Leichtsinnige privilegierte User beschenken Cyber-Kriminellen (nicht nur) zu Weihnachten

In der Zeit zwischen Weihnachten und Silvester besteht ein deutlich höheres Risiko für Datenverluste und Verstöße gegen IT-Sicherheitsregeln. Das ergab eine Befragung von IT-Nutzern mit erweiterten Zugriffsrechten [1]. Dies ist auf eine Kombination von zwei Faktoren zurückzuführen: ein leichtsinniges oder gar unverantwortliches Verhalten von Nutzern in Verbindung mit einer unzureichenden Absicherung der Firmennetzwerke.

 

Die Weihnachtsferien stehen vor der Tür. Doch an die 70 Prozent der Mitarbeiter von Unternehmen und Organisationen mit erweiterten IT-Zugriffsrechten (Privileged User) werden sich auch in dieser Zeit in das Firmennetzwerk einloggen oder ihre E-Mails bearbeiten. Rund 39 Prozent von ihnen werden das sogar mehrere Male am Tag tun, um ihre elektronischen Nachrichten zu lesen. Unter dem Aspekt IT-Sicherheit ist dabei folgender Punkt bedenklich: Gut 72 Prozent der Befragten räumten ein, dass sie dazu eigene Endgeräte, die von Freunden oder Verwandten oder öffentlich zugängliche Systeme nutzen, beispielsweise PCs in einem Hotel. Allerdings kommen nur in 38 Prozent der Fälle erweiterte Authentifizierungsverfahren zum Zuge, wenn privilegierte IT-Nutzer Endgeräte einsetzen, die nicht für den Zugriff auf das Corporate Network freigegeben wurden. Dies stellt ein IT-Sicherheitsrisiko dar.
grafik balabit usage of public devices

Ein weiteres Resultat der Studie: Etliche privilegierte IT-Nutzer mit erweiterten Zugriffsrechten umgehen in der Urlaubszeit grundlegende Sicherheitsvorkehrungen. So räumten 14 Prozent der befragten IT-Profis ein, dass sie persönliche Account-Daten, also Log-in-Namen und Passwörter, Kollegen mitteilen. Ebenfalls nicht mit grundlegenden Regeln des Passwort-Schutzes vereinbar ist, dass Passwörter per Telefon an einen Kollegen weitergegeben werden. Der Hintergrund dieser gefährlichen Praxis ist, dass IT-Fachleute sicherstellen wollen, dass während ihrer Abwesenheit andere Mitarbeiter wichtige Aufgaben durchführen können.

Mehr als ein Drittel (35 Prozent) der befragten IT-Experten gab an, dass sie ihre Passwörter nicht umgehend ändern, nachdem sie diese an eine andere Person weitergegeben haben. Dies ist offenbar darauf zurückzuführen, dass die betreffenden Mitarbeiter den entsprechenden Kollegen ein hohes Maß an Vertrauen entgegenbringen. In 20 Prozent der Fälle spielen solche persönlichen Beziehungen eine entscheidende Rolle.

grafik balabit change of password

Besorgniserregende Nachlässigkeiten

»Viele Beschäftigte nutzen die ruhigere Zeit zwischen Weihnachten und Neujahr, um liegengebliebene Aufgaben abzuschließen. Außerdem müssen viele von ihnen auch dann regelmäßig ihre E-Mails abrufen«, erklärt Zoltán Györkő, CEO von BalaBit. »Allerdings belegt unsere Studie, dass gerade in dieser Zeit besorgniserregende Nachlässigkeiten beim Schutz persönlicher Informationen auftreten.« Gerade im Urlaub oder zu Hause seien etliche IT-User mit privilegierten Nutzungsrechten versucht, geschäftliche Aufgaben auf möglichst einfache Weise zu erfüllen. Dies gehe oft zu Lasten der Sicherheit, so Györkő.

grafik balabit connection during holidays

»Selbstverständlich müssen Führungskräfte die Möglichkeit haben, auch dann ihren beruflichen Verpflichtungen nachzukommen, wenn sie nicht im Büro sind«, ergänzt der CEO des IT-Sicherheitsspezialisten. »Aber Unternehmen und Organisationen sollten ihnen die Möglichkeit geben, dies auf eine sichere Weise zu tun, sodass die Integrität sensibler Unternehmensdaten jederzeit sichergestellt ist.«

