Das unterschätzte Sicherheitsrisiko
- Written by Jochen Koehler
- font size decrease font size increase font size
Immer mehr Unternehmen sind heute von Datenmissbrauch und -diebstahl betroffen. Deshalb werden gegenwärtig auch verstärkt umfassende Sicherheitsstrategien umgesetzt. Dabei wird oft vergessen, dass aktuelle Insider- und Cyber-Angriffe eines deutlich gezeigt haben: Privilegierte Benutzerkonten sind das Einfallstor schlechthin. Ob administrative Accounts oder in Applikationen eingebettete Passwörter – ohne entsprechende Sicherungsmaßnahmen sind den Angreifern hier Tür und Tor geöffnet.
Gleichgültig ob IT-Attacken durch Insider oder Externe erfolgen, ob sie politisch oder kommerziell motiviert sind oder ob der Diebstahl von vertraulichen Informationen oder geistigem Eigentum das Ziel ist: die Angreifer nutzen meistens die gleiche Schwachstelle im Unternehmen: die privilegierten Accounts. Sie stellen ein erhebliches Sicherheitsrisiko dar, weil über sie ein uneingeschränkter Zugriff auf unternehmenskritische Datenbestände möglich ist.
Noch vor ein paar Jahren haben sich vor allem Unternehmen aus Branchen mit strikten Compliance-Vorgaben wie Finanzdienstleister mit Fragen zum Management von privilegierten Accounts beschäftigt. Heute erkennen aber immer mehr Unternehmen, dass privilegierte Accounts eine Sicherheitslücke darstellen und dass eine stringente Passwort-Verwaltung nicht nur aus Compliance-Gründen, sondern vor allem unter Sicherheitsaspekten geboten ist. Zusätzlich sensibilisiert wurden die Unternehmen durch die zahlreichen fortschrittlichen, zielgerichteten Web-Attacken der jüngsten Vergangenheit. Bei diesen so genannten Advanced Persistent Threats (APTs) wurden ebenfalls fast ausschließlich privilegierte Accounts als Einfallstor genutzt.
Angriffsziel von Insidern
Die missbräuchliche Nutzung privilegierter Accounts ist dabei aber nicht nur ein Thema im Hinblick auf externe Angriffe. Ein Beispiel für einen Insider-Datendiebstahl hat Edward Snowden im Jahr 2013 geliefert. In vielen Unternehmen ist es üblich, dass Systemadministratoren einen uneingeschränkten Zugriff auf Daten, Applikationen und Server haben, ohne dass es eine Funktionstrennung (Segregation of Duties) gibt. Das war auch der Fall bei Snowden, der als Systemingenieur und -administrator fungierte und damit die Möglichkeit hatte, auf hochvertrauliche Informationen zuzugreifen. Dabei wurde ein für die Sicherheit wesentlicher Aspekt vernachlässigt: Es ist essenziell, dass Mitarbeiter – und das betrifft natürlich auch Systemadministratoren – nur Zugang zu Daten haben, die sie für ihre tägliche Arbeit benötigen. Zudem muss die Option vorhanden sein, dass auch diese Zugriffsmöglichkeit in Echtzeit entzogen werden kann, falls zum Beispiel verdächtige Aktivitäten bei der Account-Nutzung registriert werden.
Unterschätzte Sicherheitslücke
Dass es bei der Sicherung privilegierter Accounts nicht nur um Administratorkonten geht, zeigt auch ein Cyber-Angriff in Südkorea im Jahr 2013, bei dem die Rechnernetze von drei großen Banken und den zwei größten Fernsehsendern des Landes lahmgelegt wurden. Betroffen waren unter anderem auch alle Geldautomaten der Banken. Eine Analyse der Attacke ergab, dass die Schadsoftware sowohl Windows- als auch Linux-Rechner angriff. Die Ausbreitung von Windows auf Linux erforderte einen privilegierten Zugriff, den die Angreifer aber relativ einfach erhielten, da in einer Konfigurationsdatei einer Windows-Applikation die Zugangsdaten für die Linux-Umgebung im Klartext gespeichert waren.
