Schutz von administrativen Benutzerkonten
Privilegierte Zugriffe managen
Privilegierte Benutzerkonten rücken stärker in den Mittelpunkt, damit die IT die Ressourcen im RZ besser schützen kann.Noch nutzen mehrere Administratoren häufig gemeinsame Zugangsdaten mit allen Zugriffsrechten für Server, Switches und Router. Wichtig im Sinne einer wirksamen IT-Sicherheits-Policy ist indes, die Admin-Accounts zentral zu verwalten und Zugriffe individuell zuzuordnen.
Viele Sicherheitsverstöße und Datenschutzverletzungen resultieren aus dem Missbrauch privilegierter Benutzerkonten. IT-Administratoren und Support-Mitarbeiter sowie womöglich sogar externe Lieferanten und Dienstleister haben Zugriff auf die IT-Infrastruktur im Datacenter. Bei Missbrauch dieser Privilegien lassen sich klassische Schutzmaßnahmen durch Firewall, Antiviren-Scanner oder Web-Filtertechnik elegant umgehen, wie mehrere öffentlich bekannte Angriffe auf die IT in letzter Zeit schmerzhaft vor Augen geführt haben.
Daten in den falschen Händen
Im Fokus von IAM- (Identity- und Access-Management) und Sicherheitsverantwortlichen steht deshalb die Aufgabe, wie sie privilegierte Benutzerkonten und den Zugriff darauf sichern, verwalten und überwachen können. Dies ist die Kernaussage einer aktuellen Gartner-Marktstudie ("Gartner Market Guide for Privileged Access Management", Mai 2015). Den Marktanalysten zufolge spielen bei den Überlegungen auf der Unternehmensseite mehrere Faktoren eine entschei-dende Rolle.
Zum einen ist durch den Missbrauch von administrativen Benutzerkonten das Risiko durch Insider-Bedrohungen gestiegen. Zum anderen gibt es mittlerweile Malware-Programme, die gezielt privilegierte Benutzer-Accounts attackieren. Besonderes Augenmerkt liegt dabei auf der sicherheitskonformen Zugriffskontrolle von Dritten wie Herstellern, Vertragspartnern oder IT-Dienstleistern (siehe Kasten). Gesetzliche und branchentypische Compliance-Vorschriften sowie Überlegungen zur Betriebseffizienz sind weitere Gründe, dass sich Sicherheitsverantwortliche verstärkt um die bestmögliche Absicherung von Administratorkonten kümmern.
Die wirksame Absicherung von privilegierten Benutzerkonten basiert im Wesentlichen auf drei Maßnahmen - Zentralisierung, Zuordnung und Verschlüsselung. Eine zentrale Zusammenfassung der Admin-Accounts schafft die Voraussetzungen, eine verbindliche Sicherheits-Policy einzurichten und durchzusetzen. Die zentrale Kontenerfassung ist eine komplexe Herausforderung, denn neben Systemadministrator-Konten sind oft weitere Accounts mit privilegierten Zugangsrechten im Einsatz, die in der Regel nicht dokumentiert sind. Dies können zum Beispiel applikationsbezogene Benutzerkonten oder Accounts für Dienstleister und Geschäftsanwender sein.
Zentralisierung, Zuordnung und Verschlüsselung
Zur Risikominimierung lassen sich Gruppenrichtlinien für unterschiedliche Anwendungsfälle festlegen. Je nach Aufgabenbereich besitzen Benutzer und Administratoren nur noch solche Berechtigungen, die sie zur Erfüllung ihrer Aufgaben benötigen. Auch Passwortrichtlinien beispielsweise für die Komplexität eines Kennworts lassen sich auf diese Weise durchsetzen. Für das zentrale Benutzer-Management stehen unterschiedliche Authentifizierungs- und Verzeichnisdienste wie RADIUS-Server (Remote Authentication Dial-in User Service), TACACS (Terminal Access Controller Access Control System) oder auch das Active Directory zur Verfügung.
In vielen Organisationen verwenden administrative oder technische Benutzerkonten oft mehrere Benutzer gemeinsam. Diese Ausgangssituation verführt jedoch dazu, dass Passwörter "flüchtig" werden - und sei es nur bei Personalwechsel. Ein weiterer Nachteil ist, dass sich durchgeführte Konfigurationsänderungen nicht zuordnen lassen. Besser ist es daher, für jeden Nutzer individuelle Zugangsdaten (und individuelle Zugangsberechtigungen) zu vergeben. Die persönliche Zuordnung schafft zudem die Voraussetzung dafür, eine tatsächlich sinnvolle Protokollierung und Auditierung aller Vorgänge im Rechenzentrum durchzuführen.
Starke Kryptographie ist ein weiterer Baustein bei der Absicherung gegen Angriffe. Liegen alle auf Servern und in Datenbanken gelagerten Daten nur in verschlüsselter Form vor, können unbefugte Augen die Datensätze in keinem Fall nutzen. Über Multifaktor-Authentifizierung erhalten Administratoren neben Einwahldaten einen einmalig gültigen Verifikationscode. Verschlüsselte Kommunikation sichert auch die Übertragung von Datenpaketen in gemeinsam genutzten Netzwerk-strukturen.
Privileged-Access-Management
Administrative oder technische Benutzerkonten steuern den Zugriff auf geschäftskritische IT-Infrastruktur, IT-Systeme und -Applikationen. Ohne eine wirksame Kontrolle, Überwachung und Verwaltung der Zugriffsrechte und Aktivitäten steigt indes das Risiko durch Cyberattacken auf Rechenzentren. Zentrale Verwaltung, individuelle Zuordnung und Verschlüsselung sind die wichtigsten Maßnahmen zur Vermeidung solcher Angriffe. Die veränderte Bedrohungslage durch Sicherheitsrisiken von innen steigert in jedem Fall die Nachfrage nach Techniken für Privileged-Access-Management (PAM). Diese helfen Organisationen nicht nur bei der Absicherung von privilegierten Benutzerkonten und Zugangsdaten, sondern ermöglichen auch eine granulare Kontrolle der Systemzugriffe und Benutzeraktivitäten.
Lesen Sie mehr zum Thema
