Zugriffsrechte als Sicherheitsrisiko

IT-Berechtigungen ermöglichen Mitarbeitenden den Zugriff auf IT-Ressourcen, doch falsch konfiguriert öffnen sie Hackern Tür und Tor. IT-Sicherheitsexperte Helmut Semmelmayer vom IAM-Entwickler tenfold verrät, wie Organisationen sich schützen können. [...]

Helmut Semmelmayer ist Senior Manager Channel Sales bei tenfold. (c) tenfold

Unternehmen unterliegen einem ständigen Wandel. Mitarbeiter stoßen zum Team, übernehmen neue Funktionen, wechseln die Abteilung, gehen in Elternzeit oder scheiden aus dem Betrieb aus. All diese Veränderungen gilt es auch auf der digitalen Ebene abzubilden: Um den reibungslosen Zugriff auf das Firmennetzwerk, Cloud-Dienste und externe Anwendungen zu gewährleisten, müssen Admins laufend neue Benutzer anlegen, mit den richtigen Rechten ausstatten und diese auch rechtzeitig wieder entfernen.

Während die nötigen Anpassungen sich im kleinen Rahmen noch vergleichsweise einfach bewerkstelligen lassen, entwickelt sich die manuelle Steuerung von Zugriffsrechten bei hunderten Konten, dutzenden Diensten und etlichen Verzeichnissen schnell zu einem Mammutprojekt, das nicht nur Unmengen an Zeit verschlingt, sondern bei dem es auf Dauer auch zwangsläufig zu Fehlern kommt.

Die Ursachen für falsch konfigurierte Zugriffsrechte sind vielfältig. Teils sorgt der interne Informationsfluss für Probleme, etwa wenn die HR das IT-Team nicht rechtzeitig über einen Abgang informiert und so verwaiste Konten im Unternehmensnetzwerk zurückbleiben. Die parallele Pflege von Active Directory, Azure AD, Geschäfts- und Drittanwendungen ist eine weitere Fehlerquelle, da bei Anpassungen leicht eines der zahlreichen Systeme übersehen wird. Häufig werden für Projekte und Vertretungen auch spezielle Rechte »auf Zeit« vergeben, an die später einfach niemand mehr denkt.

Teil des Problems ist die Tatsache, dass ein Überschuss an Zugriffsrechten im Arbeitsalltag kaum auffällt. Ein Benutzer, der auf eine benötigte Datei nicht zugreifen kann, kontaktiert selbstständig den Helpdesk. Doch niemand würde sich bei der IT melden, weil er noch immer Zugriff auf Daten aus seiner vorigen Abteilung hat, falls ihm das überhaupt bewusst ist. Überflüssige Berechtigungen bleiben solange unsichtbar, bis sie zum Problem werden. Doch dann ist es oft schon zu spät.

Einfallstor für Hacker

Nicht mehr benötigte Konten und Rechte können sich nämlich doch als nützlich erweisen – und zwar für Cyberkriminelle. Insbesondere verwaiste Konten sind ein beliebtes Ziel für Hacker, da diese in Sachen Sicherheit oft nicht auf dem neuesten Stand sind und es auch keinen User dahinter gibt, der wegen verdächtiger Aktivität Alarm schlagen könnte. Einmal im System, können sich Angreifer dank der weitreichenden Berechtigungen, die in vielen Unternehmen bestehen, ungehindert im Firmennetzwerk ausbreiten.

Die Verwaltung von Benutzern und Zugriffsrechten ist also in doppelter Hinsicht eine Frage der Sicherheit. Einerseits können Organisationen durch das konsequente Löschen nicht mehr benötigter Konten ihre Angriffsfläche reduzieren und damit das Risiko für Cyberangriffe deutlich senken. Andererseits hilft die Einschränkung von Zugriffsrechten auf ein notwendiges Minimum dabei, den Schaden im schlimmsten Fall so gering wie möglich zu halten. Dieser Grundsatz, auch als Least-Privilege-Prinzip bezeichnet, zählt nicht ohne Grund zu den Best Practices der IT-Sicherheit.

