Wie sich privilegierte Benutzerkonten wirksam und User-freundlich schützen lassen

Um sich besser vor Cyber-Angriffen zu schützen, implementieren immer mehr Unternehmen neue Sicherheitsmaßnahmen für privilegierte Benutzerkonten. Aber wie können sie dabei den Spagat aus Sicherheit und Usability meistern? [...]

In Unternehmen setzt sich verstärkt die Erkenntnis durch, dass dem Schutz privilegierter Benutzerkonten bei der Abwehr moderner Cyber-Attacken eine Schlüsselrolle zukommt. Und das mit gutem Grund, denn auf dem Weg zu ihrem Ziel wollen die Angreifer heute oft nur das Eine – die Kontrolle über solche Konten gewinnen. Haben sie erst einmal Zugang dazu, können sie sich durch das Unternehmensnetzwerk bewegen und Ressourcen kontrollieren, Sicherheitssysteme abschalten oder auf vertrauliche Daten zugreifen.

Immer mehr Unternehmen verbessern deshalb ihre Schutzmaßnahmen für die privilegierten Benutzerkonten. Eine der größten Herausforderungen dabei ist es, die richtige Balance zwischen Sicherheit und Usability zu finden. Einerseits müssen die sensiblen Konten geschützt werden, andererseits dürfen sich die Mitarbeiter durch die neuen Maßnahmen nicht eingeschränkt fühlen. Der aktuelle Report „The Balancing Act: The CISO View on Improving Privileged Access Controls“ des Sicherheitsspezialisten CyberArk setzt sich mit der Frage auseinander, wie dieser Spagat gemeistert und Akzeptanz bei den Usern geschaffen werden kann. In den Bericht sind die Einschätzungen und Erfahrungen zahlreicher hochrangiger IT-Sicherheits-Verantwortlicher aus „Global 1000“-Unternehmen der unterschiedlichsten Branchen eingeflossen.

Grundsätzlich, so die Empfehlung des Reports, sollte bei der Absicherung privilegierter Benutzerkonten auf einen mehrschichtigen Ansatz gesetzt werden, der präventive mit aufdeckenden Instrumenten kombiniert. Aufgabe der vorbeugenden Maßnahmen ist dabei, nicht autorisierte Aktivitäten von vornherein zu verhindern. Die aufdeckenden Maßnahmen sollen ergänzend dazu sicherstellen, bereits stattfindende unautorisierte Zugriffe zu erkennen, bevor sie signifikante Schäden anrichten können.

MERHSCHICHTIGER ANSATZ

Bei administrativen Benutzerkonten mit einem breiten Zugang zu kritischen Systemen beispielsweise könnte solch ein mehrschichtiger Ansatz folgende Maßnahmen kombinieren:

  • Präventiv werden die Anmeldedaten für Shared Accounts generell in einem einbruchssicheren digitalen Tresor aufbewahrt. Indem die Verwendung der Anmeldedaten außerdem mit eindeutigen User-Ids bzw. den zugehörigen natürlichen Personen verknüpft werden, sind eindeutige Verantwortlichkeiten festgelegt. Darüber hinaus werden die Passwörter automatisch generiert und nach jeder Nutzung sofort geändert.
  • Als aufdeckende Maßnahmen werden sämtliche Sessions aufgezeichnet und überwacht. Dabei kann nicht nur festgehalten werden, wer sich von wann bis wann wo anmeldet, sondern auch, welche Aktivitäten er in seiner Session ausführt. Mit Hilfe einer selbstlernenden „Baseline“, die das übliche Nutzerverhalten abbildet, und speziellen Analyse-Werkzeugen kann außerdem eine von der Norm abweichende Verwendung von Anmeldedaten erkannt werden.

Gerade die präventiven Maßnahmen müssen aber mit Bedacht eingesetzt werden. In manchen Fällen können einzelne von ihnen zu restriktiv sein, weil sie die Zugriffsmöglichkeiten der User zu sehr einschränken. Wird es ihnen beispielsweise nur erlaubt, zu festgelegten Tageszeiten auf ihre privilegierten Benutzerkonten zuzugreifen, könnte sie das bei einigen Arbeitsabläufen behindern. Außerdem gibt es auch Fälle, in denen präventive Maßnahmen schlicht und einfach nicht praktikabel sind. Das kann etwa der Fall sein, wenn das Sicherheitsteam zu dem Entschluss kommt, dass eine Abteilung den Einsatz privilegierter Benutzerkonten innerhalb eines bestimmten Geschäftsprozesses reduzieren sollte. Würde dies zu sehr großen Prozessveränderungen führen, wäre es aber nicht vertretbar.

In derartigen Fällen sollte unbedingt mit aufdeckenden Maßnahmen ein Ausgleich geschaffen werden. Sie können dafür sorgen, dass die Zugriffe und Abläufe der Nutzer nicht behindert werden und dennoch ein möglichst hohes Maß an Sicherheit gewährleistet ist. Dazu sollte das Unternehmen die betroffenen privilegierten Benutzerkonten penibel überwachen und sofort Alarm auslösen, wenn sie auf unübliche Weise verwendet werden – etwa zu ungewöhnlichen Tageszeiten oder in unüblicher Häufigkeit.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*