Servicekonten werden der in der Unternehmens-IT oft stiefmütterlich behandelt, obwohl von ihnen große Sicherheitsrisiken ausgehen. Zugriff auf geschäftskritische Anwendungen und vielfältige Möglichkeiten der Privilegienerhöhung machen sie zu einem beliebten Angriffsziel für Hacker. [...]
Servicekonten zählen zu den sogenannten Privileged Accounts eines Unternehmens, weshalb sie eine besonders sorgfältige Verwaltung und gründliche Absicherung bedürfen. Sie werden meist in Betriebssystemen verwendet, um Programme und Applikationen auszuführen – zum einen im Rahmen von System-Accounts ohne Kennwort und zum anderen als User-Konto, das manuell erstellt wird. Anders als etwa bei Administrator-Konten handelt es sich um Non-Human- Accounts, die in der Regel nicht von Menschen selbst genutzt werden und aufgrund der begrenzten menschlichen Interaktion selten inventarisiert werden, was ein großes Risiko darstellt.
Herausforderung Passwortmanagement
Eine große Herausforderung im Umgang mit Service-Accounts ist etwa das Passwortmanagement. So können Administratoren ein Passwort für ein Servicekonto nicht einfach ändern, ohne genau zu wissen, wo es überall verwendet wird. Zu groß ist die Angst vor möglichen Ausfällen anderer Anwendungen oder größeren Betriebsunterbrechungen. Dies hat zur Folge, dass die Passwörter meist dauerhaft unverändert bleiben und die Konten darüber hinaus eine unbegrenzte Laufzeit haben. Ebenfalls extrem riskant und in vielen Unternehmen dennoch gang und gäbe, ist das Beibehalten von Standardherstellerkennwörtern, die leicht im Internet ausfindig gemacht werden können. Gelingt es Angreifern nun, ein Servicekonto zu hacken, sind sie in der Lage, eigene Binärdateien mit erweiterten Privilegien auszuführten oder sich Fernzugriff zu verschaffen.
Dass sich viele Unternehmen bei der Verwaltung von Servicekonten abquälen, liegt aber auch an deren schieren Menge. So haben die meisten Unternehmen mehr Servicekonten als Mitarbeiter – manchmal bis zu fünfmal so viele. Hier den Überblick zu bewahren ist bei manueller Überwachung kaum möglich, was eine unkontrollierte Ausbreitung der riskanten Accounts zur Folge hat. Kommt es nun zu einem unerwarteten Wartungsfall, hat eine Patch-Bereitstellung nicht geklappt oder ist es zu einem Sicherheitsvorfall gekommen, bleibt keine Zeit mehr, sich einen Überblick über alle Serviceaccounts zu verschaffen oder gar deren Passwörter zu ändern. Die Folge können Ausfälle, Malware-Infizierungen oder der Verlust sensibler Daten sein.
Servicekonten unter Kontrolle bringen
So risikobehaftet Servicekonten für Unternehmen auch sind, mit Hilfe der richtigen Sicherheitsmaßnahmen und Technologien wie etwa Automation können IT-Abteilungen auch diese Herausforderung meistern. Wie jede andere IT-Sicherheitsmaßnahme, die zum Schutz kritischer Informationsbestände beiträgt, erfordert auch die Verwaltung und Absicherung von Servicekonten dabei sowohl einen gut durchdachten Plan als auch eine konsequente Durchführung desselben.
Folgende sechs Punkte helfen Ihnen dabei, ihre sensiblen Service-Accounts während des gesamten Lebenszyklus unter Kontrolle zu bringen und die Angriffsfläche Ihres Unternehmens auf diese Weise zu minimieren.