Datendiebstahl leicht gemacht

Dabei braucht es nicht zwangsläufig einen Angriff von außen, damit sensible Daten in die falschen Hände geraten. Auch bei internen Sicherheitsvorfällen, vom vorsätzlichen Datendiebstahl bis hin zu unabsichtlichen Datenpannen, spielt die Berechtigungsstufe von Mitarbeitenden eine wesentliche Rolle. Auf je mehr Systeme eine Person zugreifen kann, desto mehr Informationen sind gefährdet, wenn der oder die Betroffene einem Phishing-Link, Passwort-Leak oder ähnlichem zum Opfer fällt. Oder schlicht aus Neugier in Verzeichnissen stöbert, die weit außerhalb ihres Aufgabenbereichs liegen.

Organisationen, die Zugriffsrechte nicht angemessen beschränken, riskieren neben dem Verlust geschützter Informationen auch erhebliche Datenschutzstrafen. Denn der Schutz vor unberechtigtem Zugriff zählt zu den Pflichten bei der DSGVO-konformen Verarbeitung von personenbezogenen Daten. Dass es Organisationen hier nicht immer genau nehmen, zeigt etwa der Fall eines portugiesischen Krankenhauses, in dem 985 Benutzerkonten Zugang zu Patientendaten hatten, obwohl nur knapp 300 Mediziner dort tätig waren. Die örtliche Datenschutzbehörde verhängte daher ein Bußgeld von 400.000 Euro für die Klinik. Ähnliche Urteile sorgen immer wieder für Schlagzeilen und machen deutlich, wie weit verbreitet unsichere Zugriffstrukturen sind.

Wege aus dem Chaos

Chaotische, unsichere Strukturen entstehen nicht von einem Tag auf den anderen, sondern wachsen oft über Jahre hinweg an. Je länger man diese Altlasten ignoriert, desto schlimmer wird das Problem. Daher ist entschlossenes Vorgehen besonders wichtig, um für Ordnung und Sicherheit zu sorgen. Organisationen, die mit der Verwaltung von Berechtigungen kämpfen, sollten aber unbedingt darauf achten, eine langfristige Lösung zu finden, anstatt nur Symptome zu behandeln.

Beispielsweise ermöglichen Audit- und Reporting-Tools zwar einen kurzfristigen »Frühjahrsputz« im Firmennetzwerk, lösen aber nicht das grundlegende Problem der fehleranfälligen Berechtigungsvergabe. Nach der großen Aufräumaktion sammeln sich daher schon bald wieder überflüssige Rechte an und das Spiel geht von Neuem los. Um das Problem an der Wurzel zu packen, muss die Vergabe von Rechten standardisiert und automatisiert werden.

Identity und Access Management Lösungen stellen eine zentrale Plattform für die Berechtigungsverwaltung bereit, die nicht nur auf aktuelle Probleme hinweist, sondern Sicherheitslücken dauerhaft schließt. Anstatt unzählige Systeme parallel pflegen zu müssen, überträgt IAM-Software sämtliche Änderungen automatisch, wann immer sich die Position eines Mitarbeitenden verändert. Somit ist sichergestellt, dass allee Beschäftigten vom ersten bis zum letzten Tag genau über jene Rechte verfügen, die sie für ihre Aufgabe brauchen. Die übersichtliche Zusammenfassung aller Zugriffsrechte erlaubt es dabei, die Einhaltung von Datenschutz- und Sicherheitsrichtlinien jederzeit im Blick zu behalten.

Als angenehmer Nebeneffekt trägt die zentrale Verwaltung neben dem besseren Schutz von IT-Ressourcen auch zur Entlastung von Admins bei. Durch die Automatisierung von Routine-Aufgaben in der Berechtigungsvergabe und -Anpassung entfallen zahlreiche lästige und fehleranfällige Arbeitsschritte. Durch Self-Service-Funktionen und die Bestimmung von Datenverantwortlichen innerhalb von Abteilungen kann die Freigabe von Daten in den jeweiligen Fachbereich verlagert werden, was Entscheidungswege verkürzt und eine präzisere Abstimmung der Zugriffsrechte ermöglicht.

