Identitätsmanagement: Wie viel Zugriffsrechte sind nötig?

Least Privilege bedeutet, jedem nur die Zugriffsrechte zu geben, die er wirklich braucht. Durch den PRISM-Skandal ist das Thema brisanter denn je geworden. [...]

Stellen Sie sich vor, Sie fahren drei Wochen in den Urlaub. Haustiere, die gefüttert werden müssten, haben sie keine, und die Zimmerpflanzen sind allesamt aus Plastik, seit die Echten wegen schlechter Pflege eingegangen sind. Nur die Post, die müsste jemand aus dem Kasten holen, damit der nicht überläuft. Sie bitten ihren Nachbarn darum. Würden sie ihm in dieser Situation einen kompletten Schlüsselsatz samt Wohnungsschlüssel geben? Wohl kaum, warum auch? Selbst wenn das damit verbundene Risiko gering wäre: Es gibt einfach keinen Grund, es einzugehen. Der Nachbar braucht für den „Job“, den er erledigen soll, lediglich Zugang zum Briefkasten.
Das „Least Privilege“-Prinzip funktioniert – übertragen auf IT-Systeme – exakt genauso. Es bedeutet, wie der Name sagt, jedem, der Zugang zu den Systemen eines Unternehmens haben muss, das kleinstmögliche Privileg einzuräumen. Will sagen: Er kann nur die Daten sehen, die er sehen muss, nicht mehr, aber auch nicht weniger. Wichtig ist das deshalb, weil sich dunkle Mächte und Kriminelle häufig gar nicht direkt Zugang zu IT-Infrastrukturen verschaffen. Statt dessen bedienen sie sich – bemerkt oder unbemerkt – derjenigen, die zu Recht Zugriff auf die Datenbestände haben.
Mehr als zwei Drittel der IT-Mitarbeiter in Führungspositionen gehen davon aus, dass die größte Bedrohung von internen Mitarbeitern oder von Externen der Partnerfirmen und Dienstleister ausgeht. Das stellte bereits im vergangenen Jahr, also lange vor dem PRISM-Skandal, eine breit angelegte Studie des Sicherheitsunternehmens Cyber Ark fest. Risikoreich sind demnach vor allem privilegierte Nutzerkonten von Administratoren.
Obwohl sie das Problem erkannt haben, steuern viele Unternehmen nicht gegen: 43 Prozent der im Rahmen der Studie Befragten gaben an, dass sie die Nutzung privilegierter Accounts nicht überwachen. Das könnte, ähnlich wie beim Rauchen, damit zusammenhängen, dass die meisten Menschen Gefahren intensiv verdrängen, so lange nichts schwerwiegendes passiert. So ist es vielleicht auch zu erklären, dass das Problem der Wirtschaftsspionage lange unterschätzt beziehungsweise einseitig betrachtet wurde. Seit Jahren gibt es Warnungen der deutschen Geheimdienste, aber erstens wurden sie gerade von mittelständischen Unternehmen nicht ernstgenommen, und zweitens war dabei immer nur von Russland und China die Rede. Von den amerikanischen Freunden sprach fast niemand.
VIELE PRIVILEGIEN BERGEN HOHES GEFAHRENPOTENZIAL
Nächstes Problem: Technische Schutzvorrichtungen wirken nur, wenn man sie auch benutzt. Diese Erfahrung machte in den zurückliegenden Wochen die Bundeskanzlerin. Sie benutzte offenbar neben ihrem eigenen, geschützten „Merkelphone“ auch andere Handys. Dabei geriet wohl in Vergessenheit, dass Verschlüsselung nur funktioniert, wenn sie auf beiden Seiten der Leitung eingesetzt wird.
Spätestens mit dem Auffliegen dieses Abhörfalls wurde dies allen nochmal deutlich vor Augen geführt, stellt Hans-Joachim Popp, CIO des Deutschen Zentrums für Luft- und Raumfahrt (DLR), fest.
In ähnlicher Weise gilt das umgekehrt auch für die Nutzung von Administrationsrechten: Immer wieder werden hochrangige Rechte auch für trivialste Aufgaben verwendet. Popp plädiert deshalb vor allem für eine konsequente Umsetzung des sogenannten Least-Privilege-Prinzips. „Hochrangige Rechte sind gefährlich. Wer sie besitzt, dem können Fehler unterlaufen, und dem können sie auch gestohlen werden. Und fast alle, die Zugriff auf Systeme haben, vergessen, mit welchen Rechten sie genau arbeiten.“ Der DLR-CIO empfiehlt, weitreichende Zugriffe nur dann zu ermöglichen, wenn es für einen speziellen Job unbedingt erforderlich ist, und anschließend sofort wieder andere Konten zu benutzen. Für High-Tech-Zugängen, die alles zerstören könnten, rät er, das Passwort nach jeder Nutzung zu ändern.
