Security-Ratgeber

Privilegierte Accounts erkennen, schützen und verwalten

04.01.2017 von Henning Hanke
Warum Privileged Account Management (PAM) den Unterschied bei einem Angriff auf Unternehmens-Accounts machen kann.

Cyber-Angriffe auf Organisationen werden professioneller und sind häufig zielgerichtet sowie individuell auf die Opfer zugeschnitten. Kriminelle agieren schnell, kennen Zero-Day-Schwachstellen und starten Angriffe über verschiedene Vektoren. Ziel der Attacken sind dabei immer häufiger auch privilegierte Accounts.

In Zeiten der digitalen Transformation, Industrie 4.0 und Internet der Dinge (IoT) bieten klassische Sicherheits-Lösungen, wie Firewalls, Anti Virus und Webfilter, allein kaum ausreichenden Schutz vor den neuen und ausgefeilten Angriffen. Mit der Veränderung von Geschäftsprozessen und Bereitstellungsoptionen, wie Virtualisierung oder hybriden Cloud-Umgebungen, entsteht eine Vielzahl administrativer, mit besonderen Rechten ausgestatteter Zugriffsprofile auf Unternehmensanwendungen und -geräte.

Diese so genannten privilegierten Accounts können in zwei Typen klassifiziert werden: Sind die Accounts an Benutzer gebunden und über das Active Directory abzubilden, spricht man von "Human Accounts". Daneben existieren mit den so genannten "Non-Human Accounts" weitere Profile, die sowohl für Anmeldungen an Datenbanken oder Applikationen genutzt werden, als auch jene für das Management von Peripheriegeräten wie Switchen, Access Points und Firewalls. Auch die häufig von mehreren Personen genutzten Zugangsdaten zu Cloud-Anwendung fallen darunter. In größeren Unternehmen kann es tausende allein dieser "Non-Human Accounts" geben.

Privilegierte Accounts: Ein lohnendes Ziel für Cyber-Kriminelle

Diese privilegierten Accounts sind besonders attraktiv für Kriminelle, da sie Zugriff auf das gesamte Netzwerk und damit auch auf sensible, unternehmenskritische Daten ermöglichen. Wer die Zugangsdaten eines privilegierten Benutzerkontos erbeutet, kann Unternehmensressourcen kontrollieren, Sicherheitssysteme ausschalten und auf vertrauliche Daten zugreifen. Die Accounts sind also eine ideale Zielscheibe für Angriffe und können ungeschützt zu einem massiven Sicherheitsproblem für Organisationen werden. Der Schutz dieser Konten muss in den Fokus der Sicherheitsstrategie rücken.

2016 gingen 63 Prozent aller bestätigten Datenlecks auf schwache, standardisierte oder gestohlene Zugangsdaten zurück. Ein einzelner kompromittierter, privilegierter Account reicht unter Umständen aus, um böswillige Aktivitäten zu starten und massiven Schaden zuzufügen.

Die Implementierung und Nutzung eines automatisierten Privileged Account Management (PAM) kann für Organisationen also den entscheidenden Unterschied zur Vermeidung schwerer Sicherheitsvorfälle machen.

Marktpotenzial: Privileged Account Management

Die Ergebnisse des "2016 State of Privileged Password Vulnerability Benchmark" zeigen, dass die Notwendigkeit des Schutzes privilegierter Accounts in Unternehmen erkannt, vielfach aber trotzdem noch keine konkreten Schutzmaßnahmen eingeleitet wurden. Im Rahmen der Studie befragten Thycotic und Cybersecurity Ventures weltweit 500 Verantwortliche für IT-Sicherheit zum Umgang mit privilegierten Accounts in ihren Organisationen. Zwar gaben achtzig Prozent der Befragten an, dass PAM eine hohe Priorität in ihrem Security-Konzept habe, aber nur zehn Prozent nutzen bereits eine kommerzielle, vollständig integrierte Lösung.

Besonders besorgniserregend: 66 Prozent verwalten ihre Administratorpasswörter manuell z. B. in ungeschützten Excel-Dateien. Rund die Hälfte der Befragten überwacht die Aktivitäten privilegierter Accounts überhaupt nicht. In etwa einem Drittel der befragten Unternehmen werden Accounts und Passwörter unter den Angestellten geteilt. Ein Fünftel hat noch nie das Default-Passwort eines privilegierten Benutzerkontos geändert.

Diese Ergebnisse zeigen: Im Großteil der Unternehmen müssen Sicherheitsmaßnahmen zum Schutz der privilegierten Accounts ergriffen und der Umgang mit Zugangsdaten verbessert werden.

Privileged Account Management in der Praxis

Eine PAM-Lösung muss automatisch schützenswerte Accounts erkennen und sichern, proaktiv privilegierte Benutzerzugänge prüfen und überwachen, Account-Passwörter laufend ändern und Richtlinien für starke Enduser-Passwörter durchsetzen.

Eine automatisierte Privileged Account Management-Lösung sollte vertrauliche Anmeldeinformationen kontrollieren und automatisch Passwortwechsel durchführen.

Es ist für Organisationen essentiell, Rechte und Zuständigkeiten zu definieren. Die PAM-Lösung muss deren Einhaltung sowie die Aktivitäten von administrativen Benutzern überwachen sowie vollständige Transparenz über Zugriffe sicherstellen. Mit einer Erweiterung um 2-Faktor-Authentifizierung, lokale Sicherheitsmaßnahmen am Endpoint sowie einer Lösung zur Erhebung von forensischen Daten über Angriffe entsteht ein ganzheitlicher Ansatz für effektive Netzwerksicherheit.

Eine Privileged Account Management-Lösung sollte unkompliziert zu implementieren und einfach zu handhaben sein. Dann kann sie Administratoren im Tagesgeschäft viel Zeit sparen und dabei enorm zur Sicherheit beitragen. Um laufende Geschäftsprozesse nicht zu beeinträchtigen empfiehlt sich eine Schritt-für-Schritt-Implementierung. Es kann durchaus sinnvoll sein, zunächst die Absicherung der "Human Accounts" und danach die der "Non Human Accounts" zu implementieren. Wichtig ist, dass in Organisationen überhaupt Maßnahmen zum Schutz privilegierter Accounts ergriffen werden. (rw)