Fünf Tipps für den Schutz von Firmennetzwerken während der Urlaubszeit

Die Verwendung privater Endgeräte wie Smartphones, Notebooks, Tablets oder PCs im Home Office (Bring Your Own Device, BYOD) hilft Beschäftigten dabei, ihre Aufgaben auch dann zu erfüllen, wenn sie nicht in der Firma sind. Das kann sich positiv auf die Effizienz von Geschäftsprozessen auswirken. Doch die IT-Sicherheitsfachleute eines Unternehmens sollten diese Mitarbeiter dabei unterstützen, dies auf sichere Weise zu tun. Das erfordert nach Einschätzung von BalaBit folgende Maßnahmen:

  1. IT-Regelwerke (Policies) einführen und umsetzen, die den Austausch von Nutzernamen und Passwörtern unterbinden: Selbst dann, wenn ein Nutzer ein Passwort kurz nach der Weitergabe ändert, kann die Sicherheit des Unternehmensnetzes bereits kompromittiert worden sein.
  2. Vorkehrungen für den Fall treffen, dass in Abwesenheit eines privilegierten Benutzers alle Aufgaben weiterhin erledigt werden können: Eine Möglichkeit besteht darin, dem stellvertretenden Mitarbeiter temporäre Zugriffsrechte zu gewähren. Zudem kann die IT-Abteilung einen »Credential Store« im Firmennetzwerk einrichten. Eine solche Lösung ist eine sichere Methode, Zugangsdaten wie Passwörter, Private Keys oder Zertifikate für gemeinsam genutzte Accounts zu hinterlegen, die für den Zugang zu bestimmten Systemen erforderlich sind. Der Nutzer hat in dem Fall keinen direkten Zugriff auf die Zugangsdaten.
  3. Sicherstellen, dass die Regelwerke Mitarbeiter dabei unterstützen, ihre Aufgaben auf sichere Weise zu erfüllen: Sicherheitsrelevante Vorfälle im Vorfeld zu verhindern, erfordert einen deutlich geringeren Aufwand, als Geschäftsrisiken und Reputationsverluste nach einem Datenleck oder Sicherheitsproblem zu beseitigen.
  4. Sichere Remote-Access-Techniken und Authentifizierungsverfahren einsetzen: Wenn Nutzer von einem Endgerät aus auf das Firmennetz zugreifen wollen, sollten sie das nur über sichere Remote-Access-Verbindungen aus tun, etwa auf Basis von SSL (Secure Sockets Layer) und VPN (Virtual Private Networks). Außerdem ist eine erweiterte Authentifizierung des Nutzers erforderlich.
  5. Monitoring von Nutzeraktivitäten in Echtzeit: Die Aktionen von IT-Usern mit erweiterten Zugriffsrechten sollten in Echtzeit erfasst werden, beispielsweise mithilfe von Lösungen wie der Shell Control Box von BalaBit. Wenn ein solches System verdächtige Vorgänge im Netzwerk bemerkt, muss es in der Lage sein, Alarmmeldungen an IT-Sicherheitsexperten des Unternehmens zu übermitteln und Sitzungen (Sessions) abzubrechen. Ein Monitoring trägt dazu bei, Datenverluste zu verhindern, indem es ungewöhnliche Aktivitäten von privilegierten Nutzern identifiziert. Im Vergleich zu anderen Ansätzen ist es in diesem Fall nicht erforderlich, zahllose Kontrollebenen zu implementieren.

 


[1] Studie von BalaBit, einem IT-Sicherheitsspezialisten in den Bereichen Log-Management und fortschrittliche Monitoring-Technologien. Befragt wurden 269 IT-User mit erweiterten Rechten. Dazu zählten IT-Sicherheitsberater, CEOs, Chief Information Security Officers (CISOs), Fachleute für den IT-Betrieb, Systemverwalter und weitere IT-Spezialisten.