Das 1×1 des Least-Privilege-Prinzips

Nach dem Principle-of-Least-Privilege (kurz PoLP, zu Deutsch Prinzip der geringsten Berechtigungen) sollte die IT-Sicherheitsarchitektur in Unternehmen so gestaltet sein, dass jede Anwendung, jede Computer-Instanz und jeder IT-User nur den minimalst notwendigen Systemzugang zu Ressourcen und Berechtigungen erhält, die er oder sie zur Erfüllung der eigenen Funktion benötigt. [...]

Foto: PaulBrennan/Pixabay

So weit so einleuchtend. Jedoch ist das Least-Privilege-Prinzip kein festgelegtes Konzept mit zehn immergleichen Schritten, das man jedem Unternehmen umstülpen kann.

Der Weg bis zur Umsetzung variiert von Unternehmen zu Unternehmen anhand unterschiedlicher Faktoren, unter anderem: in welchem Sektor ist das Unternehmen tätig? Wie viele Mitarbeiter gibt es, und wie viele davon IT-User? Wie viele Standorte? Wie komplex ist die technische Umgebung und welche Systeme sind im Einsatz? Wo sind sensible Daten abgelegt, und wer hat darauf Zugriff? Wer verwaltet das Ganze, und wie?

All diese Faktoren beeinflussen, welche Maßnahmen ein Unternehmen setzen muss, um das Least-Privilege-Prinzip zu erreichen und auch beizubehalten.

Warum ist das Least-Privilege-Prinzip so wichtig?

Das Stichwort lautet: Risikominderung. Egal wie eine Firma aufgebaut ist, das Ziel ist immer, sensible Daten gegen Angriffe jeder Art abzuschirmen. Unternehmen, die den Zugriff auf ihre Systeme und Informationen auf das Wesentliche beschränken, können die Angriffsfläche für potenzielle Bedrohungen signifikant verringern.

Angenommen, es wird ein Benutzerkonto kompromittiert oder ein Mitarbeiter stiehlt Daten aus Boshaftigkeit oder um sich selbst zu bereichern – wenn diesem Benutzer zuvor nur minimale Rechte eingeräumt wurden, ist der potenzielle Schaden, den er anrichten kann, begrenzt. Auch ein Angreifer von außen kann zunächst nur auf jene Daten zugreifen, auf die das Benutzerkonto Zugriff hat.

Privilege Creep: Eine Fantasiereise

Stellen wir uns folgendes Szenario vor: David arbeitet seit fünf Jahren für eine mittelständische Firma. Er fing als Praktikant an, wo er zwischen unterschiedlichen Abteilungen rotierte, bevor er nach einem Jahr ins Marketing-Team übernommen wurde.

Später wechselte er in den Verkauf. Für jede Abteilung wurden ihm von der IT neue Zugriffsrechte erteilt. So sammelte er über die Jahre ein erhebliches Maß an Berechtigungen an – jedoch wurden ihm diese bei seinen diversen Abteilungswechseln nicht entzogen. Auch für allerlei Projekte bekam er zusätzliche Rechte erteilt.

Auf Grund von verschachtelten Ordner- und Berechtigungsstrukturen und der chronischen Unterbesetzung in der IT hatte die Abteilung Schwierigkeiten, den Überblick über alle Berechtigungen zu behalten.

Somit behielt David Zugriff auf alle möglichen Kunden- und Firmendaten aus seinen vorangegangenen Positionen. Privilege Creep nennt man das Phänomen, bei dem sich schleichend die Berechtigungen ansammeln.

Zum Ende des Monats, zwar etwas früher als gewohnt, bekommt David wie üblich seinen Lohnzettel von Beate aus der externen Personalverrechnung per E-Mail zugeschickt. Er öffnet das PDF – und installiert damit unwissentlich Malware im System.

Denn was David nicht weiß: die E-Mail kam gar nicht von Beate, sondern von einem Hacker, der eine ähnliche Absenderadresse wie Beates benutzte. Über die platzierte Schadsoftware kann der Eindringling Davids Konto kapern und bekommt nun Zugriff auf alle Daten, auf die auch David Zugriff hat – ohne dass David sofort etwas davon mitbekommt. Nun muss die Firma mit folgenden Konsequenzen rechnen:

