Least-Privilege gilt als Best Practice in der IT-Security. Es senkt das Sicherheitsrisiko und sorgt für die Einhaltung von Compliance-Richtlinien. IAM-Tools automatisieren die Berechtigungsmanagement-Prozesse.
Das »Principle of Least-Privilege« (kurz: PoLP), was übersetzt »Prinzip der geringsten Privilegien« bedeutet, ist ein Begriff aus der IT-Security, der besagt, dass Mitarbeiterinnen und Mitarbeiter in Unternehmen nicht mehr Zugriffsrechte auf Dateien und Systeme haben sollten, als für ihre speziellen Arbeitsbereiche notwendig – und das zu jeder Zeit. Im Detail heißt das, dass Zugriffsrechte auch wieder entzogen werden müssen, sobald sie nicht mehr benötigt werden. Doch wie genau setzt man PoLP um? Was gilt es zu beachten? In der Praxis werden viele Unternehmen durch die mangelnde Verfügbarkeit von Zeit und Ressourcen bei der Implementierung von Least-Privilege vor eine große Hürde gestellt.
Was ist der Sinn von Least-Privilege? In unserer global vernetzen, digitalen Welt sind Daten – vor allem Kundendaten – ein heißbegehrtes Gut. Alle sammeln sie: von digitalen Unternehmen aus der Privatwirtschaft wie Facebook, Twitter und Co., Reiseportalen, Fitness-Tracking-Apps und Online-Shopping-Giganten, bis hin zu Supermarktketten, Versicherungen und Betrieben aus der kritischen Infrastruktur – jeder will sie haben, die Daten. Wer sie hat, kann diese nämlich zu Geld machen, sei es durch Verkauf an Dritte oder durch Werbeoptimierungen.
Doch nicht nur Kundendaten, auch betriebsinterne Daten, wie zum Beispiel Geschäfts- und Budgetpläne, technische Pläne, Quellcode und Mitarbeiterinformationen werden von Unternehmen gesammelt und lokal oder in der Cloud abgelegt. Für Hackerbanden, die bekanntlich auch gerne Daten sammeln (besser gesagt: stehlen), sind solche geballten Datenansammlungen sehr verführerisch. Umso mehr, wenn es ihnen durch eine schlecht umgesetzte Berechtigungsstruktur leicht gemacht wird, an diese Daten heranzukommen.
Genau hier kommt das Least-Privilege-Prinzip zum Einsatz. Denn trotz Firewall und Co. muss in der heutigen Zeit, wo 86 % der Unternehmen sogar schon zweimal Opfer eines Cyberangriffs geworden sind, davon ausgegangen werden, dass Angreifer es früher oder später auf jeden Fall ins Innere schaffen werden – sei es über Phishing oder weil sie als interne Bedrohung (Insider Threat) ohnehin schon an der Quelle sitzen [1]. Laut dem Verizon Data Breach Investigation Report von 2022 sind Innentäter für nahezu 20 % aller Sicherheitsvorfälle verantwortlich – dabei spielt es keine Rolle, ob der Vorfall absichtlich oder unabsichtlich ausgelöst wurde [2]. Auch ein versehentliches Löschen, Ändern oder Verschieben von sensiblen Daten ist ein Risiko, das auch durch eine strikt befolgte Berechtigungsvergabe unterbunden werden kann. Daher lautet das oberste Gebot, ein internes Weiterkommen so beschwerlich wie möglich zu gestalten – und hierbei spielt die Einschränkung von Zugriffsrechten für Mitarbeitende in Unternehmen eine zentrale Rolle, denn ein Angreifer kann nur jene Daten abrufen und stehlen, auf die auch das gekaperte Konto Zugriff hat.
Privilege Creep: Schleichende Gefahr. Eines der gängigsten Probleme im Zusammenhang mit der Nichtumsetzung des Least-Privilege-Konzepts ist, wenn Mitarbeitende über die Zeit mehr und mehr Berechtigungen ansammeln, als sie haben sollten. Dieses Phänomen ist so weit verbreitet, dass es sogar einen eigenen Namen hat: Privilege Creep. Die Berechtigungen »schleichen« sich förmlich ein.
Dies passiert zum Beispiel bei Abteilungswechseln oder Projektarbeit: Für ein Projekt bekommt ein Mitarbeiter oder eine Mitarbeiterin neue Berechtigungen zugeteilt, die bei Beendigung der Mitarbeit an dem Projekt nicht oder zu spät entzogen werden. Dieser Umstand ist unter anderem auf fehlende oder mangelhafte Berechtigungs-Workflows zurückzuführen. Admins und Dateneigentümer haben oft einfach nicht die Zeit, um Berechtigungen regelmäßig auf ihre Notwendigkeit zu prüfen und rechtzeitig zu entziehen.
