Die mangelhafte Verwaltung von Administratorrechten und unzureichende Überwachung von Applikationen stellen für jedes Unternehmen erhebliche Sicherheitsrisiken dar. CyberArk stellt in einem 2-seitigen »E-Book« Best Practices für die Entwicklung eines mehrstufigen Sicherheitsmodells vor, das hohen Schutz bietet und IT-Teams entscheidend entlastet [1].

Admins dürfen in der Regel zu viel

Admins dürfen in vielen Unternehmen alles, sie verfügen häufig über uneingeschränkte Privilegien. Das ist zwar bequem, aber nicht ohne Risiko. Denn einige Administratoren besitzen weitaus mehr Privilegien, als sie für ihre tatsächliche Arbeit benötigen. Solche »Superuser-Accounts« sind allein schon deshalb problematisch, da sie zu den interessantesten Hacker-Zielen gehören. Wer erst einmal einen privilegierten Account erobert hat, kann beliebigen Schaden im Unternehmen anrichten. Doch auch normale Anwender erhalten in vielen Unternehmen Admin-Privilegien oder zumindest zusätzliche Benutzerrechte, oft nur aus einem Grund: um die IT-Teams zu entlasten. Auch hier ist die Gefahr groß, dass solche Konten missbräuchlich genutzt werden – oft nicht bewusst vom autorisierten Anwender, sondern im Rahmen einer Cyber-Attacke von außen.

Zudem stellen Applikationen, die nicht ausreichend überwacht werden, eine Gefahr für die IT-Sicherheit dar. So ist es zum Beispiel möglich, dass eine schädliche Anwendung mit Malware auch ohne erhöhte Berechtigung ausgeführt wird und ein Netzwerk kompromittiert.

CyberArk empfiehlt Unternehmen angesichts dieser Herausforderungen die Umsetzung eines mehrstufigen Sicherheitsmodells. Voraussetzung dafür ist eine anpassbare Lösung, mit der die Verwaltung von Administratorrechten und die Kontrolle von Anwendungen automatisiert werden können.

 

Im Einzelnen gilt es bei der Lösungsauswahl die folgenden Best Practices zu beachten:

 

1. Automatische Richtlinienerstellung zur Privilegien- und Anwendungskontrolle

Die Lösung sollte automatisch vertrauenswürdige Anwendungen bestimmen, die für ihre Ausführung nötigen Rechte ermitteln und darauf aufbauend Richtlinien erstellen, um IT-Teams wertvolle Zeit zu sparen.

 

2. Bedarfsorientierte Erweiterung von Benutzerrechten

Die Lösung sollte die Möglichkeit bieten, Rechte basierend auf Richtlinien bedarfsorientiert zu vergeben, um die Produktivität von Fachanwendern zu gewährleisten, ohne die Angriffsfläche zu vergrößern.

 

3. Festlegung granularer Least-Privilege-Richtlinien für Windows-Administratoren

Mithilfe der Lösung sollte sich granular kontrollieren lassen, welche Befehle und Aufgaben ein IT-Administrator abhängig von seiner Rolle ausführen darf, um eine effektive Funktionstrennung umzusetzen und das Risiko von Insider- und zielgerichteten Attacken zu verringern.

 

4. Überwachte Ausführung von Anwendungen

Die Lösung sollte die nahtlose Ausführung vertrauenswürdiger Anwendungen in der IT-Umgebung erlauben sowie automatisch schädliche Anwendungen blockieren und Rechte bei unbekannten Anwendungen einschränken. Optional sollten sich zudem strikte Whitelist-Richtlinien durchsetzen lassen.

 

5. Zentrales Repository für Zugangsdaten der Administratoren

Mit der Lösung sollte sich der Zugriff auf lokale Administrator- und Domänen-Administratorkonten kontrollieren lassen, die administrativen Zugriff auf Windows-Endgeräte und -Server gestatten. Die Zugangsdaten sollten in einem sicheren, zentralen Repository gespeichert werden, das starke Zugriffskontrollen unterstützt und Revisionssicherheit bietet.

 

6. Automatische Änderung von Passwörtern nach jeder Nutzung

Passwörter von Administratoren sollten nach jeder Verwendung automatisch geändert werden können, um möglicherweise von Keyloggern ausgelesene Anmeldedaten ungültig zu machen und das Risiko von Pass-the-Hash-Angriffen zu reduzieren.

 

7. Überwachung aller Administratorkonten

Die Lösung muss sämtliche Aktivitäten in Verbindung mit Administratorkonten überwachen können, um schnell Unregelmäßigkeiten zu erkennen und zu melden. Damit kann unter Umständen auch ein laufender Angriff unterbunden werden.

 

»Auf Basis dieser Best Practices können Unternehmen ihre Angriffsfläche verkleinern und sich zuverlässig vor internen wie externen Bedrohungen schützen, und zwar ohne die Produktivität von Nutzern zu beeinträchtigen oder IT-Teams zu überlasten«, erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf.

 

[1] Weitere Informationen und Tipps zur Absicherung der IT-Infrastruktur gibt es im kostenlosen E-Book »Mehr Sicherheit und Produktivität mit Least Privilege & Application Control« unter https://www.cyberark.de/resource/mehr-sicherheit-und-produktivitaet-mit-least-privilege-application-control/

 

Management privilegierter Passwörter

Das Management privilegierter Passwörter ermöglicht die zentrale Sicherung, Verwaltung und Überwachung privilegierter Accounts und unterstützt Unternehmen so nachweislich dabei, strengste Audit- und IT-Compliance-Anforderungen zu erfüllen.

Vorteile:

• Lüften Sie den Deckmantel der Anonymität bei der gemeinsamen Nutzung privilegierter Accounts, um persönliche Verantwortlichkeit sicherzustellen.
• Setzen Sie unternehmensweit flexible Richtlinien für privilegierte Accounts durch (z. B. zur Häufigkeit der Rotation privilegierter Anmeldedaten oder Komplexität von Passwörtern), mit denen Sie spezifische Audit-Anforderungen erfüllen können.
• Verwalten Sie privilegierte Benutzer, beschränken Sie den Zugriff auf privilegierte Accounts auf autorisierte Benutzer und schränken Sie Rechte nach dem Need-to-know-Prinzip ein.
• Mit ausführlichen Audit-Berichten zu Zugriffen auf privilegierte Accounts und Aufzeichnungen privilegierter Aktivitäten erhalten Sie Nachweise für Audits und eine Grundlage für forensische Analysen.
• Verhindern Sie unbefugte Zugriffe auf und Veränderungen oder Löschungen von Protokollen durch die zugriffssichere Speicherung von Audit-Aufzeichnungen.
• Automatisieren Sie das Lebenszyklusmanagement privilegierter Accounts.

 

Sicherheit und Benutzerkomfort schließen sich nicht aus

 

Best-Practice-Empfehlungen für Remote-Access-Dienste – Klare Fernsicht

Gezielte Angriffe: Wie beruflich genutzte soziale Netzwerke zur Insider-Bedrohung werden

Ordnung für gewachsene Serverstrukturen – Effizient gegen den Berechtigungs­dschungel