Wie sich privilegierte Benutzerkonten wirksam und User-freundlich schützen lassen

Um sich besser vor Cyber-Angriffen zu schützen, implementieren immer mehr Unternehmen neue Sicherheitsmaßnahmen für privilegierte Benutzerkonten. Aber wie können sie dabei den Spagat aus Sicherheit und Usability meistern? [...]

In Unternehmen setzt sich verstärkt die Erkenntnis durch, dass dem Schutz privilegierter Benutzerkonten bei der Abwehr moderner Cyber-Attacken eine Schlüsselrolle zukommt. Und das mit gutem Grund, denn auf dem Weg zu ihrem Ziel wollen die Angreifer heute oft nur das Eine – die Kontrolle über solche Konten gewinnen. Haben sie erst einmal Zugang dazu, können sie sich durch das Unternehmensnetzwerk bewegen und Ressourcen kontrollieren, Sicherheitssysteme abschalten oder auf vertrauliche Daten zugreifen.

Immer mehr Unternehmen verbessern deshalb ihre Schutzmaßnahmen für die privilegierten Benutzerkonten. Eine der größten Herausforderungen dabei ist es, die richtige Balance zwischen Sicherheit und Usability zu finden. Einerseits müssen die sensiblen Konten geschützt werden, andererseits dürfen sich die Mitarbeiter durch die neuen Maßnahmen nicht eingeschränkt fühlen. Der aktuelle Report „The Balancing Act: The CISO View on Improving Privileged Access Controls“ des Sicherheitsspezialisten CyberArk setzt sich mit der Frage auseinander, wie dieser Spagat gemeistert und Akzeptanz bei den Usern geschaffen werden kann. In den Bericht sind die Einschätzungen und Erfahrungen zahlreicher hochrangiger IT-Sicherheits-Verantwortlicher aus „Global 1000“-Unternehmen der unterschiedlichsten Branchen eingeflossen.

Grundsätzlich, so die Empfehlung des Reports, sollte bei der Absicherung privilegierter Benutzerkonten auf einen mehrschichtigen Ansatz gesetzt werden, der präventive mit aufdeckenden Instrumenten kombiniert. Aufgabe der vorbeugenden Maßnahmen ist dabei, nicht autorisierte Aktivitäten von vornherein zu verhindern. Die aufdeckenden Maßnahmen sollen ergänzend dazu sicherstellen, bereits stattfindende unautorisierte Zugriffe zu erkennen, bevor sie signifikante Schäden anrichten können.

MERHSCHICHTIGER ANSATZ

Bei administrativen Benutzerkonten mit einem breiten Zugang zu kritischen Systemen beispielsweise könnte solch ein mehrschichtiger Ansatz folgende Maßnahmen kombinieren:

• Präventiv werden die Anmeldedaten für Shared Accounts generell in einem einbruchssicheren digitalen Tresor aufbewahrt. Indem die Verwendung der Anmeldedaten außerdem mit eindeutigen User-Ids bzw. den zugehörigen natürlichen Personen verknüpft werden, sind eindeutige Verantwortlichkeiten festgelegt. Darüber hinaus werden die Passwörter automatisch generiert und nach jeder Nutzung sofort geändert.
• Als aufdeckende Maßnahmen werden sämtliche Sessions aufgezeichnet und überwacht. Dabei kann nicht nur festgehalten werden, wer sich von wann bis wann wo anmeldet, sondern auch, welche Aktivitäten er in seiner Session ausführt. Mit Hilfe einer selbstlernenden „Baseline“, die das übliche Nutzerverhalten abbildet, und speziellen Analyse-Werkzeugen kann außerdem eine von der Norm abweichende Verwendung von Anmeldedaten erkannt werden.

Gerade die präventiven Maßnahmen müssen aber mit Bedacht eingesetzt werden. In manchen Fällen können einzelne von ihnen zu restriktiv sein, weil sie die Zugriffsmöglichkeiten der User zu sehr einschränken. Wird es ihnen beispielsweise nur erlaubt, zu festgelegten Tageszeiten auf ihre privilegierten Benutzerkonten zuzugreifen, könnte sie das bei einigen Arbeitsabläufen behindern. Außerdem gibt es auch Fälle, in denen präventive Maßnahmen schlicht und einfach nicht praktikabel sind. Das kann etwa der Fall sein, wenn das Sicherheitsteam zu dem Entschluss kommt, dass eine Abteilung den Einsatz privilegierter Benutzerkonten innerhalb eines bestimmten Geschäftsprozesses reduzieren sollte. Würde dies zu sehr großen Prozessveränderungen führen, wäre es aber nicht vertretbar.

In derartigen Fällen sollte unbedingt mit aufdeckenden Maßnahmen ein Ausgleich geschaffen werden. Sie können dafür sorgen, dass die Zugriffe und Abläufe der Nutzer nicht behindert werden und dennoch ein möglichst hohes Maß an Sicherheit gewährleistet ist. Dazu sollte das Unternehmen die betroffenen privilegierten Benutzerkonten penibel überwachen und sofort Alarm auslösen, wenn sie auf unübliche Weise verwendet werden – etwa zu ungewöhnlichen Tageszeiten oder in unüblicher Häufigkeit.