Servicekonten definieren
In einem ersten Schritt sollten Sie definieren und klassifizieren, welche Accounts tatsächlich Servicekonten darstellen. Hierzu müssen Sie herausfinden, welche Anwendungen und Programme auf Daten, Systeme und privilegierte Zugriffe angewiesen sind. Hierbei kann ein zuvor erstellter Disaster Recovery-Plan helfen, der typischerweise wichtige Anwendungen klassifiziert und festlegt, welche von ihnen nach einem Sicherheitsvorfall zuerst wiederhergestellt werden müssen. Das Definieren von Servicekoten ist dabei immer ein individueller Prozess, da jede Unternehmensstruktur anders aufgebaut ist und Sie nur so gewährleisteten können, dass die Servicekonten auf Ihr Geschäftsrisiko und Ihre Betriebsabläufe abgestimmt sind.
Für Transparenz sorgen
Weil Sie nur schützen und verwalten können, was Sie auch kennen, müssen Sie sich einen vollständigen Überblick über alle im Unternehmensnetzwerk existierenden Servicekonten verschaffen. Da eine manuelle Identifizierung recht zeit- und ressourcenaufwendig ist und zudem die Gefahr birgt, versteckte oder abgelaufene Servicekonten zu übersehen, empfiehlt sich hierbei der Einsatz von Privileged Account Management (PAM)-Software, die auf Automation beruht. Diese erkennt sämtliche Service-Accounts und kann eine unkontrollierte Ausbreitung der Konten verhindern und minimiert auf diese Weise Ihre Angriffsfläche.
Starke Passwörter generieren
Passwörter für Servicekonten sind wir der Schlüssel zu einem Tresor, in dem Sie Ihre wichtigsten Unternehmens-Assets aufbewahren, weshalb ein adäquater Passwortschutz unabdingbar ist. Lassen Sie Default Vendor-Credentials, Excel-Listen und andere Nachlässigkeiten im Umgang mit Passwörtern hinter sich und setzen Sie auf eine Sicherheitslösung, die der Brisanz der Konten angemessen starke Passörter generiert und diese nach einem individuell festgelegten Zeitplan regelmäßig und automatisiert abändert.
Aktivitäten überwachen
Noch mehr Schutz vor Kompromittierung und Missbrauch garantieren Ihnen PAM-Lösungen, die sämtliche mit dem Servicekonto verbundene Aktivitäten überwachen, aufzeichnen und auf unübliches Verhalten hin analysieren. Diese Transparenz ermöglicht es, potenziell schädliche Zugriffe frühzeitig zu erkennen und zu stoppen. Gleichzeitig werden bei den Mitarbeitern Anreize geschaffen, sich korrekt und datenschutzkonform zu verhalten, da sie um die permanente Überwachung ihrer Zugriffe und Aktivitäten wissen.
Den Worst-Case vorbereiten
Ob ihrer Brisanz – d.h. sowohl, was den Zugriff auf geschäftskritische Anwendungen und Daten angeht als auch hinsichtlich ihrer Bedeutung für die Aufrechterhaltung des Betriebes – müssen Servicekonten unbedingt Teil des unternehmenseigenen Incident-Response-Plans sein. Legen Sie von vorne herein fest, welche Schutzmaßnahmen ergriffen werden müssen, wenn Service-Accounts von einer Sicherheitsattacke betroffen sind, und welcher Mitarbeiter hier die Verantwortung übernimmt. Wurden privilegierte Konten kompromittiert, ist es längst nicht ausreichend, die Konten zu deaktivieren oder ihre Passwörter abzuändern. Vielmehr erfordert der Remediation-Prozess in diesem Fall weit umfangreichere Wiederherstellungsmaßnahmen, die gut geplant und schnell umsetzbar sein müssen.
Audits durchführen
Unterziehen Sie die Verwaltung und Absicherung Ihrer Servicekonten regelmäßigen Audits, um sicherzustellen, dass Sie Compliance-Richtlinien und Vorschriften wie die DSGVO einhalten und so gut es geht vor Cyberangriffen und Insider-Manipulationen geschützt sind. Kontrollieren und aktualisieren Sie hierbei die Ablaufdaten der Accounts, löschen Sie veraltete Konten unverzüglich und passen Sie Ihre Schutzmaßnahmen immer an die die aktuelle und sich verändernde Bedrohungslandschaft an.
Markus Kahmen ist Regional Director DACH bei Thycotic.
Be the first to comment