Anekdoten über spektakuläre Fehler sind in der IT-Branche ein beliebtes Thema beim Smalltalk.
„Dann fährt er beim Festplattenwechsel den Server herunter und bemerkt plötzlich, dass die LED-Lichter auf dem System daneben ausgehen. Leider, leider war das die ESX-Box zum Hosten des Datenbankservers, auf dem unser Legacy-Lohnabrechnungssystem läuft...“
„Sie sollte eigentlich nur eine Dev-Instanz offline nehmen und patchen. Als sie fertig ist, platzt Slack vor Nachrichten, warum die offizielle Homepage weg ist und nur eine Warteseite angezeigt wird! Und sie sieht, dass sie noch im falschen System angemeldet ist und nicht auf dem Dev-Konto...“
Die Auswirkungen durch solche Fehler sind ganz unterschiedlich, aber die Gründe dafür sind fast immer gleich. Das Problem ist weder die Hardware noch die Software, sondern der menschliche Faktor — scherzhaft „Meatware“ genannt, oder auch die „Schicht 8“ im OSI-Referenzmodell. Bedienfehler klingt etwas freundlicher, aber im Endeffekt handelt es sich schlicht und einfach um typische Fehler, die Menschen machen.
Der Kontext bei IT-Fehlern
Bei den oben genannten Beispielen gibt es eine klare Ursache für die Fehler: Verantwortliche haben eigentlich alles richtig gemacht — allerdings an der falschen Stelle. Gewissermaßen waren sie zur falschen Zeit am falschen Ort. Der zu spät erkannte Kontext ist also entscheidend. Nur, wie werden Nutzer rechtzeitig darauf aufmerksam gemacht?
„Wie wäre es, wenn wir einen Desktop-Hintergrund einsetzen, der Servername und Umgebung anzeigt?“
„App-Benutzer sehen den Desktop doch gar nicht und darauf achtet sowieso keiner! Und was ist, wenn man gerade die Kommandozeile benutzt?“
„Hmmm, stimmt. Oder sie nutzen die Benutzerkontensteuerung!“
„Na ja, es ist vielleicht gar kein Windows-System. Wobei man die Nachrichten ja ohnehin nicht liest…“
„Moment mal, wieso achtet eigentlich niemand auf die Infos und liest keine Benachrichtigungen?“
Das könnte an mehrere Faktoren liegen. Zum einen gibt es einen Gewöhnungseffekt, wenn immer die gleichen Dialogfenster aufpoppen. Die Gefahr ist groß, dass Nutzer irgendwann automatisch auf Ja klicken, wenn sich im Laufe eines Arbeitstages zum x-ten Mal die Benutzerkontensteuerung meldet. Der gleiche Effekt tritt auf, wenn Benutzer wiederholt höhere Berechtigungen benötigen. Das Hirn schaltet irgendwann ab, wenn Nutzer immer wieder eine bestimmte Aktion ausführen müssen. Und schon hat man sich falsch entschieden…
Drei Wege zur Vermeidung von Bedienfehlern
Wie also lassen sich solche Konzentrationsfehler am besten reduzieren, um negative Folgen für die IT-Sicherheit zu verhindern?
1. Anzahl der Nachrichten und Eingabeaufforderungen reduzieren. Wird ein Linux/Unix-Nutzer daran gehindert, eine bestimmte Aktion auszuführen, erscheint die gleiche Meldung — unabhängig davon, ob es sich um einen eher harmlosen Vorgang, wie die Installation eines kleinen Updates, oder schwerwiegende Vorgänge, wie Änderungen der Firewall-Konfiguration und Löschvorgänge, handelt. Entfallen die Anfragen zu häufigen Alltagsprozessen mit geringfügigen Auswirkungen, steigt im Umkehrschluss die Aufmerksamkeit, wenn es Nachfragen zu potenziell riskanten und ungewöhnlichen Aktivitäten gibt.
2. Kontextinformationen hinzufügen. Dialogfenster und Eingabeaufforderungen ähneln sich und liefern im Regelfall nicht viele Informationen, die Nutzer bei der Entscheidungsfindung auch tatsächlich unterstützen. Bei der Windows-Benutzerkontensteuerung (User Account Control, UAC) beispielsweise werden Benutzer darauf hingewiesen, dass ein bestimmter Prozess oder eine Applikation verschiedene Änderungen durchführen muss. Windows zeigt jedoch nur den Anwendungspfad und einzelne Details zu den digitalen Signaturen an — weitere nützliche Informationen für ein besseres Verständnis und mögliche Folgen fehlen.
