Monatelang haben Hacker direkten Zugriff auf vertrauliche Informationen und entwenden sensible Daten von Deloitte-Kunden: Das Ende 2017 dokumentierte Datenleck beim Wirtschaftsprüfungsunternehmen ist ein Paradebeispiel für die Gefahr durch externe Zugriffe – von internen Bedrohungen ganz zu schweigen.
Bei der Mehrzahl der Unternehmen ist nicht mehr die Frage, ob es zu einem Sicherheitsverstoß kommt, sondern wann das passiert. Die jüngsten Angriffe auf Deloitte verdeutlichen beispielhaft, wie entscheidend ein umfassender Schutz von privilegierten Zugriffen ist. Administratorenkonten und andere privilegierte Accounts sind dauerhaft ein vorrangiges Ziel für Angreifer, weil sie Hacker mit einem Generalschlüssel für das betreffende Netzwerk versehen, in dem sie sich – zumeist unbemerkt – frei bewegen können.
Der Deloitte-Hackerangriff und seine Lehren. Im Fall von Deloitte hatten Hacker über einen nicht ausreichend geschützten Account einen Zugang zu Datenbanken der Unternehmensberatung verschafft. Danach konnten sie auf Passwörter, Benutzernamen, Gesundheitsdaten und andere sensible Daten vieler Top-Kunden der Unternehmensberatung zugreifen, berichtete die britische Tageszeitung »The Guardian« im September 2017. Eine der größten Unternehmens- und Buchhaltungsfirmen weltweit hatte ihre Admin-Accounts nur unzureichend gesichert und damit der Weltöffentlichkeit vor Augen geführt, wie brisant und komplex die Problematik ist.
Der gehackte Account sei lediglich über ein einziges Passwort gesichert gewesen, schrieb der »Guardian«. Es habe, wie bei solchen sicherheitsrelevanten Zugängen normalerweise üblich, keine zweistufige Autorisierung gegeben. Auf dem von Microsoft verwalteten Server sollen die E-Mails von 244.000 Deloitte-Mitarbeitern gespeichert gewesen sein. Diese Attacke soll vor allem US-Mitarbeiter und -Kunden betroffen haben, aber hierzulande sieht es in vielen Unternehmen ganz ähnlich aus.
Auf die folgenden sechs Punkte sollten Unternehmen achten, wenn sie Zugriffe auf kritische Systeme managen möchten, ohne die Produktivität und Sicherheit im Unternehmen in Mitleidenschaft zu ziehen:
Zugriffe von Dienstleistern absichern
Externe Dienstleister sind in die IT-Prozesse einer Organisation fest integriert und aus Hackersicht eine »leichte Beute«, wenn Sicherheitsvorgaben dort weniger streng befolgt werden. Zumindest sind sie ein alternativer und häufig unverdächtiger Weg ins Firmennetz. Im Durchschnitt haben wöchentlich 181 Drittanbieter privilegierten Zugriff auf Unternehmensnetze, so das Ergebnis im »2017 Secure Access Threat Report«. In dieser Sicherheitsumfrage unter 600 IT-Experten aus Deutschland, Frankreich, Großbritannien und den USA räumten zwei Drittel der Befragten ein, bereits von einer durch Drittanbieter verursachten Sicherheitsverletzung betroffen gewesen zu sein.
Die Herausforderung besteht also darin, den Überblick über alle Aktivitäten von (Outsourcing)-Dienstleistern oder Herstellern mit Zugriff auf geschäftliche IT-Systeme zu behalten. IT-Verantwortliche müssen wissen, welche IT-Systeme und Daten von welchen Netzwerkpunkten aus mit welchen Zugriffsrechten abgerufen werden können. Dafür bedarf es klar definierter Benutzerrechteprofile mit ActiveDirectory-Anbindung und revisionssicherer Auditierung aller durchgeführten Vorgänge. Durchgängige Verschlüsselung ist ebenfalls ein Muss, aber von VPN-Verbindungen ist abzuraten. Diese End-to-End-Verbindungen sind leicht zu kompromittieren, so dass Unbefugte mit erfolgreich gehackten Nutzerprofilen freie Hand im Firmennetz hätten.
Insider-Zugriffe schützen
Wie sieht es im umgekehrten Fall mit internen Zugriffen aus? IT-Abteilungen haben die Aufgabe, auch die Aktivitäten von eigenen Mitarbeitern oder Anwendern wie Freelancer oder Vertragspartner vor Ort abzusichern, ohne dabei die Datenschutzanforderungen der Betriebsräte zu umgehen. Der Bomgar-Sicherheitsreport belegt, dass nur 41 Prozent der Sicherheitsexperten den eigenen Mitarbeitern mit privilegierten Zugriffsrechten vollständig vertrauen. Zwar sorgt sich die Mehrheit nicht wegen böswilliger Insider-Angriffe, aber es gibt berechtigte Sorgen, dass Datenschutzregeln unbeabsichtigt verletzt werden oder aber Administratorrechte und privilegierte Zugangsdaten in die Hände von Cyberkriminellen gelangen könnten. Ergo müssen IT-Verantwortliche die erforderliche Visibilität und die technischen Vorkehrungen zur Steuerung, Kontrolle und Protokollierung der Insideraktivitäten schaffen.