Mehr Sicherheit bedeutet also nicht zwangsläufig mehr Aufwand. Für Organisationen, die aufgrund ihrer Größe bei der manuellen Anpassung von Rechten an ihre Grenzen stoßen, stellt die automatisierte Berechtigungsverwaltung eine Win-Win-Situation dar. IAM-Lösungen sichern sensible Daten bestmöglich ab, ohne den Zugriff im Arbeitsalltag zu erschweren. Als Senior Manager Channel Sales bei dem IAM-Entwickler tenfold hilft der IT-Sicherheitsexperte Helmut Semmelmayer Firmen dabei, Zugriffsrechte sicher und effizient zu verwalten.

*Helmut Semmelmayer ist Senior Manager Channel Sales bei tenfold.


Mehr Artikel

News

Fünf Mythen über Managed Services 

Managed Services sind ein Erfolgsmodell. Trotzdem existieren nach wie vor einige Vorbehalte gegenüber externen IT-Services. Der IT-Dienstleister CGI beschreibt die fünf hartnäckigsten Mythen und erklärt, warum diese längst überholt sind. […]

News

ESET: MDR-Lösungen für Managed Service Provider

ESET erweitert sein Angebot für seine Managed Service Provider (MSP) und Channel-Partner, um sie angesichts der zunehmend komplexen Bedrohungslandschaft gezielt zu unterstützen. Die neuesten Ergänzungen umfassen den Service „ESET MDR für MSPs“, eine erweiterte KI-gestützte Bedrohungsanalyse durch den ESET AI Advisor sowie flexible Preismodelle für MSP. […]

News

Geniale Handy-Tricks

Smartphones haben etliche Funktionen, die kaum jemand nutzt, aber Ihren digitalen Alltag bereichern können. Wir stellen Ihnen eine Auswahl der besten Geheimtipps vor – sowohl für Android-Smartphones als auch für Apples iPhones. […]

Die Kombination aus interner Mobilität und Ressourcenbeschränkungen führt schnell zu einem Wildwuchs bei den vergebenen Privilegien. (c) Unsplash
Kommentar

6 Wege, wie Privilege Management die Sicherheitslage verbessert

Identitäten, Konten, Computer, Gruppen und andere Objekte benötigen gleichermaßen Zugang zu Ressourcen – limitiert auf die jeweilige Rolle und nur solange der Zugriff tatsächlich gebraucht wird. Dies ist ein grundlegender Bestandteil eines Zero Trust Least Privilege-Modelles und als solcher von AD-Administratoren, IT-Leitern, dem höheren Management und CISOs anerkannt. […]

David Blum, Defense & Security Lead bei Accenture, im Gespräch mit der ITWELT.at. (c) timeline / Rudi Handl
Interview

„Ein resilientes Unternehmen zeichnet sich durch größtmögliche Transparenz aus“

Transparenz, soweit im Sicherheitskontext möglich, ist für David Blum, Defense & Security Lead bei Accenture, ein wichtiger Bestandteil von Unternehmensresilienz. Das fördere die aus dem Verständnis folgende Unterstützung der Mitarbeitenden. Die unternehmerische Resilienz müsse nicht nur technisch, sondern auch kulturell verankert werden: „Denn Resilienz beginnt im Kopf jedes Einzelnen“, sagt Blum im Gespräch mit der ITWELT.at. […]

News

Klassifizierung von KI-Systemen gemäß EU AI Act

Unternehmen, die KI nutzen, sollten die rechtlichen Rahmenbedingungen kennen, um teure Bußgelder zu vermeiden. Der EU AI Act stellt den ersten umfassenden Rechtsrahmen zur Regulierung von KI dar und zielt darauf ab, die Grundrechte der Bürger innerhalb der Europäischen Union zu schützen. Da der EU AI Act KI-Systeme nach Risikostufen klassifiziert und damit spezifische rechtliche Verpflichtungen beinhaltet, ist es für Unternehmen unerlässlich, ihre Systeme korrekt zu kategorisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*