31.07.2012
Interview, Sicherheit
Von: Wolfgang Cabolet

Jochen Koehler, Cyber-Ark

Unsichere Privilegien

Privilegierte Accounts, wie sie zum Beispiel Administratoren besitzen, stellen für jedes Unternehmen ein hohes Sicherheitsrisiko dar, da über sie in der Regel ein problemloser Zugriff auf alle vertraulichen Datenbestände möglich ist. Wir sprachen mit Jochen Koehler, DACH-Chef von Cyber-Ark, über dieses häufig unbeachtete Risiko der IT-Sicherheit.


„Gerade bei einer Auslagerung von unternehmenskritischen Applikationen oder Daten muss das Thema Sicherheit an oberster Stelle stehen“, ist sich Jochen Koehler, DACH-Chef von Cyber-Ark, sicher.

ITM: Herr Koehler, welche Arten von privilegierten Accounts gibt es?
Jochen Koehler:
Bei den privilegierten Accounts kann man generell vier Kategorien unterscheiden. Zunächst sind die Built-in Accounts und Shared Accounts, generische Benutzerkonten mit höchsten Privilegien, wie sie System- und Netzwerkadministratoren besitzen, zu nennen; Beispiele sind Windows-Administratoren oder Unix-Root-User. Erweiterte Rechte haben auch die Privileged Personal Accounts von CFOs oder DBAs. Ein weiterer Bereich sind die Application oder Software Accounts, das heißt in Applikationen, Skripten, Windows-Services oder Batch-Jobs eingebettete Passwörter, die zum Beispiel für den Datenbankzugriff, Batch-Prozesse oder die App-2-App-Kommunikation benötigt werden. Zuletzt sind die sogenannten Emergency Accounts zu erwähnen, spezielle generische Accounts, die für administrative Tätigkeiten bei Notfällen oder Disaster-Recovery-Maßnahmen eingesetzt werden.

ITM: Welche Security-Maßnahmen werden heute in der Regel ergriffen und warum sind sie unzureichend?
Koehler:
Abgesehen davon, dass es zum Teil überhaupt kein Passwort-Management gibt, ist ein nach wie vor weit verbreiteter Lösungsansatz die manuelle Änderung von Passwörtern. Bei der normalerweise sehr großen Anzahl an Servern, Datenbanken und Netzwerkgeräten ist die manuelle Änderung von privilegierten Benutzerkonten allerdings extrem zeitaufwändig und fehlerbehaftet. Auch proprietäre Lösungsansätze zur Passwort-Verwaltung finden sich vereinzelt. Diese weisen aber den Nachteil auf, dass sie kaum die erforderliche Anzahl an unterschiedlichen Plattformen unterstützen und zudem einen hohen Entwicklungs- und Wartungsaufwand erfordern. Darüber hinaus sind Tools zur Erstellung von Passwort-Datenbanken, die zwar eine Speicherung der Kennwörter ermöglichen, aber keine automatische Änderung, ebenfalls keine geeigneten Lösungen.

ITM: Welche Ergebnisse brachte eine Umfrage von Cyber-Ark auf der it-sa zu Datensicherheit und Passwort-Management in Unternehmen?
Koehler:
Ein zentrales Ergebnis war, dass fast 50 Prozent der befragten Unternehmen es nicht für nötig erachten, ihre Administratoren-Passwörter überhaupt oder zumindest regelmäßig zu ändern. Konkret antworteten 38 Prozent der befragten IT-Experten aus 286 Unternehmen, dass sie ihre Passwörter nur in unregelmäßigen Abständen ändern. Bei neun Prozent der Interviewten werden diese Passwörter überhaupt nicht geändert. Das ist in unseren Augen erschreckend, denn ein zyklischer Wechsel von Administratoren-Passwörtern, beispielsweise jeden Monat, sollte heute eigentlich Standard sein. Schließlich kann man mit diesen Passwörtern auf alle unternehmenskritischen Datenbestände ungehindert zugreifen.