3. Benutzerentscheidungen vermeiden. Ist ein Nutzer als Administrator angemeldet, arbeitet er zumeist mit zu weit gefassten Benutzerrechten. Umfassende Zugangsprivilegien sind aber gar nicht erforderlich. Im Idealfall sollten Anwender nur über Berechtigungen verfügen, die auch tatsächlich zur Erledigung einer Aufgabe benötigt werden. Das vermeidet versehentlich durchgeführte Änderungen und andere menschliche Fehler.
Fehlervermeidung und -behebung mit Privileged Access Management (PAM)
Den Großteil ihrer Bemühungen und Ressourcen konzentrieren viele Unternehmen auf den Schutz ihrer IT-Umgebung gegen böswillige Akteure. Das mit dieser Aufgabe betraute IT-Sicherheitsteam kann die eingesetzten Lösungen aber nicht nur zur Vermeidung von Angriffsrisiken, sondern auch zum Schutz vor menschlichen Bedienfehlern verwenden.
Mit Privileged Access Management (PAM), oder genauer gesagt mit den Funktionen für das Endpoint Privilege Management, lassen sich dauerhafte Admin-Rechte vermeiden und stattdessen granulare Nutzerrechte gezielt zuteilen. Das betrifft sowohl die Funktionen des Betriebssystems als auch der einzelnen Applikationen.
Für unerfahrene Benutzer lassen sich so restriktivere Richtlinien zuweisen, um den Missbrauch bestimmter Funktionen zu unterbinden, ohne die produktive Arbeit einzuschränken. Eine flexible Ausnahmebehandlung regelt explizit zugelassene und blockierte Vorgänge. Bei noch nicht erfassten Aufgaben und Benutzeranfragen lässt sich die IT-Policy mit entsprechenden Listen feinjustieren und erweitern.
Für erfahrene Anwender wiederum kann ein höheres Maß an Freiheit verantwortet werden. Bei diesen Nutzern ist es womöglich sinnvoll, dass sie eigene Entscheidungen bei der Ausführung von Applikationen treffen und für die Entscheidungsfindung relevante Informationen auch zur Verfügung gestellt bekommen.
Durch den Einsatz von Dialogfenstern und Eingabeaufforderungen lassen sich Betriebssystemfunktionen wie sudo, UAC oder macOS-Autorisierungsprozesse anpassen, um fehlende Kontextinformationen zu ergänzen. Auf diese Weise kann ein Benutzer daran erinnert werden, dass er einen Vorgang starten würde, der Teil einer Gruppe eingeschränkter Vorgänge auf einem Produktionssystem ist. Der Freigabeprozess ist mit einem Verweis auf die Nutzungsbedingungen und eventuelle Risiken verbunden.
Wie lassen sich Bedienfehler vermeiden?
Über voreingestellte Freigabelisten steuert Endpoint Privilege Management automatisch, welche Anwendungen erlaubt und für welche Vorgänge jeweils höhere Berechtigungen eingesetzt werden dürfen, ohne dass Mitarbeiter permanent über sudo oder Betriebssystemabfragen nachsteuern müssen. In Kombination mit entsprechenden Blocklisten kann so die Anzahl der erforderlichen Nutzerentscheidungen auf ein Minimum beschränkt werden. Weniger Entscheidungen reduzieren die Gefahr von Fehlentscheidungen, wenn im hektischen Arbeitsalltag zu schnell auf den Freigabeknopf gedrückt wird. Durch gesonderte Nachrichten und Eingabeaufforderungen kann auch sichergestellt werden, dass die Authentifizierung oder Freigabe der betreffenden Vorgänge mit höherem Risiko tatsächlich erwünscht ist.
Die Verwaltung privilegierter Konten und die Durchsetzung einer Least-Privilege-Strategie sind also wichtige Sicherheitsmaßnahmen beim Privileged Access Management. Ein weiterer Vorteil ist, dass sich die Zahl der generierten Dialogfenster minimiert, so dass Nutzer mit PAM effektiver arbeiten und bessere Entscheidungen treffen können.
Alun Jones, Channel Solutions Engineer
An accomplished and versatile consultant and technical trainer with over fifteen years of customer-facing experience and a proven track record of delivering customer-centred solutions. Strong technical abilities allied with excellent language and communication skills have led to very successful implementations and highly-rated training courses, delivered in English, French and German.
