Sind tatsächlich alle Zugriffe auf kritische IT-Systeme abgesichert? Endet das tagelange Studium von Best-Practice-Vorgaben in einem zeit- und kräfteraubenden Implementierungsprozess? Beschweren sich Endanwender über den Verlust privilegierter Zugriffsrechte? Das sind nur einige der Problemfragen, denen IT-Administratoren und IT-Verantwortliche seit Jahren ausgesetzt sind. Bei der komplexen Analyse möglicher Bedrohungen von innen haben viele IT-Abteilungen eine ganz entscheidende Frage übersehen: „Wie sieht es mit der Sicherheit privilegierter Zugangsdaten aus, die wir als IT-Administratoren und privilegierte Nutzer einsetzen?“ Und: „Wie schützen wir uns vor einem selbstverschuldeten Sicherheitsalptraum?“
Jahrelang habe ich mit Berufskollegen genügend Horrorgeschichten ausgetauscht, wie unvorsichtige Nutzer hinterlistige Malware heruntergeladen oder ein System abgeschossen haben, weil sie einfach nicht wussten, was sie taten. In der Regel endeten die Geschichten mit dem Nachsatz: “Hätten diese Nutzer keine Admin-Rechte gehabt, wäre das alles überhaupt nicht passiert.“ Und dann erinnerte ich mich an einen selbstverschuldeten Vorfall, als ich eine scheinbar zulässige Applikation heruntergeladen hatte. Gleich nach „erfolgreicher“ Installation war ich selber einer dieser unvorsichtigen Nutzer. Ein übler Ransomware-Virus hatte sofort die Kontrolle übernommen und stellte mich freundlich, aber bestimmt vor die Wahl, die unleserlich gemachten Daten gegen eine Gebühr von $499 über einen angegebenen Weblink wieder zu entschlüsseln.
Die Situation hätte noch schlimmer ausgehen können, wäre ich auf einem Arbeitsrechner eingeloggt gewesen — oder sogar auf dem Hauptrechner, auf dem viele sensible Daten lagern. Zum Glück hatte ich es mir aber angewöhnt, Download-Programme grundsätzlich nur über eine virtuelle Maschine herunterzuladen. Also musste ich die VM-Instanz nur löschen und konnte mit einem frischen Image neu starten. Andere hatten nicht so viel Glück, was besonders in Umgebungen mit geschäftskritischen Daten brandgefährlich ist.
Und es hört ja nicht bei Downloads über das Internet auf. Wie steht es generell um den Einsatz privilegierter Zugangsdaten? In einer früheren Berufsposition benötigte ich Zugriff auf verschiedene Umgebungen innerhalb sicherheitsrelevanter Netzwerke. Aus Sicherheitsgründen hatte die IT-Abteilung vorgegeben, dass ich für jedes Netz mit den betreffenden IT-Systemen unterschiedliche Admin-Konten erhalten sollte. Auf diese Weise verfügte ich nicht nur meine üblichen Zugriffsdaten für den täglichen Einsatz, sondern auch noch über drei zusätzliche Konten, die mir Zugriff auf drei weitere Netzwerkbereiche mit den entsprechenden IT-Systemen verschafften. Die ursprüngliche Überlegung dabei war, dass eine Sicherheitsverletzung bei einem Admin-Account nicht weitere Sicherheitsverletzungen bei den anderen Konten nach sich ziehen sollte.
Das Problem aus meiner Sicht war aber, dass der menschliche Faktor außer Acht gelassen wurde. Aus Sicherheitssicht war vorgesehen, für jeden dieser Accounts unterschiedliche, komplexe Passwörter einzurichten und regelmäßig nach 90 Tagen auszutauschen. Zunächst hatte ich auch genau das vor, aber nach Monaten schon ging ich angesichts von Zeitmangel und Arbeitsbelastung dazu über, immer identische Passwörter zu verwenden. Ist es also unrealistisch, von privilegierten Nutzern stets das richtige Verhalten einzufordern, den menschlichen Faktor bei der Kontrolle von Passwortvorgaben aber zu vernachlässigen und so Risiken bei der Vergabe von Zugangsdaten einzugehen?
Natürlich ist die Bedrohung durch externe Angreifer immer noch am höchsten, aber auch dabei sind Anwender mit privilegierten Zugriffsrechten lukrativere Angriffsziele, weil sie weitreichende Zugriffsrechte auf IT-Systeme haben. Neuesten Studien zufolge werden über 50% der Sicherheitsverletzungen von Systemadministratoren oder Personen mit privilegierten Zugriffsrechten verursacht.
Wo setzt man also am besten an? Wie lassen sich privilegierte Konten und privilegierte Zugriffsrechte schützen? Die Wahl der richtigen Passwortmanagement-Lösung ist ein guter Startpunkt. Die Zeiten müssen vorbei sein, dass Passwörter per Excel-Liste gepflegt und unter IT-Verantwortlichen oder Administratoren ausgetauscht werden (womöglich noch unter dem Dateinamen ‚Passwörter‘). Beim Austausch von Passwortlisten besteht immer die Gefahr, dass jemand die brisanten Informationen missbraucht. Auch viele Passwortlösungen helfen hier nicht wirklich weiter, weil sie immer noch auf der manuellen Erstellung, Aktualisierung und sicheren Verwahrung von Kennwörtern basieren. Und die Absicherung der wertvollen Passwörter beruht ebenfalls auf was? Genau — einem Passwort.
Im Unternehmensumfeld kommen daher verstärkt Enterprise-Passwortlösungen zum Einsatz. Mit einem Passworttresor wie Bomgar Vault, sind die Tage vorbei, dass Passwörter auf Notizzetteln festgehalten und unter der Tastatur versteckt werden — vorbei auch die Zeiten von Excel-Listen oder Freeware-Programmen. Verwalten Sie Zugangsdaten besser über den bestehenden LDAP-Verzeichnisdienst oder eine Zwei-Faktor-Authentifizierungslösung und verwahren Sie privilegierte Zugriffsdaten in verschlüsselter Form. Mit einem Enterprise-Passworttresor lassen sich Passwort-Policies und die Rotation von Kennwörtern automatisch durchsetzen. Nutzer müssen sich nicht mehr an zuletzt verwendete Passwörter erinnern, und sie werden auch nicht identische Kennwörter für mehrere Accounts einrichten können.
Die Passwortwahl ist immer ein sensibler und sicherheitsanfälliger Faktor beim Schutz von IT-Infrastrukturen und Daten. Häufig ist der menschliche Faktor der Hauptgrund für den Missbrauch von Zugriffsdaten. Durch Einsatz eines Passwort Vaults im Unternehmen werden menschliche Fehler in diesem Prozess vermieden, ohne dass die Produktivität darunter leidet.
Erfahren Sie im folgenden Video mehr darüber, wie Bomgar Vault die Sicherheits- und Compliance-Vorgaben Ihrer Organisation bei privilegierten Nutzerkonten durchsetzt.