Identitätsmanagement: Wie viel Zugriffsrechte sind nötig?

Least Privilege bedeutet, jedem nur die Zugriffsrechte zu geben, die er wirklich braucht. Durch den PRISM-Skandal ist das Thema brisanter denn je geworden. [...]

Stellen Sie sich vor, Sie fahren drei Wochen in den Urlaub. Haustiere, die gefüttert werden müssten, haben sie keine, und die Zimmerpflanzen sind allesamt aus Plastik, seit die Echten wegen schlechter Pflege eingegangen sind. Nur die Post, die müsste jemand aus dem Kasten holen, damit der nicht überläuft. Sie bitten ihren Nachbarn darum. Würden sie ihm in dieser Situation einen kompletten Schlüsselsatz samt Wohnungsschlüssel geben? Wohl kaum, warum auch? Selbst wenn das damit verbundene Risiko gering wäre: Es gibt einfach keinen Grund, es einzugehen. Der Nachbar braucht für den „Job“, den er erledigen soll, lediglich Zugang zum Briefkasten.
Das „Least Privilege“-Prinzip funktioniert – übertragen auf IT-Systeme – exakt genauso. Es bedeutet, wie der Name sagt, jedem, der Zugang zu den Systemen eines Unternehmens haben muss, das kleinstmögliche Privileg einzuräumen. Will sagen: Er kann nur die Daten sehen, die er sehen muss, nicht mehr, aber auch nicht weniger. Wichtig ist das deshalb, weil sich dunkle Mächte und Kriminelle häufig gar nicht direkt Zugang zu IT-Infrastrukturen verschaffen. Statt dessen bedienen sie sich – bemerkt oder unbemerkt – derjenigen, die zu Recht Zugriff auf die Datenbestände haben.
Mehr als zwei Drittel der IT-Mitarbeiter in Führungspositionen gehen davon aus, dass die größte Bedrohung von internen Mitarbeitern oder von Externen der Partnerfirmen und Dienstleister ausgeht. Das stellte bereits im vergangenen Jahr, also lange vor dem PRISM-Skandal, eine breit angelegte Studie des Sicherheitsunternehmens Cyber Ark fest. Risikoreich sind demnach vor allem privilegierte Nutzerkonten von Administratoren.
Obwohl sie das Problem erkannt haben, steuern viele Unternehmen nicht gegen: 43 Prozent der im Rahmen der Studie Befragten gaben an, dass sie die Nutzung privilegierter Accounts nicht überwachen. Das könnte, ähnlich wie beim Rauchen, damit zusammenhängen, dass die meisten Menschen Gefahren intensiv verdrängen, so lange nichts schwerwiegendes passiert. So ist es vielleicht auch zu erklären, dass das Problem der Wirtschaftsspionage lange unterschätzt beziehungsweise einseitig betrachtet wurde. Seit Jahren gibt es Warnungen der deutschen Geheimdienste, aber erstens wurden sie gerade von mittelständischen Unternehmen nicht ernstgenommen, und zweitens war dabei immer nur von Russland und China die Rede. Von den amerikanischen Freunden sprach fast niemand.
VIELE PRIVILEGIEN BERGEN HOHES GEFAHRENPOTENZIAL
Nächstes Problem: Technische Schutzvorrichtungen wirken nur, wenn man sie auch benutzt. Diese Erfahrung machte in den zurückliegenden Wochen die Bundeskanzlerin. Sie benutzte offenbar neben ihrem eigenen, geschützten „Merkelphone“ auch andere Handys. Dabei geriet wohl in Vergessenheit, dass Verschlüsselung nur funktioniert, wenn sie auf beiden Seiten der Leitung eingesetzt wird.
Spätestens mit dem Auffliegen dieses Abhörfalls wurde dies allen nochmal deutlich vor Augen geführt, stellt Hans-Joachim Popp, CIO des Deutschen Zentrums für Luft- und Raumfahrt (DLR), fest.
In ähnlicher Weise gilt das umgekehrt auch für die Nutzung von Administrationsrechten: Immer wieder werden hochrangige Rechte auch für trivialste Aufgaben verwendet. Popp plädiert deshalb vor allem für eine konsequente Umsetzung des sogenannten Least-Privilege-Prinzips. „Hochrangige Rechte sind gefährlich. Wer sie besitzt, dem können Fehler unterlaufen, und dem können sie auch gestohlen werden. Und fast alle, die Zugriff auf Systeme haben, vergessen, mit welchen Rechten sie genau arbeiten.“ Der DLR-CIO empfiehlt, weitreichende Zugriffe nur dann zu ermöglichen, wenn es für einen speziellen Job unbedingt erforderlich ist, und anschließend sofort wieder andere Konten zu benutzen. Für High-Tech-Zugängen, die alles zerstören könnten, rät er, das Passwort nach jeder Nutzung zu ändern.
