2. April 2025 Alan Radford*

6 Wege, wie Privilege Management die Sicherheitslage verbessert

Identitäten, Konten, Computer, Gruppen und andere Objekte benötigen gleichermaßen Zugang zu Ressourcen - limitiert auf die jeweilige Rolle und nur solange der Zugriff tatsächlich gebraucht wird. Dies ist ein grundlegender Bestandteil eines Zero Trust Least Privilege-Modelles und als solcher von AD-Administratoren, IT-Leitern, dem höheren Management und CISOs anerkannt. [...]

Die Kombination aus interner Mobilität und Ressourcenbeschränkungen führt schnell zu einem Wildwuchs bei den vergebenen Privilegien. (c) Unsplash
Die Kombination aus interner Mobilität und Ressourcenbeschränkungen führt schnell zu einem Wildwuchs bei den vergebenen Privilegien. (c) Unsplash

Das hat einen guten Grund. Die mit dem System gelieferten Tools für die Berechtigungsverwaltung sind beliebig komplex und nur für das einzelne System konzipiert. Sie bieten deshalb kaum Interoperabilität und lassen sich selten so skalieren, wie es in hybriden Umgebungen notwendig ist. Es gibt meist nur wenige Möglichkeiten zur Automatisierung und Integration, so dass sich sämtliche Prozesse verzögern – von der Freigaben bis hin zum Audit. 

Das führt zu mangelnder Transparenz, die zwangsläufig die Risikoexposition erhöhtBerechtigungen sind unabdingbar, um auf geschäftskritische Funktionen zuzugreifen, aber ein klares und transparentes Konzept ist durch ganz alltägliche Vorgänge gefährdet, wie etwa:

  • Interne Mobilität 
    Auf Mitarbeiterebene gibt es immer viel Bewegung, sei es, dass Beschäftigte eine neue Funktion bekleiden, das Unternehmen verlassen oder neu eingearbeitet werden. Auf organisatorischer Ebene sind Fusionen, Übernahmen, neue Partnerschaften oder die Aufkündigung der Zusammenarbeit mit Dritten an der Tagesordnung. Jede dieser Entwicklungen kann dazu führen, dass bestehende Berechtigungen übersehen oder nicht kontrolliert werden.
  • Ressourcenbeschränkungen
    Diese Änderungen mit Hilfe nativer Tools oder einer manuellen rollenbasierten Zugriffskontrolle zu verwalten ist mühsam und kostet Zeit. Angesichts strategischer Initiativen und organisatorischer Zwänge ist es leicht möglich, dass manuelle Kontoänderungen oder das Deaktivieren von Konten auf der To-Do-Liste nach unten rutschen. Delegation lindert manche der Probleme, setzt aber ihrerseits voraus, dass die entsprechenden Berechtigungen korrekt verwaltet werden.

Die unkontrollierte Ausweitung von Privilegien und die Folgen

Die Kombination aus interner Mobilität und Ressourcenbeschränkungen führt schnell zu einem Wildwuchs bei den vergebenen Privilegien. 

Praktisch kann das beispielsweise heißen, dass ein Active Directory-Benutzer für ein bestimmtes Projekt zum Administrator heraufgestuft wird, diese Berechtigung nach Abschluss des Projekts aber nicht wieder entzogen wird. Ein anderes Beispiel ist ein Betriebspraktikant der Zugriff auf zum Beispiel einen SharePoint-Ordner erhält, ohne dass ein Ablaufdatum für die Berechtigungen festgelegt wird. Am Ende seines Praktikums hat der Betreffende verschiedene Bereiche des Unternehmens kennengelernt. Mit dem Ergebnis, dass er häufig weitreichender berechtigt war als einer seiner Vorgesetzten. Diese Vielzahl von unnötig privilegierten Konten treibt die Komplexität zusätzlich nach oben und vergrößert damit die Angriffsfläche für Cyberkriminelle.

