Remote Access – Revisionssicheres IT-Outsourcing mit externen Administratoren

Vollständiges Controlling von administrativen und privilegierten Zugriffen auf Netzwerk- und Server-RZ-Technik.

Große Unternehmen verfügen heute über IT-Landschaften, die immer vernetzter und entsprechend ihrer Wertschöpfungsprozesse immer komplexer geworden sind. Da diese Unternehmen eine Vielzahl an Dienstleistern beschäftigen und IT-Services an Drittfirmen auslagern, denen sie Zugriff auf ihre Systeme und Anwendungen gewähren, ist der Fernzugriff auf IT-Ressourcen zum De-facto-Standard geworden. Allein die eingesparten Kosten bei Fernzugriffen von externen Dienstleistern bedeuten enorme Vorteile für ein Unternehmen, weil ein einmaliger Fernwartungseinsatz bereits die Anschaffungskosten der Fernzugriffslösung amortisiert. Doch gehen von privilegierten Benutzern – Personen, denen solche privilegierten Zugriffsrechte eingeräumt werden – potenzielle Gefahren aus.

Die Unternehmen stehen nun vor dem Problem, wie sie die einzelnen Akteure, die vielfältigen Aufgaben und verteilte Systeme koordiniert managen und gegebenenfalls zentralisiert überwachen können, wobei wirtschaftliche, technische und organisatorische Faktoren zu berücksichtigen sind. Einerseits müssen sie eine wachsende Anzahl an Mitarbeitern und externen IT-Dienstleistern in einer immer vielschichtiger werdenden Systemlandschaft effektiv und effizient einsetzen. Zum anderen gilt es, die einzelnen Aufgaben in wirtschaftlicher Hinsicht (Überwachung, Revision von Leistungen), nach rechtlichen Aspekten (Datensicherheit und Datenschutz) und organisatorischen Gesichtspunkten (Zutrittskontrolle, Wissensmanagement) zu managen, zusammenzuführen sowie die Aktivitäten gegebenenfalls zu integrieren.

 

Wer hat in einem Unternehmen einen kompletten Überblick über alle Zugriffe der privilegierten Benutzer, den Super-Usern, die täglich auf das Unternehmensnetz zugreifen? Wo kann man dies im Unternehmen nachsehen und wie lassen sich die jeweiligen Aktivitäten nachvollziehen? Antworten hierauf werden immer wichtiger für Führungskräfte und Experten: Nicht nur für CIOs sondern auch für Infrastrukturmanager, Rechenzentrumsarchitekten, Netzwerkadministratoren bis hin zu Auditoren, Wirtschaftsprüfern, Beratern und Sicherheitsexperten (CSO), die insbesondere für die Sicherung, Auditierung und Überwachung der Serveradministration zuständig sind. https://www.xing.com/xbp/pages/xnet-communications-gmbh

 

 

Beispiel für ein zentralisiertes System für Wartung und Administration.

Beispiel für ein zentralisiertes System für Wartung und Administration.

Flexibles Outsourcing und viele externe Spezialisten. Outsourcing-Trend: Halte die eigene IT schlank und kaufe Manpower und Know-how bedarfsorientiert hinzu.

Zugriff auf die eigenen Daten, den Rechner, die Systeme im Rechenzentrum oder sogar auf die Produktion zu gewähren, war und ist eine Vertrauensfrage. Als früher die Remote-Zugänge lediglich eigenen Mitarbeitern vorbehalten waren, ließen sich diese noch in einem gewissen Maße sicher und kontrollierbar im Unternehmen managen. In den letzten Jahren folgten immer mehr Unternehmen dem Trend, zwar die eigene IT zu behalten, allerdings diese sehr schlank zu halten. Bei speziellen Aufgaben greifen sie auf dedizierte externe Dienstleister zurück. Dazu zählen SAP-Spezialisten, Datenbankprogrammierer für Oracle, ferner Microsoft-, Dell-, HP-Dienstleister; außerdem Zulieferer und Lieferanten in der Produktion, Servicepartner, die Netzwerkkomponenten konfigurieren sowie Service für Haustechnik, wie etwa Aufzug- und Klimaanlagen oder die IP-basierte Telekommunikationsanlage. Mit der Abschaltung von ISDN und der Einführung von All-IP durch die Telekom werden sich gerade diese Zugänge noch weiter vervielfältigen, denn bisher wurde hier für den Service auf dedizierte Punkt-zu-Punkt-Wählleitungen zurückgegriffen, der nun auf IP umgesetzt werden muss.

