Die meisten IT-Verantwortlichen konzentrieren sich beim Privileged Access Management (PAM) in der Regel auf die Begrenzung, Verwaltung, Absicherung und Überwachung von Administrator- und Root-Konten, die „gottähnlichen Zugriff“ auf ihre Umgebung und IT-Ressourcen haben. Dabei legen sie besonders auf folgende Aspekte ihren Schwerpunkt:
- Administration privilegierter Anmeldeinformationen (rotierende Kennwörter, Zertifizierung basierend auf dem Zugriff usw.)
- Entfernen von Administratorrechten auf allen Endpunkten
- Durchsetzung von Least-Privilege-Vorgaben für alle Benutzer, Anwendungen und Prozesse unter Windows, macOS oder Unix sowie auf Netzwerkgeräten
- Bereitstellung sicherer Funktionen zur Aufzeichnung von lokalen oder Remote-Access-Sitzungen (datenschutzkonforme Protokollierung etc.)
- Reporting und Auditierung von privilegierten Aktivitäten, die Zugangsberechtigungen betreffen
Es gibt jedoch auch andere privilegierte Aktivitäten, die eher abstrakten Zugriff auf Ihre IT-Umgebung haben, aber dennoch bei fehlender Kontrolle schmerzhafte Konsequenzen nach sich ziehen können. Viele dieser Aktivitäten sind nicht einmal identitäts- oder kontenbasiert. Wenn privilegierte Zugriffe hier nicht ordnungsgemäß gehandhabt werden, können sie im schlimmsten Fall eine Organisation oder Einzelperson komplett lahmlegen.
Vorsicht vor diesen häufig übersehenen Privileged-Access-Risiken:
- E-Mail-Gruppen für alle — In nahezu jeder IT-Umgebung gibt es eine E-Mail-Gruppe für„alle“ Nutzer, die Führungskräfte oder Personalverantwortliche einer Organisation für Rundmails nutzen. Im Regelfall geht es dabei um E-Mail-Nachrichten an alle Mitarbeiter mit Infos wie dem Urlaubsplan für das laufende Jahr, Informationen über Weiterbildungsmöglichkeiten oder Hinweisen in Krisensituationen, die eine große Gruppe von Personen oder das gesamte Unternehmen betreffen können.
- Ein- und Ausgabegeräte — Viele Nutzer täuschen sich, wenn sie herkömmliche Drucker als unverdächtige Alltagsgegenstände betrachten, die keine Angriffsvektoren aufweisen. In Wahrheit sind die allermeisten Drucker und Eingabegeräte „intelligent“. Sie können auf das Web zugreifen, verfügen über Browser-Schnittstellen und unterstützen verschiedene Protokolle (einschließlich älterer Netzwerkprotokolle wie SNMP oder FTP), die sie für Druck- und Monitoring-Funktionen benötigen.
- Drittanbieter — Eine einfache Frage: Welche privilegierten Zugriffsrechte haben Ihre Dienstleister in Ihrer Umgebung, und welche Zugriffsprivilegien haben Sie bei Ihren Lieferanten? Zugegebenermaßen ist das eine Fangfrage — und nicht so leicht zu beantworten.
Gelangen unternehmensweite E-Mail-Gruppenlisten in die Hände externer Akteure oder verärgerter Mitarbeiter, können die Ergebnisse verheerend sein – und zwar für alle. Wie groß ist die Gefahr? Vor einigen Monaten führte ich mehrere Gespräche mit einem CEO, dessen Unternehmen eine E-Mail-Gruppe „für alle“ nicht richtig gesichert hatte, so dass Angreifer ungehindert pornographisches Material an alle Mitarbeiter im Unternehmen schicken konnten. Aus rechtlicher Sicht handelte das Unternehmen dann richtig: Die zuständigen Sicherheitsbehörden wurden sofort informiert und alle Bilder entfernt, die sich auf den Mail-Servern, Rechnern, Laptops und Mobiltelefonen befanden. Eine widerliche E-Mail von einer boshaften Person reichte aus, um den Geschäftsbetrieb für einen längeren Zeitraum außer Gefecht zu setzen. Die bittere Lektion war, dass E-Mail-Gruppen grundsätzlich besser geschützt werden müssen. Hier handelt es sich um klassisches Privileged Access Management, wenn auch in ungewohnter Form innerhalb einer Anwendung. Jeder privilegierte Zugriff sollte überwacht und gesichert werden.