Ein weiteres Risiko besteht darin, dass Zugriffsberechtigungen dauerhaft erhalten bleiben. Nehmen wir an, ein ehemaliger IT-Service-Desk-Mitarbeiter behält seine Entra ID-Rechte, nachdem er in die Buchhaltung gewechselt ist. Nicht selten führen diese Kombinationen von alten und neuen Berechtigungen zu toxischen Rechtesituationen. Firmen riskieren Compliance-Verstöße, wenn sie die Vorschriften hinsichtlich der Zugriffsrichtlinien und Protokolle für einen angemessenen Zugriff für die Nutzung und Speicherung ihrer Daten nicht einhalten. 

Stellen Sie sich weiter vor, einem IT-Service-Desk-Mitarbeiter ist dauerhaft eine Entra ID-Rolle als Global Administrator zugewiesen worden. Diese Rollenzuweisung braucht er aber nur für wenige Tage im Quartal, nämlich für eine regelmäßige Überprüfung von Benutzerlizenzen. Der dauerhafte Zugriff ist also vollkommen überflüssig und verletzt das Prinzip der minimalen Rechtevergabe und vergrößert die Angriffsfläche des Unternehmens.

Mehr Sicherheit dank Privilege Management 

Jedes dieser Szenarien hält für Angreifer eine Reihe von Möglichkeiten bereit, um sich unbefugt Zugang zu verschaffen. Zunächst werden Cyberkriminelle versuchen, vertrauliche Dateien einzusehen und sich in der Folge erweiterte Berechtigungen und Privilegien zu verschaffen. Alles mit dem Ziel, sensible Daten und geistiges Eigentum zu entwenden.

Privilegien sind so notwendig wie riskant. Eine moderne Identitätsverwaltung muss beispielsweise ein Active Directory oder Entry-ID kontrollieren, ohne den Betrieb zu beeinträchtigen. Es gibt eine Reihe von Möglichkeiten wie Unternehmen von einem korrekt durchgeführten Privilege Management profitieren: 

Privilege „Sprawl“ beschränken

In kleinen Unternehmen oder Teams, in denen Mitarbeiter seltener die Abteilung wechseln oder neue Aufgaben übernehmen, mögen starre Formen der Zugriffskontrolle ausreichen. In größeren und dynamischer agierenden Unternehmen besteht jedoch ein weit höheres Risiko, dass die Vergabe von Berechtigungen ausufert. Die Mitarbeiter sind flexibler, wechseln die Arbeitsstelle, bilden Teams und  starten neue Projekte. Mit jeder neuen Initiative brauchen zusätzliche Identitäten – von Anwendungen bis hin zu Geräten – Zugriffsberechtigungen. Privilege Management senkt die Risiken durch regelmäßige Audits. Im Zuge dessen wird die beispielsweise die Mitgliedschaft in privilegierten AD-Gruppen dokumentiert, so dass man anschließend die Richtlinien durchsetzen kann. Ein einheitlicher Governance-Ansatz unterstützt zusätzlich die Zero Trust Least Privilege-Modelle.

Dauerhaft bestehende Privilegien abschaffen

Die Herausforderung bei dieser Art von Privilegien besteht darin, dass sie als fortlaufend angelegt sind. Nachdem eine privilegierte Berechtigung vergeben oder ausgeweitet worden ist, steht dauerhaft ein Angriffsvektor zur Verfügung. Gelingt es einem Angreifer, sich auf diesem Weg Zutritt zu verschaffen, kann er sich zumeist unentdeckt im Netzwerk fortbewegen. Wenn es die Berechtigung erlaubt, lassen sich neue Konten erstellen, so dass potenziell weitere Angreifer ins Netz gelangen. Zudem ist mit erhöhten Berechtigungen oftmals mehr Autonomie verbunden. Das erschwert die Überwachung und Überprüfung von Aktivitäten.

Ähnlich wie Zero-Trust-Prinzipien innerhalb der Cybersicherheit, ist das Zero Standing Privileges (ZSP)-Konzept ein wesentlicher Bestandteil für eine erfolgreiche Rechteverwaltung. Im Rahmen von ZSP werden Privilegien nur vorübergehend und für bestimmte Zwecke gewährt. Man kann beispielsweise einen Schwellenwert festlegen, z. B. 30 Tage. Wird der Schwellenwert erreicht, erhalten die Administratoren eine E-Mail-Benachrichtigung. Sie können dann das betreffende privilegierte Konto deaktivieren oder Konten aus Gruppen entfernen. Moderne Privilege Access Management Systeme warten darüber hinaus mit Genehmigungsworkflows für eine Zugriffsvergabe und mit automatischen Deaktivierungs-/Deprovisionierungs-Prozessen auf.