Schließlich ist jeder, der Admin-Rechte hat, ein lohnendes Angriffsziel, und je mehr Ziele es gibt, desto größer ist die Wahrscheinlichkeit, dass der Gegner einen Treffer landet. Angreifer arbeiten oft mit schlichten, aber sehr wirkungsvollen Tricks. Zum Beispiel mit dem Einschleusen von Schadsoftware, die Passwörter ausliest. Parallel dazu läuft ein kleines Programm ab, das den Webserver spürbar langsamer macht. Sobald der Admin diesen Fehler beheben will, schnappt die Falle zu …
Um das Verantwortungsgefühl zu stärken und um im Nachhinein immer zu wissen, wer genau angegriffen worden ist, rät Hans-Joachim Popp dazu, nie mehrere Personen das selbe Admin-Konto benutzen zu lassen. Was wer im System genau gemacht hat, muss immer nachvollziehbar sein. Beim DLR können die Zugriffsrechtes jedes Mitarbeiters überprüft und vom direkten Vorgesetzten auch wieder entzogen werden.
ALTE KONTEN ZUVERLÄSSIG LÖSCHEN
Wenn ein Angestellter ausscheidet, werden sämtlichen Zugänge zurückgenommen. Hans-Joachim Popp hält es für besonders wichtig, dass diese automatisch geschieht, auch wenn das zu skurrilen Situationen führen kann: „Bei uns ist es einmal passiert, dass ein Vorstand morgens eine Mail bekam, in der Stand, sein Konto sei abgelaufen. Der Grund war, dass die HR-Abteilung seine Vertragsverlängerung noch nicht ans System gemeldet hatte. Er war nicht glücklich darüber, aber eigentlich hat der Vorgang den Beweis geliefert, dass das Sicherheitssystem korrekt funktioniert.“
Automatisierung und Kontrolle sind deshalb so wichtig, weil aus Eigenmotivation der Beiteiligten in der Regel wenig passiert. Hans-Joachim Popp: „Für Admins sind hochrangige Rechte eine indirekte Anerkennung ihrer Arbeit. Außerdem spielt natürlich Bequemlichkeit eine große Rolle.“ Wie man diese Bequemlichkeit überwindet? Zum Beispiel indem man Präzedenz-Schadensfälle analysiert und wenn nötig auch den Vorstand einbezieht. Das schärft die Sensibilität und baut den notwendigen Druck auf.
JE WENIGER TORE DIE BURG HAT, DESTO BESSER
Bei Mitarbeitern von Partnerunternehmen und externen Dienstleistern sei eine entsprechende Policy nicht unbedingt leichter durchsetzbar als bei Internen. Popp: „Externe verteidigen ihre Zugangsrechte oft mit einer Form von unterschwelligem Boykott. Sie sagen zum Beispiel: Diese und jene Aufgabe können wir nicht durchführen, weil wir keinen Zugang hatten. Die Rechte habt ihr uns ja weggenommen.“ In solchen Fällen bliebe CIOs nichts anderes übrig, als sich mit Gegendruck gegen die Boykottversuche zu wehren.
Wie leicht man seine Zugangsdaten an einen Betrüger verlieren kann, das lernen auch Menschen, denen – wie auch immer – ein Windows-Laptop abhanden kommt. Findige Hacker können dann nämlich das Passwort herausbekommen. Besser also, wenn dieses Passwort nicht zugleich weitreichenden Zugriff auf das Firmennetzwerk ermöglicht.
Um wieder mit einem Bild zu enden: Stellen Sie sich vor, Sie haben eine Burg zu verteidigen und dafür nur begrenzte Manpower zur Verfügung. Dann ist es sicher hilfreich, wenn es so wenige und so kleine Tore wie möglich in der Burgmauer gibt, um die Sie sich kümmern müssen. Jeder, der Zugang zu ihren Systemen hat, stellt ein solches Tor dar. Und je umfangreicher die Zugangsrechte, desto größer ist es.
* Christoph Lixenfeld ist Redakteur der deutschen CIO.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*