Dieser Angriff weist auf eine bekannte, aber oft unterschätzte Sicherheitslücke hin, die gerade in den Application Accounts liegt, das heißt in den in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörtern. Im Unterschied zu privilegierten administrativen Accounts, die von Personen genutzt werden, greifen Applikationen automatisch auf Backend-Systeme zu, die eine Authentifizierung erfordern. Die Application Accounts werden zum Beispiel für den Datenbank-Zugriff einer Anwendung benötigt. Die Problematik dabei ist, dass die Passwörter meistens im Klartext vorliegen und nie geändert werden. Das heißt auch: Diese Passwörter sind in der Regel zahlreichen Anwendern wie Systemadministratoren, Applikationsentwicklern oder Testingenieuren zugänglich – und können natürlich auch problemlos von Angreifern genutzt werden.
Von der Bestandsaufnahme zur Sicherung
Vor der Umsetzung einer Sicherheitsstrategie und Implementierung einer adäquaten Lösung muss ein Unternehmen zunächst eine Bestandsaufnahme im Bereich der privilegierten Accounts machen. Schon an diesem Punkt liegt einiges im Argen. Untersuchungen von CyberArk haben ergeben, dass fast 40 Prozent der Unternehmen nicht wissen, wie sie privilegierte Accounts ermitteln können. Bevor sie allerdings entsprechend gesichert werden können, müssen sie natürlich zunächst identifiziert und analysiert werden. Genau für diese Anforderung hat CyberArk auch sein Audit-Tool DNA (Discovery & Audit) entwickelt, eine Software-Lösung, mit der Unternehmen einen schnellen Überblick über Anzahl, Ort und Status von privilegierten Benutzerkonten erhalten.
Beim Einsatz einer Lösung zur Sicherung der privilegierten Accounts stehen Unternehmen generell mehrere Möglichkeiten offen. Sie können auf eine Hardware-Appliance, eine softwarebasierte Virtual Appliance oder eine reine Software-Anwendung setzen. Bei der Entscheidung für eine Lösung sollte man nur darauf achten, dass sie neben einer regelmäßigen Änderung der Server-, Datenbank- und Netzwerk-Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit aller Aktivitäten bietet. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, auf welche er zugreift und was er mit diesen Informationen macht.
Konkret muss eine Sicherheitslösung im Bereich der privilegierten Accounts dreierlei bieten: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Zunächst muss die Anwendung eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Unternehmenssysteme enthalten. Zudem muss die Lösung eine vollständige Überwachung der Nutzung privilegierter Accounts gewährleisten. Nur dadurch können Unternehmen irreguläre oder gefährliche Aktivitäten identifizieren. Aber auch verdächtige Aktionen können so erkannt werden: beispielsweise eine Account-Nutzung zu eher unüblichen Zeiten. Nicht zuletzt muss die Lösung eine sofortige Reaktion bei Sicherheitsvorfällen beziehungsweise Verdachtsmomenten ermöglichen – sei es durch den Entzug von privilegierten Zugriffsberechtigungen oder durch das Schließen einer identifizierten Sicherheitslücke.
Insgesamt betrachtet hat sich gezeigt, dass administrative Zugänge in vielen Unternehmen heute eine zentrale Schwachstelle in der IT sind und dass das Gefahrenpotenzial steigt. In letzter Zeit wurden zunehmend privilegierte Accounts als Einfallstor für Datensabotage oder -diebstahl genutzt, nicht nur bei gezielten Cyber-, sondern auch bei Insider-Attacken. Das macht es zwingend erforderlich, eine Lösung im Bereich Privileged Account Security zu implementieren. Mit einer solchen Lösung kann jede Art von privilegiertem Zugriff auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert werden. Superuser-Accounts werden dabei vollautomatisch verwaltet, in Anwendungscodes eingebettete Klartext-Passwörter gänzlich eliminiert und Admin-Sessions vollständig protokolliert.
Über den Autor
Jochen Koehler ist Regional Director DACH bei CyberArk in Heilbronn.