wächst, entwickeln sich und wachsen auch seine Mitarbeiter. Sie ändern ihre Positionen, ihre Rollen, übernehmen größere Verantwortung, haben mehr Autorität - und natürlich verlassen auch Mitarbeiter das Unternehmen.

Wenn diese Zugangsdaten nach der beruflichen Veränderung - in welcher Form auch immer - nicht modifiziert werden, haben diese Anwender nach wie vor Zugang zu Informationen und zu Services, die eventuell nicht mehr ihrem neuen Status entsprechen.

Missverständnis 5: Der Kunde hat ein IAM-System, damit wird alles kontrolliert

Unternehmen implementieren nur selten IAM-Lösungen (Indentity and Access Management) zum Verwalten der höher privilegierten Accounts, die etwa in Notfällen oder als administrativen Zugang genutzt werden. Das bedeutet, dass keine eventuell bestehende Sicherheitslösung, wie eine Firewall oder IAM-Software, den Zugang zu privilegierten Accounts rückverfolgen und managen kann. Solange Ihr Kunde keine dedizierte Lösung hierfür einsetzt, bliebt seine IT-Infrastruktur nicht genügend gut geschützt.

Hier empfiehlt Wallix eine Lösung, die alle privilegierten Accounts auflistet, alle Aktivitäten prüft, alle Aktionen verfolgt und aufzeichnet und einfach zu nutzende Werkzeuge zur Überwachung der Administration bietet. (rw)