Mehr Transparenz über alle privilegierten Konten 

Onboarding und Offboarding sorgen dafür, dass Privilegien schnell veralten, gerade in einem sich ständig weiterentwickelnden Unternehmens-Ökosystem. Das heißt, dass hoch privilegierte Konten existieren, die erweiterte Zugriffsrechte gewähren. Gleichzeitig fehlt es ihnen aber an der nötigen Transparenz, um die Kontrolle darüber zu behalten. 

Am 19. Januar 2024 hat Microsoft eine Datenschutzverletzung durch die Hackergruppe Midnight Blizzard (auch als Nobelium bekannt) eingeräumt. Die Hacker nutzten einen bereits bestehenden Zugang, um eine veraltete OAuth-Testanwendung zu finden und zu kompromittieren. Genau diese Testanwendung verfügte über erweiterte Zugriffsberechtigungen auf Microsoft- Unternehmensumgebungen. In Bezug auf den Angriff hat Microsoft einige Empfehlungen für den Betrieb eines Active Directory oder Entra-ID beziehungsweise Office 365 ausgesprochen. Unter anderem soll auf Anwendungen mit App-Only-Zugriff geachtet werden, die möglicherweise übermäßig privilegiert sind. Außerdem auf Konten mit Application-Impersonation-Rechten in Exchange Online. Zusätzlich sollte eine Anwendungskontrolle mit bedingtem Zugriff für jene Nutzer implementiert werden, die sich von nicht verwalteten Geräten aus einloggen.

Hier kommt wieder das Privilege Management ins Spiel, das die vergebenen Zugriffsberechtigungen kontrolliert – von der Account Discovery bis zur Löschung des Kontos. Diese Funktionen gibt es zwar auch nativ in AD und Entra-ID. Aber damit Administratoren bei zugriffsbezogenen Anfragen den Überblick behalten, sollte man die Verwaltung von Benutzer- und Gruppenkonten sowie Attestierungen so weit als möglich automatisieren. Anschließend kann man Konten, Objekten und Gruppen mithilfe dynamischer Delegation einen granular abgestuften Zugriff gewähren.

Just in Time Privilegien 

Je mehr Konten mit erhöhten Berechtigungen es gibt, desto größer die Angriffsfläche. Es kann aber durchaus sein, dass einige dieser Konten einen erweiterten Zugriff tatsächlich brauchen. In diesem Fall ist es also weder praktisch noch möglich, deren Anzahl zu senken. Die Antwort hierfür liegt in einem Just-in-Time-Ansatz, bei dem der Zugriff nur vorübergehend gewährt wird – und die damit verbundene Gefährdung ebenfalls nur temporär besteht. Dieser Ansatz lässt sich in die AD-Sicherheit integrieren. Dazu entfernt man den ständigen Admin-Zugang eines Benutzers mit Hilfe von Active Directory Security Groups, wenn er nicht mehr gebraucht wird. Bei Bedarf kann der Benutzer im Rahmen der Just-in-Time-Lösung eine entsprechende Anfrage stellen. So wird der Zugriff über den gesamten Identitätslebenszyklus hinweg vereinfacht. Vordefinierte Genehmigungsprozesse und Arbeitsabläufe sorgen zusätzlich für mehr Effizienz.

Komplexität bei der Gruppenverwaltung senken – Durch Rollen und Delegation innerhalb von Gruppen  

Gruppen können innerhalb von privilegierten Gruppen verschachtelt werden. Alle untergeordneten Mitglieder können so übermäßige übergeordnete Privilegien und Zugriffsrechte erben. Wenn man die Komplexität senkt, kann man Pfade einer solchen Privilege Escalation erkennen und potenzielle Angriffsvektoren identifizieren.