Vielfalt an Werkzeugen. Da dieses spezielle Fachwissen oft weltweit verteilt und die Zeit kostbar ist, kommen die privilegierten Benutzer über die unterschiedlichsten IT-Zugänge remote in den Rechenzentrumsbetrieb. Also alle externen Mitarbeiter, Lieferanten und Partner die Dienstleistungsverträge (SLAs) zu erfüllen haben, wie auch den spontanen Support, den ein Mitarbeiter für ein Gelegenheitsproblem in Anspruch nimmt. Dabei benötigt ein jeder seinen eigenen »Werkzeugkasten«.

Mehraufwand, Folgekosten und Sicherheitslöcher. Die Dienstleiter nutzen Werkzeuge wie SSH, RDP, HTTPS, vSphere, VNC, Netop sowie webbasierte Remote-Zugriffe. Nicht nur die Anzahl, sondern auch die Arten der administrativen Tätigkeiten innerhalb eines Unternehmens sind immer unüberschaubarer geworden.

Um den Wildwuchs an Remote-Zugängen zu verwalten, entsteht ein erheblicher Aufwand in den Unternehmen. Darüber hinaus können auch unbekannte Sicherheitslöcher entstehen. Zu den Gründen zählt zum Beispiel die generelle Einrichtung der Zugänge und Aufsetzen des Regelwerkes. Ferner die Verwaltung der Zugangsberechtigungen, häufig genug verbunden mit zeitlichen Einschränkungen, wie Einmalberechtigung, Dauer, Zeitfenster … Und schließlich müssen die durchgeführten Aktivitäten auch kontrolliert werden.

Mehraufwand, Folgekosten und Sicherheitslöcher. Die Dienstleiter nutzen Werkzeuge wie SSH, RDP, HTTPS, vSphere, VNC, Netop sowie webbasierte Remote-Zugriffe. Nicht nur die Anzahl sondern auch die Arten der administrativen Tätigkeiten innerhalb eines Unternehmens sind immer unüberschaubarer geworden.

Um den Wildwuchs an Remote-Zugängen zu verwalten, entsteht ein erheblicher Aufwand in den Unternehmen. Darüber hinaus können auch unbekannte Sicherheitslöcher entstehen. Zu den Gründen zählt zum Beispiel die generelle Einrichtung der Zugänge und Aufsetzen des Regelwerkes. Ferner die Verwaltung der Zugangsberechtigungen, häufig genug verbunden mit zeitlichen Einschränkungen, wie Einmalberechtigung, Dauer, Zeitfenster…  Und schließlich müssen die durchgeführten Aktivitäten auch kontrolliert werden.

Alleine die Sichtung der unterschiedlichen Protokolle beansprucht erhebliche Ressourcen. Dabei ist fragwürdig, ob die verwendeten Tools überhaupt entsprechende Daten liefern können und das unternehmenseigene Personal diese Daten wiederum überhaupt verstehen und interpretieren kann. Zum Beispiel arbeiten einige davon mit Texteingaben in Editoren, wodurch die ausgeführten Tätigkeiten später nur schwer oder sogar unmöglich nachvollziehbar sind.

Die Kosten und Sicherheitslöcher entstehen zwar nicht unbedingt aus Absicht, können jedoch potenziell für jeden einzelnen Zugang, für jeden Serviceleistenden und für jede neue Sitzung neu auftreten. Wenn zukünftig die Unternehmen auch noch ihre Internet-of-Things- und Industrie 4.0-Vorhaben umgesetzt haben, werden sich die Remote-Zugänge weiter vervielfachen, so dass ein noch größeres Problem heranwächst. Deshalb wird es strategisch bedeutend, dass der »Remote Access für externe Dienstleister” in Zukunft zentral gemanagt werden muss. Um Kosten und Unsicherheiten zu beseitigen, brauchen Unternehmen einen einzigen zentralen Zugang für alle administrativen, privilegierten Zugriffe.