  • Datendiebstahl: der Angreifer extrahiert wichtige Daten und stellt diese u.U. zum Verkauf ins Darknet.
  • Privilege Escalationder Eindringling nutzt Davids weitreichende Berechtigungen, um sich seitwärts im System zu bewegen („Lateral Movement“), noch mehr Daten zu stehlen und womöglich Zugriff auf ein Administratorenkonto zu bekommen („Vertical Movement“), mit dem er noch größeren Schaden anrichten kann.
  • Ransomware-Angriff: der Angreifer verschlüsselt alle Daten im System, nachdem er sie gestohlen hat, und verlangt Lösegeld im Gegenzug zur Wiederherstellung der Daten/Systeme. Ransomware-Angriffe sind teuer und haben weitreichende Konsequenzen.
  • Compliance-Probleme: Datenvorfälle werden unter der  DSGVO und anderen Compliance-Richtlinien u.a. mit Geldstrafen geahndet.
  • Reputationsverlust: Unternehmen, die Opfer eines Ransomware- oder Cyberware-Angriffs geworden sind und nicht mehr den Compliance-Richtlinien entsprechen können, verlieren das Vertrauen ihrer Kunden.

Hätte der Klick auf die verseuchte Datei verhindert werden können? Vielleicht, wenn David besser auf den Absender achtgegeben hätte. Hätte die Ausbreitung von Berechtigungen seitens des Täters auf sensible Firmen- und Kundendaten verhindert oder zumindest eingeschränkt werden können?

Mit Sicherheit! Denn wäre die Firma nicht so nachlässig mit der Umsetzung von Least-Privilege umgegangen, so hätte es von vornherein einen strikten Workflow zur Vergabe und Entziehung von Berechtigungen gegeben und David hätte niemals eine so große Menge an Berechtigungen ansammeln können.

Least-Privilege umsetzen: Diese Maßnahmen sollten Sie setzen

Um das Least-Privilege-Prinzip effektiv umzusetzen, müssen Unternehmen eine sorgfältige Bewertung ihrer Daten und Systeme durchführen.

Dazu gehört die Aufstellung aller Benutzer und ihrer Tätigkeiten sowie den Berechtigungen, die sie dafür brauchen. Anhand dieser Analyse sollten daraufhin die Zugriffsechte entsprechend konfiguriert werden. Das heißt:

  • Privilegierte Konten ausfindig machen und Rechte entziehen, die nicht mehr benötigt werden.
  • Implementierung von Role-Based Access Control: hierbei werden Rollen definiert, denen Benutzer anhand ihres Aufgabenbereichs zugeordnet werden können und so die notwendigen Berechtigungs-Sets erhalten.
  • Strikte Kontentrennung – Administratoren sollten mindestens zwei Konten besitzen: eines für alltägliche Tätigkeiten, wie E-Mails lesen, und ein Administratorkonto, mit dem sie heiklere Angelegenheiten abwickeln, wie z.B. die Zuweisung von Benutzerrechten.
  • Regelmäßige Überprüfung von Konten und Berechtigungen, um sicherzustellen, dass keine verwaisten Konten existieren und um Privilege Creep vorzubeugen.
  • Mitarbeitende auf die Gefahren von Phishing,  Social Engineering & Co. sensibilisieren. Außerdem verdeutlichen, warum es wichtig ist, dass Berechtigungen strikt vergeben und überwacht werden müssen, auch wenn es zuvor im Unternehmen anders gehandhabt wurde.

Herausforderungen bei der Umsetzung von Least-Privilege

Je mehr IT-User in einem Unternehmen sind, desto schwieriger wird es für die zuständigen IT-Fachkräfte, den Überblick über Berechtigungen zu behalten und diese auch angemessen zu verwalten – insbesondere, wenn die Verwaltung manuell, z.B. über Excel-Listen, E-Mails und Outlook-Kalender (oder gar über händisch geführte Notizen und Post-ist) abgewickelt wird.

Dass dieser Weg fehleranfällig ist, überrascht nicht und ist auch von jeglichen IT-Security Best-Practices weit entfernt.

Doch auch mit den von Windows zur Verfügung gestellten Boardmitteln ist die korrekte und fehlerfreie Umsetzung von Least-Privilege nicht einfach, wenn gar unmöglich. Externe Lösungen, wie zum Beispiel die Identity Access Management Lösung tenfold, sind speziell für die Verwaltung von Benutzern und Berechtigungen konzipiert.

Sie helfen IT-Admins nicht nur dabei, den Überblick über die Berechtigungssituation zu behalten, sondern sorgen auch dafür, dass nicht mehr benötigte Berechtigungen rechtzeitig entzogen werden.

*Als Senior Manager Channel Sales bei dem IAM-Entwickler tenfold hilft der IT-Sicherheitsexperte Helmut Semmelmayer Firmen dabei, Zugriffsrechte sicher und effizient zu verwalten. 

powered by www.it-daily.net


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*