Eine solche Eskalation von Privilegien durch unsachgemäße Authentifizierung bildete den Kern der MOVEit-Sicherheitslücke, die im Juli 2024 entdeckt wurde. Unternehmen waren gezwungen, die Schwachstelle zu patchen, um einen unbefugten Zugriff zu verhindern. Die Berechtigungsverwaltung kann den Einsatz reaktiver, auf Patches basierender Abwehrmaßnahmen durch Delegation minimieren. Während die Sicherheitslage zentralisiert bleibt, können Berechtigungen an Rollen oder einzelne Mitarbeiter delegiert werden, um Berechtigungen zu steuern und zu verwalten. 

Compliance verbessern 

Die Verwaltung von Privilegien ist eine der wichtigsten Anforderungen verschiedener gesetzlicher Vorschriften. Die HIPAA Privacy Rule bezieht sich auf Mindeststandards für alle Einrichtungen, die auf Daten zugreifen und diese offenlegen. Artikel 5 der DSGVO legt explizit fest, dass die Kontrolle und Verarbeitung von Daten „nicht länger als nötig“erlaubt ist.

Mit einer zentralisierten Verwaltung von Berechtigungen lassen sich die Identitäten der Benutzer und deren Konten auf einer einzigen Ebene nachverfolgen. Die Änderungshistorie und andere Aktivitäten werden protokolliert. Im Idealfall lassen sich Regeln definieren, um die Compliance-Anforderungen zu erfüllen, automatisch Warnungen bei Verstößen auslösen und eine transparente Übersicht über die momentane Sicherheitslage erstellen. 

Privilege Management im Unternehmen 

Gerade in hybriden Identitätsumgebungen ist es vorteilhaft, das Privilege Management von einer zentralen Konsole aus zu verwalten und zu automatisieren. Eine Zero Trust Least Privilege-Strategie adressiert die Herausforderungen, sie sich aus der Verwaltung mehrerer Domänen und Tenants mit nativen Tools ergeben. Lösungen wie Active Roles von One Identity liefern Transparenz über Microsoft AD und Entra ID-Tenants. Um Verzeichnisdienste sicherer zu machen, kann man Identitätsdaten synchronisieren und abgestufte Zugriffsberechtigungen für Benutzer und Objekte vergeben. Die Provisionierung lässt sich konsistent über Domänen und Tenants hinweg implementieren und durchsetzen, um die AD-Sicherheit weiter zu verbessern. Über ein RBAC (Role Based Access Control) -Modell lassen sich Zugriffsberechtigungen auf der Grundlage von Attributen delegieren und entziehen.

*Der Autor Alan Radford ist PAM Field Strategist bei One Identity.


Mehr Artikel

Die beiden Sprecherinnen von Women@DSAG: (links) Franziska Niebauer, Beraterin für SAP IS-H bei der Helios Kliniken GmbH, und Anna Hartmann, Geschäftsführerin der in4MD Service GmbH (c) Bild links: Helios Kliniken GmbH; Bild rechts: www.AndreasLander.de
News

Chancengleichheit der Geschlechter – überbewertet oder wichtiger denn je?

25. April 2025 pi/kdl

In den USA schaffen Großkonzerne auf Geheiß Donald Trumps ihre Diversitätsprogramme ab. Auch in Europa folgen Unternehmen dem „Anti-Woke-Kurs“. Die DSAG nahm dies zum Anlass, bei den Mitgliedern des Frauennetzwerks Women@DSAG nachzufragen, wie es derzeit um die Chancengleichheit der Geschlechter im Job steht. 139 Frauen aus Deutschland, Österreich und der Schweiz nahmen an der Umfrage teil. […]

"Sammlung allerhand auserlesener Reponsorum […]", Johann Hieronymus Hermann, 1736 (c) Österreichische Nationalbibliothek
News

Kulturpool – digitalisiertes Kulturerbe

25. April 2025 pi/kdl

Einer der Vorteile der Digitalisierung ist, dass Kulturgüter zunehmend auch in digitalisierter Version für alle online zugänglich vorliegen. So versammelt das zentrale Suchportal für digitalisiertes Kulturerbe in Österreich, Kulturpool, 1,6 Millionen Objekten, darunter historische Handschriften, Bücher, Kunstwerke und vieles mehr. Einer der Hauptbeiträger von Kulturpool ist die Österreichische Nationalbibliothek. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*