Zentralisiertes Management: Bündeln von Zugriffsarten und -formen, Autorisieren, Authentifizieren, Aufzeichnen und Kontrollieren. Die Anforderungen an eine unternehmensweite Lösung bestehen darin, über ein Portal, eine Schnittstelle oder ein Gate sowohl alle Verträge mit Dienstleistern samt Wartungsaufgaben managen zu können als auch die Zugänge für die unternehmensinternen Mitarbeiter. Es geht um das Bündeln von Zugriffsarten und -formen, Autorisieren, Authentifizieren, Aufzeichnen und Nachvollziehen aller Aktivitäten an einer zentralen Stelle, so dass Unternehmen von vorneherein jegliche Zugriffe kontrollieren und auch revisionssicher aufzeichnen können. Die Aufzeichnungen sollten zudem revisionssicher abgelegt sein, um die Datenschutzbestimmungen gemäß der DSGVO / GDPR zu erfüllen.

Um Kosten und Unsicherheiten zu beseitigen, brauchen Unternehmen einen einzigen zentralen Zugang für alle administrativen, privilegierten Zugriffe. Über diesen Zugang muss ein Unternehmen in der Lage sein, den jeweils Serviceleistenden auf unterschiedlichste Endgeräte für die dieser zuständig ist – und nur die – zu bringen. Darüber hinaus muss der Zugang die unterschiedlichsten Remote Zugriffs-Werkzeuge unterstützen, damit die Profis auch ihre Arbeit machen können. Ferner muss sich jede einzelne Sitzung revisionssicher aufzeichnen lassen und konform mit Compliance-Vorgaben sein.

Das Xnet Secure Gate ist ein zentraler Zugangspunkt – on premises. Es besteht im Wesentlichen aus den Komponenten Konsole, Security Server und Movie Admin.

Die Konsole. Ein Mitarbeiter, der administrative Aufgaben durchzuführen hat, meldet sich am zentralen Zugangssystem an. Der Zugang erfolgt hier generell über RDP. Vorteil: Es braucht nur eine Zugangsart freigeschaltet werden und RDP ist frei verfügbar.

Der Administrator wird dort in der Xnet Secure Konsole als Published Application abgesetzt. Von hier wird eine verschlüsselte Verbindung zum Xnet Security Server aufgebaut und darüber erfolgt die eigentliche Autorisierung auf das gewünschte Zielsystem. Erst jetzt kann ein Service-Mitarbeiter eine Sitzung mit einem für das Zielsystem zulässigen Tool aufbauen und nötige Wartungsarbeiten durchführen.

Diese Sitzungen werden dabei »verfilmt« und zusammen mit den notwendigen Verbindungsdaten (Quelle, Ziel, Zeit, Service) verschlüsselt und signiert in einer zentralen Datenbank abgelegt.

Security Server. Über den Xnet Security Server erfolgt die gesamte Authentifizierung und Autorisierung eines Dienstleisters, sei es ein Operator oder ein Admin. Auf dieser zentralen Komponente werden die jeweiligen Zugangsberechtigungen (Rollen) für die Supportmitarbeiter in Verbindung mit gewählten Zielsystemen und zulässigen/benötigten Fernwartungstools verwaltet.

Movie Admin. Falls im Nachhinein eine bestimmte Sitzung und die durchgeführten Tätigkeiten verifiziert werden müssen, kann nur über das Modul Xnet Movie Admin auf die entsprechende Aufzeichnung der Sitzung zurückgegriffen und in Augenschein genommen werden. Über eine Dienstanweisung wird geregelt, wem, wann, wie und unter welchen Voraussetzungen diese Einsicht genehmigt werden darf.

Weitere Informationen zum XSG sind abrufbar unter: https://www.xdsnet.de/portfolio/xnet-secure-gate/

Fazit. Um Kosten zu senken und Unsicherheiten zu beseitigen, brauchen Unternehmen einen einzigen zentralen Zugang für alle administrativen, privilegierten Zugriffe. Über diesen Zugang muss ein Unternehmen in der Lage sein, den jeweils Serviceleistenden auf die unterschiedlichsten Endgeräte zu bringen, für die dieser zuständig ist – und nur dorthin! Darüber hinaus muss der Zugang die verschiedenen Remote-Zugriffs-Werkzeuge unterstützen, damit die Profis auch ihre Arbeit machen können. Selbstverständlich wird jede einzelne Sitzung revisionssicher aufgezeichnet und somit die Konformität mit Compliance-Vorgaben gewährleistet.