ITM: Hat die zunehmende Nutzung von Cloud-Services auch Auswirkungen auf den Bereich „sichere Verwaltung von Admin-Passwörtern?"
Koehler:
Natürlich. Gerade bei einer Auslagerung von unternehmenskritischen Applikationen oder Daten muss das Thema Sicherheit an oberster Stelle stehen. Schließlich sind Unternehmen auch bei einem Outsourcing von IT oder Geschäftsprozessen verpflichtet, alle Anforderungen des Risikomanagements zu erfüllen. Die Verantwortung für die ausgelagerten Bereiche verbleibt also beim Auftraggeber. Unternehmen sollten bei der Nutzung von Cloud-Services deshalb genau überprüfen, wo sich ihre Daten befinden, wie sie gesichert werden und vor allem wer darauf Zugriff hat. Das heißt, es geht auch um Fragen des ID- und Rechtemanagements. Eine klare Regelung der Zugriffsmöglichkeiten und detaillierte Überwachung aller Aktivitäten sind hier unerlässlich – wie es auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Mai 2011 im Eckpunktepapier „Sicherheitsempfehlungen für Cloud-Computing-Anbieter“ gefordert hat, in dem es um Mindestsicherheitsanforderungen für Cloud-Service-Provider (CSP) geht. Dort heißt es unmissverständlich: „Benutzer und CSP-Administratoren sollten nur die Rechte besitzen, die sie zur Erfüllung ihrer Aufgaben benötigen.“ Das BSI geht sogar noch einen Schritt weiter: Es sollte ein Nachweis möglich sein, „dass tatsächlich nur die für die Aufgabe notwendigen Daten eingesehen wurden“.

ITM: Mit welchen Lösungen kann man die Passwort-Problematik in den Griff bekommen?
Koehler:
Eine Lösung für diese Problematik bieten Privileged-Identity-Management-Plattformen, mit denen administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können. Sie ermöglichen ein umfassendes und zentrales Management von privilegierten Konten, Benutzern und Sessions sowie der in Anwendungen und Skripten eingebetteten Passwörter. Wichtig dabei ist, dass mit der Lösung privilegierte Zugänge nicht nur im Hinblick auf das „Wer“, sondern auch auf das „Was“ gesichert und überwacht werden können. Durch eine durchgängige Protokollierung von Admin-Sessions sollte eine vollständige Transparenz über alle Vorgänge bei privilegierten Zugriffen und damit eine jederzeitige Nachvollziehbarkeit gegeben sein, was in ihnen konkret passiert ist. Mit einer solchen Lösung werden dann auch alle aktuellen Anforderungen an das Passwort-Management aus Normen und gesetzlichen sowie aufsichtsrechtlichen Bestimmungen zuverlässig und vor allem vollständig erfüllt.


Aktuelle Ausgabe

Titelinterview: Webbasiertes ERP-System
mit Markus Hirth, John GmbH

Video-überwachungstechnik
IT-Sicherheit auf dem Firmengelände

IT-Virtualisierung
Welche Virtualisierungslösungen im Mittelstand?

Neue Wege des Arbeitens

Windows 8
Mit mehr Sicherheit besser - und flexibler

Das neue Office
Immer und überall produktiv

Internet Explorer
Der Webbrowser rückt in den Fokus

Interview mit Markus Hirth, Leiter IT und Controlling der John GmbH.

Im Interview mit Markus Hirth, Leiter IT und Controlling der John GmbH. Der Produzent von PVC-Bällen setzt seit langem auf ein webbasiertes ERP-System...mehr lesen »

IT Mittelstand Newsletter
IT-Sicherheit: Moderne Videoüberwachung

Es tut sich was in Sachen Videoüberwachung auf dem Firmengelände: Neue Analysefunktionen, integrierte Sabotageerkennung und Software-Tools, die datenschutzrelevante Themen wie die Mitarbeiterüberwachung am Arbeitsplatz auf technischer Ebene verhindern. Doch bevor ein System ausgewählt und Kamerastandorte bestimmt werden, muss die „Hürde“ Betriebsrat genommen werden...mehr lesen »