Schließlich ist jeder, der Admin-Rechte hat, ein lohnendes Angriffsziel, und je mehr Ziele es gibt, desto größer ist die Wahrscheinlichkeit, dass der Gegner einen Treffer landet. Angreifer arbeiten oft mit schlichten, aber sehr wirkungsvollen Tricks. Zum Beispiel mit dem Einschleusen von Schadsoftware, die Passwörter ausliest. Parallel dazu läuft ein kleines Programm ab, das den Webserver spürbar langsamer macht. Sobald der Admin diesen Fehler beheben will, schnappt die Falle zu …
Um das Verantwortungsgefühl zu stärken und um im Nachhinein immer zu wissen, wer genau angegriffen worden ist, rät Hans-Joachim Popp dazu, nie mehrere Personen das selbe Admin-Konto benutzen zu lassen. Was wer im System genau gemacht hat, muss immer nachvollziehbar sein. Beim DLR können die Zugriffsrechtes jedes Mitarbeiters überprüft und vom direkten Vorgesetzten auch wieder entzogen werden.
ALTE KONTEN ZUVERLÄSSIG LÖSCHEN
Wenn ein Angestellter ausscheidet, werden sämtlichen Zugänge zurückgenommen. Hans-Joachim Popp hält es für besonders wichtig, dass diese automatisch geschieht, auch wenn das zu skurrilen Situationen führen kann: „Bei uns ist es einmal passiert, dass ein Vorstand morgens eine Mail bekam, in der Stand, sein Konto sei abgelaufen. Der Grund war, dass die HR-Abteilung seine Vertragsverlängerung noch nicht ans System gemeldet hatte. Er war nicht glücklich darüber, aber eigentlich hat der Vorgang den Beweis geliefert, dass das Sicherheitssystem korrekt funktioniert.“
Automatisierung und Kontrolle sind deshalb so wichtig, weil aus Eigenmotivation der Beiteiligten in der Regel wenig passiert. Hans-Joachim Popp: „Für Admins sind hochrangige Rechte eine indirekte Anerkennung ihrer Arbeit. Außerdem spielt natürlich Bequemlichkeit eine große Rolle.“ Wie man diese Bequemlichkeit überwindet? Zum Beispiel indem man Präzedenz-Schadensfälle analysiert und wenn nötig auch den Vorstand einbezieht. Das schärft die Sensibilität und baut den notwendigen Druck auf.
JE WENIGER TORE DIE BURG HAT, DESTO BESSER
Bei Mitarbeitern von Partnerunternehmen und externen Dienstleistern sei eine entsprechende Policy nicht unbedingt leichter durchsetzbar als bei Internen. Popp: „Externe verteidigen ihre Zugangsrechte oft mit einer Form von unterschwelligem Boykott. Sie sagen zum Beispiel: Diese und jene Aufgabe können wir nicht durchführen, weil wir keinen Zugang hatten. Die Rechte habt ihr uns ja weggenommen.“ In solchen Fällen bliebe CIOs nichts anderes übrig, als sich mit Gegendruck gegen die Boykottversuche zu wehren.
Wie leicht man seine Zugangsdaten an einen Betrüger verlieren kann, das lernen auch Menschen, denen – wie auch immer – ein Windows-Laptop abhanden kommt. Findige Hacker können dann nämlich das Passwort herausbekommen. Besser also, wenn dieses Passwort nicht zugleich weitreichenden Zugriff auf das Firmennetzwerk ermöglicht.
Um wieder mit einem Bild zu enden: Stellen Sie sich vor, Sie haben eine Burg zu verteidigen und dafür nur begrenzte Manpower zur Verfügung. Dann ist es sicher hilfreich, wenn es so wenige und so kleine Tore wie möglich in der Burgmauer gibt, um die Sie sich kümmern müssen. Jeder, der Zugang zu ihren Systemen hat, stellt ein solches Tor dar. Und je umfangreicher die Zugangsrechte, desto größer ist es.
* Christoph Lixenfeld ist Redakteur der deutschen CIO.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*