Wolfgang Falz
ist Geschäftsführer
von Xnet Communications,
einem Partner von Netop
Die Xnet Communications GmbH wurde 1996 gegründet und ist ein unabhängiger Softwareanbieter (ISV) für ein breites Aufgabenspektrum der Remote Access, Datenkommunikation und Netzwerksicherheit im Großkunden-umfeld. Mit insgesamt 80 Mitarbeitern, 50 davon in der Entwicklung, hat Xnet eigene Produktfamilien für das IT-Management und die Datenver-teilung entwickelt. Außerdem ist Xnet deutscher Distributor der Netop-Produkte für Fernwartung des dänischen Herstellers Netop A/S.
Das technisch orientierte Team verbindet die eigenen Produkte mit Standardkomponenten und passt sie bei Bedarf an individuelle Situationen an, um kundenspezifische schlüsselfertige Komplettlösungen zu planen, zu entwickeln und zu implementieren. Auf Wunsch bietet Xnet auch den regelmäßigen Support und die Wartung an. Neben dem Stammhaus in Hamburg hat Xnet Niederlassungen in Frankfurt/Main, in San Francisco/USA, in Warschau und in Posen (Polen).
www.xdsnet.de beziehungsweise www.netop.com/de
Illustration: © Maksim Kabakou /shutterstock.com 

 

 

Die fünf wichtigsten wirtschaftlichen Vorteile der Aufzeichnung von Sessions von privilegierten Benutzern sind

  1. Befolgung von Sicherheitsrichtlinien, Revisionskontrolle und Audits

Die Lösung ermöglicht es, unternehmensweite Anforderungen des kritischen Dienstanbieters in Bereichen der Netzwerk- und Systemsicherheitssicherheit und -qualität, die Einhaltung gesetzlicher Vorschriften in Form von digital signierten und zeitgestempelten Aufzeichnungen von Verwaltungssitzungen zu erfüllen. Dabei stellt sie die Erfüllung der Compliance sicher, so dass nicht nur die Vermögenswerte des Unternehmens geschützt sind sondern künftig auch kontinuierliche Audits möglich sind.

Für den Fall, dass ein IT-Administrator verdächtigt wurde beziehungsweise erwiesenermaßen unethisch oder illegal gehandelt hat, ist es notwendig, dass man alle Aktivitäten dieses Admin abspielen kann, um zu verfolgen, welche unangemessenen Maßnahmen er ergriffen hatte. Diese Daten sind als Nachweis erforderlich, wenn die Zusammenarbeit mit dem Administrator beendet werden muss. Diese Daten können auch entscheidend sein, um schädliche Änderungen, die auf Systeme oder Daten vorgenommen wurden, zu finden und zu beheben.

  1. Transparenz über Arbeitsaufträge

Die Lösung sollte gewährleisten, dass ein Unternehmen die lokalen, nationalen und internationalen Regularien, Gesetze und Vorschriften einhalten kann, soweit es dafür rechenschaftspflichtig ist. Allein, dass IT-Administratoren oder Dienstleister wissen, dass alle Aktivitäten aufgezeichnet werden, und dass sie persönlich für ihre Handlungen verantwortlich gemacht werden können, wird einen positiven Einfluss auf das Verhalten von Admins haben.

  1. Erfüllung von SLA

Mit dem Administrative-Session-Recording können Unternehmen Vorfälle bessere beheben und die geleistete Arbeit sowie die Systemverantwortung detaillierter dokumentieren. Ebenso können Dienstleister eine vertrauenswürdige Beziehung zu ihren Kunden auf- und ausbauen, weil sie mit der Lösung Kontinuität in ihre Geschäftsbeziehung bringen und Schwachstellen beseitigen können. Darüber hinaus helfen Aufzeichnungen, die Erfüllung der SLAs und die abrechenbaren Aktivitäten des Anbieters zu überprüfen.