Moderne Ein- und Ausgabegeräte verfügen über Angriffsvektoren, die von Anmeldedaten bis zu fehlenden Berechtigungslisten für den Gerätezugriff reichen. Wird beispielsweise ein Drucker, der sich in der Personal- oder Finanzabteilung befindet, auch von anderen Mitarbeitern genutzt, können Dokumente versehentlich in die falschen Hände geraten. Für die Netzwerkverwaltung hinterlegte Standardanmeldeinformationen können für die Weiterleitung von Druckaufträgen an unbefugte Ziele missbraucht werden. Im internen Gerätespeicher verfügbare Daten lassen sich für den späteren Abruf über Protokolle wie FTP auslesen. Jedes Gerät ermöglicht also privilegierte Zugriffe auf potentiell sensible Informationen. Deshalb müssen diese Geräte für die ihnen zugewiesenen Verwaltungs- und Einsatzzwecke gehärtet werden. Es ist fatal, wenn „intelligente“ Geräte in Ihrer IT-Umgebung — Fernseher und Projektoren zum Beispiel — gefährliche Sicherheitslücken beim Rechtezugriff aufweisen, die unbefugten Personen eine Überwachung des Bildschirms oder das Mitverfolgen von privaten Besprechungen ermöglichen.
Privilegierte Zugriffe können die unterschiedlichsten Szenarien betreffen — angefangen vom physischen Gerätezugriff bis zu Remote-Access-Verbindungen, bei denen Hersteller oder Dienstleister unterschiedliche Arbeiten in Ihrer IT-Umgebung erledigen. Häufig erfolgen diese Fernzugriffe über Benutzerkonten, die zwar von IT-Lösungen für die Identitätsverwaltung oder die Verwaltung privilegierter Zugriffe gesteuert werden, deren Anmeldeinformationen (einschließlich Kennwort) aber trotzdem gerne per E-Mail oder SMS an Dritte für Zugriffe weitergeleitet werden. Aus Sicherheitssicht stellt man sich dabei selbst ein Bein. Und leider ist das ein häufig anzutreffender Grund, wieso Unternehmen aus dem Tritt geraten. So habe ich beispielsweise ein Konto bei einem großen Software-Anbieter selber gelöscht, das mir auch nach 20 Jahren noch freien Zugang zu Lizenzschlüsseln und Software meines ehemaligen Arbeitgebers ermöglichte. Über meine alte E-Mail-Adresse und ein schwaches Kennwort verfügte ich weiterhin über Zugriffsrechte, weil man sich schlicht nicht die Mühe gemacht hatte, die veralteten Zugriffsrechte zu entziehen – selbst dann nicht, wenn Mitarbeiter die Organisation schon lange verlassen hatten. Gut, ich besaß keine Administrator- oder Root-Rechte, aber der Zugang reicht aus, um auch weiterhin an Informationsmaterial und Programme zu gelangen, das gar nicht für mich bestimmt waren. Es handelt sich hier um privilegierte Aktivitäten, die entsprechend eingeschränkt werden sollten. Eine funktionierende Sicherheitszertifizierung für Ihre Dienstleister ist indes essentiell, um unberechtigte Zugriffe zu verhindern.
Ein umfassender Blick auf den Privilegienschutz Ihrer IT-Umgebung
Das Universum der Privilegien umfasst viel mehr als Administrator- und Root-Anmeldeinformationen. Es umfasst auch mitunter abstrakte Szenarien wie E-Mail-Gruppen, Schnittstellengeräte und Zugriffsrechte von Drittanbietern.
Die drei oben beschriebenen Privilegienrisiken sind in den meisten Organisationen anzutreffen und müssen professionell gehandhabt werden. Wenn Sie vermuten, dass Sie gefährdet sein könnten, fangen Sie am besten gleich mit der Recherche an. Wer hat Zugriff auf große E-Mail-Gruppen? Hat jeder Zugriffsrechte für Drucker oder Projektoren, und wie verwalten Sie Lieferantenzugriffe —insbesondere bei Anbieterwechseln und Mitarbeiterfluktuation? Mit diesen einfachen Fragen stoßen Sie einen weitreichenden Prozess zur Dokumentation von Berechtigungen an, der Ihnen bei der Suche hilft, wo überall in Ihrem Unternehmensverbund privilegierte Zugriffsrechte lagern. Mit diesem Grundsatzwissen schaffen Sie die Voraussetzungen dafür, mögliche Missbrauchsszenarien abzuschwächen, Hintertüren in Ihrer IT-Umgebung zu schließen und Seitwärtsbewegungen im Netzwerk zwischen IT-Assets zu begrenzen. Im Ergebnis reduzieren Sie so die Angriffsfläche und verhindern Bedrohungsszenarien im Unternehmen.
BeyondTrust verfolgt den branchenweit umfassendsten Ansatz beim Schutz privilegierter Zugangsrechte. Über unser Universal-Privilege- Management-Modell sichern wir jeden Benutzer, jede Sitzung und jedes IT-Asset in Ihrer GESAMTEN IT-Umgebung. Erfahren Sie mehr in diesem Whitepaper oder nehmen Sie mit uns Kontakt auf.

Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.