Weitere Risiken in dem Zusammenhang sind:
- Unbefugter Zugriff: Wenn Benutzer mehr Berechtigungen haben, als sie benötigen, steigt das Risiko, dass unbefugte Personen Zugang zu sensiblen Informationen oder Systemen erhalten.
- Dies wiederum erhöht das Risiko von Datenlecks …
- … sowie der Verbreitung von Schadsoftware: Je mehr Berechtigungen das betroffene Benutzerkonto hat, desto mehr Daten kann die Malware beschädigen.
- Steigende Kosten: Datenlecks, Ransomware-Angriffe und andere Datenvorfälle sind enorm teuer. In ihrem Cost of Data Breach Report von 2022 beziffert die Firma IBM die durchschnittlichen Kosten eines Datenvorfalls für Unternehmen mit umgerechnet etwa 3,96 Millionen Euro [3].
Least-Privilege umsetzen: Das ist zu tun. Folgende Schritte können Sie unternehmen, um das Prinzip der geringsten Privilegien in Ihrer Firmenstruktur umzusetzen:
- Berechtigungen ausmisten: es führt kein Weg daran vorbei, Konten mit zu vielen Berechtigungen ausfindig zu machen und ihnen alle Rechte zu entziehen, die sie nicht mehr benötigen.
- Rollenbasierte Zugriffskontrolle: Definieren Sie Rollen und Aufgaben in Ihrem Unternehmen und teilen Sie diesen Rollen bestimmte Berechtigungen zu, um so die Berechtigungsstruktur in Ihrem Unternehmen zu vereinfachen und übersichtlicher zu gestalten. Dies kann auch über Berechtigungsgruppen in Active Directory umgesetzt werden [4].
- Richtlinien definieren: Legen Sie Richtlinien fest, die den Zugriff auf Systeme und Daten steuern. Diese Richtlinien sollten die Mindestberechtigungen, die für jede Rolle erforderlich sind, sowie die Prozesse zur Beantragung zusätzlicher Berechtigungen definieren.
- Monitoring: Überwachen Sie die Vergabe von Berechtigungen und überprüfen sie regelmäßig, welche Berechtigungen obsolet sind. Dies kann im Zuge einer regelmäßig durchgeführten Rezertifizierung geschehen [5]. Überprüfen Sie ebenso regelmäßig die Richtlinien und passen Sie diese an, wenn sich Rollen oder Aufgaben ändern.
- Mitarbeiterschulung: Sensibilisieren Sie Ihre Mitarbeiter zum Thema. Erklären Sie, wie sie mit Daten und Zugriffsrechten umgehen sollen und dass der Schutz von Systemen und Daten von allen im Unternehmen mitgetragen werden muss.
Fazit. Die Umsetzung von Least-Privilege gilt mittlerweile als Best Practice in der IT-Security, da es einerseits signifikant zur Senkung des Sicherheitsrisikos beiträgt, aber auch mitunter fester Bestandteil von Compliance-Richtlinien wie der DSGVO ist, welchen die meisten Unternehmen unterliegen. Manuell ist jedoch das »Ausmisten« von Berechtigungen und die Zuteilung von Rollen bei historisch gewachsenen Berechtigungs- und Ordnerstrukturen in mittleren und großen Unternehmen kaum machbar, weswegen diese auf externe Lösungen zur Workflow-Optimierung angewiesen sind. Abhilfe können hier so genannte IAM-Tools bringen, die speziell für die Automatisierung von Berechtigungsmanagement-Prozessen konzipiert wurden [6].
Helmut Semmelmayer ist VP Revenue Operations bei dem IAM-Entwickler tenfold und hilft als IT-Sicherheitsexperte Firmen dabei, Zugriffsrechte sicher und effizient zu verwalten.
[1] https://ap-verlag.de/einmal-ist-keinmal-mehrheit-wird-wiederholt-opfer-von-ransomware-angriffen/80414/
[2] https://www.verizon.com/business/resources/reports/dbir/2022/ results-and-analysis-intro/
[3] https://www.ibm.com/downloads/cas/3R8N1DZJ
[4] https://www.youtube.com/watch?v=LywlHL3zcjc
[5] https://www.computerweekly.com/de/definition/Rezertifizierung-von-Zugriffsrechten
[6] https://www.tenfold-security.com/identity-und-access-management/