  1. Kontrolle der externen Admins

Das Durchsetzen von Zutrittskontroll- und Sicherheitsrichtlinien für externe IT-Dienstleister und -anbieter, die von außen in ein Unternehmensnetzwerk kommen, kann aufwendig und schwierig sein. Es gibt keine Möglichkeit zu bestimmen, welche Werkzeuge oder Software sie für ihre Arbeit verwenden müssen. Jeder IT-Anbieter bevorzugt einen eigenen Satz von Werkzeugen. Es muss sichergestellt werden, dass diese [Benutzer]Konten und Aktivitäten genau überwacht und alle Aktivitäten erfasst werden.

  1. Wissensaustausch, Unternehmensweite Schulungen

Anhand der Aufzeichnungen von Admin-Aktivitäten lässt sich deren Arbeit wiedergeben. Die ermöglicht auch, im Unternehmen Wissen zu teilen und weiterzugeben. Entweder als geplanter Wissensaustausch, wenn etwa ein Admin seine Arbeitsschritte aufzeichnet und diese Aufzeichnung dann seinen Kollegen mitteilt, etwa im Rahmen einer Schulung. Wenn Aufnahmen für Trainingszwecke verwendet werden, sollte allerdings beachtet werden, dass dies im Einklang mit dem Datenschutz steht.

 

Welche Daten sollen erfasst werden?

Daten, die von einer modernen, grafischen Benutzeroberfläche aufgenommen werden können, sind umfangreich. Sie enthalten:

1) Bildschirmvideos – das heißt Bilddateien des Inhalts einer einzelnen Anwendung oder eines grafischen Desktops eines ganzen Benutzers.
2) Prozessinformationen, wie die Namen und Argumente, die an laufende Programme übergeben werden.
3) Benutzerschnittstellenelemente wie Fenster-Bezeichnungen, Labels und Text aus Eingabefeldern.
4) Tastaturereignisse wie Tastendruck und -freigaben.
5) Anzeigegeräte (Maus)-Ereignisse, wie etwa Bewegungen und Klicks.
6) Der Inhalt des Kopierpuffers des Betriebssystems.

Bei der Aufnahme des Login eines Benutzers, der eine Verbindung zu privilegierten Konten herstellt, ist es sinnvoll, das zu erfassen, was der Benutzer eingibt und was das System anzeigt. Im Hinblick auf Video-Capture, kann es sinnvoll sein, den gesamten Desktop des Benutzers zu erfassen.

 

Was ist im Falle des Ausscheidens eines Admins oder dem Wechsel eines Dienstleisters zu tun?

Session Recording ist auch sehr hilfreich für den Fall, dass die Beschäftigung eines Nutzers mit Zugriff auf privilegierte Konten beendet werden muss: Bei der Beendigung des Arbeitsvertrages können und sollten die aktiven Sitzungen deaktiviert werden. Der Benutzer muss dazu einfach aus dem Active Directory entfernt werden. Und nachdem ein Arbeitsverhältnis beendet worden ist, kann die aktuelle Benutzeraktivität überprüft werden, um zu ermitteln, ob der Benutzer unangemessene Maßnahmen unternommen hat.

 

Quelle: Xnet Privilegierte Benutzer

 

 


 

Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.

 

Nur wenige VPN-Lösungshersteller erreichen Bestnoten

Best-Practice-Empfehlungen für Remote-Access-Dienste – Klare Fernsicht

Business-Kriterien: Prioritäten bei der SAP-Sicherheit setzen

6 Trends für Managed Services – Blick in die Zukunft

Interview mit Patrick Oliver Graf von NCP zu Remote Access und Security bei IoT

IT-Sicherheit – Das Hacker-Risiko senken

Neues IPsec VPN Gateway für sicheren Fernzugriff gemäß VS-NfD-Richtlinien

Cyber Security mit Augenmaß – Auf Planung und Organisation kommt es an

Vollautomatisches VPN Management System

IT-Security »made in Germany« muss den internationalen Wettbewerb nicht scheuen

Beliebt bei Cyberkriminellen: »Erfolgreicher« Remote-Access-Trojaner »Orcus«