Keine gemeinsamen Passwörter
Ein Haustürschlüssel für ein ganzes Wohngebiet? Undenkbar. Im IT-Verbund ist es indes häufiger anzutreffen, dass mehrere Personen einen gemeinsamen Passwortschlüssel für den Zutritt zu sensiblen Datenbanken haben. Im professionellen Umfeld empfiehlt sich, dass autorisierte Anwender Zugriffsmöglichkeiten für Server und IT-Systeme erhalten, ohne deren Passwörter zu kennen. Dabei werden alle Passwörter verschlüsselt vorgehalten und bei Bedarf durch Credential-Injection-Technologie eingespeist. Im Grunde ist es ein einfacher Schritt, nicht das gleiche Passwort und den gleichen Benutzernamen für alle Administratoren zu verwenden, dennoch sparen sich viele Unternehmen diesen vermeintlichen Aufwand.
Rotation der Zugangsdaten
Sicherheitsverantwortliche und IT-Administratoren setzen deshalb professionelle Passwortmanagementlösungen ein, um die Kontrolle über privilegierte Anmeldedaten zu erhalten, Passwörter sicher zu verwalten und gemeinsam genutzte Konten zu schützen. Jeder Nutzer mit privilegierten Zugriffsrechten verfügt dann über individuelle Zugangsdaten, damit sich alle durchgeführten Konfigurationen auch den jeweiligen Administratoren zuordnen lassen. Noch sicherer ist es, wenn die Kennwörter regelmäßig rotiert oder sogar nur einmal verwendet werden — Enterprise-Passwortmanager automatisieren diesen Prozess.
Sichere Service-Accounts
Service-Accounts bieten oft jahrelangen Zugriff auf kritische Geschäftssysteme, und Hackeraktivitäten werden erst spät erkannt. Die Abwehr solcher Bedrohungen ist Teil eines krisensicheren IT-Konzepts zur Aufrechterhaltung aller Geschäftsaktivitäten. Eine optimierte Verfügbarkeit der Servicekonten sorgt für einen kontinuierlichen Geschäftsbetrieb, der auch das Neueinrichten oder Zurücksetzen kritischer Servicekonten erlaubt.
App-to-App-Sicherheit
Den Verteidigungsring für privilegierte Zugangsdaten kann man von den Konten bis hin zu geschäftlichen Anwendungen ziehen. Fest kodierte Passwörter werden aus Applikationen und Skripten entfernt, um Zugangsdaten von Applikation zu Applikation ohne manuelles Eingreifen sicher zu übertragen. IT-Verantwortliche eliminieren hart codierte Passwörter aus Anwendungen und Skripten, damit Sie den automatischen Austausch von Zugangsdaten zwischen Anwendungen im Griff behalten.
Angriffe von außen und von innen. Der Schutz gegen Attacken von außen und von innen, die Vermeidung unsicherer Passwortpraktiken sowie die Verbesserung des Sicherheitsniveaus im Unternehmen insgesamt sind zentrale Geschäftsziele. Sicherheitsschulungen und firmenspezifische Vorgaben für Kennwörter werden aber nicht immer konsequent befolgt. Schwache oder gemeinsam geteilte Passwörter unter privilegierten Nutzern verhindern eine individuelle Nachvollziehbarkeit von Administratorarbeiten.
Die oben skizzierten Schritte zeigen einen Weg auf, wie die Kommunikation mit Drittanbietern geschützt und privilegierte Zugriffskonten interner Mitarbeiter gegen Angriffe gesichert werden. Denn zur Erreichung der firmenspezifischen Geschäftsziele ist der Schutz von Zugriffs- und Übertragungswegen genauso wichtig wie die Absicherung der Zugangsdaten selbst. Die komplexe Cyber-Bedrohungslage erfordert eine IT-Strategie, die Sicherheitsmaßnahmen und geschäftliche Produktivität im Sinne größtmöglichen Unternehmenserfolges vernünftig ausbalanciert.
Elmar Albinger,
Sales Director,
Bomgar
www.bomgar.com/de
Illustrationen: © Vidoslava/shutterstock.com
Microsoft-Admin-Rechte sind für Sicherheitslecks verantwortlich
IT-Sicherheitsinitiativen müssen Privileged Account Security beinhalten
IT-Security-Defizite: 70 Prozent der Administratoren bewerten eigene Windows-Umgebung als unsicher
Unternehmen ändern Sicherheitsstrategie nach einer Cyberattacke nicht
»Defense-in-Depth«-Abwehrmechanismen: Bomgar übernimmt Lieberman Software