In vielen Organisationen ist über die Jahre die Erkenntnis gewachsen, dass der Zugriff auf hoch privilegierte Konten innerhalb einer IT-Landschaft mit hohen Risiken verbunden ist. Gerade in Organisationen, die regulatorischen oder gesetzlichen Anforderungen unterworfen sind, zum Beispiel Unternehmen im Bereich der Finanzdienstleistungen, helfen bei dieser Erkenntnis auch gerne mal externe Auditoren und entsprechende Findings in Prüfberichten nach.
Privilege Management sorgt durch die Kombination einer Vielzahl von Funktionen für eine umfassende Administration und Überwachung privilegierter Konten. Diese Funktionalitäten umfassen beispielsweise die zentrale Verwaltung von Zugangsdaten wie Passwörtern und Schlüsseln, die Beantragung, Genehmigung und Überwachung/Protokollierung von administrativen Sitzungen und bilden damit eine wichtige Grundlage für die konsequente Umsetzung des Prinzips der minimalen Rechte auch im administrativen Umfeld.
Schutz administrativer Privilegien vor Missbrauch, Angriff und Fehler
Dabei liegt die Notwendigkeit für den besonderen Schutz administrativer Konten eigentlich auf der Hand. Sei es der Datenbank-Administrator, der Domänen-Administrator in einer Active-Directory-Domäne oder der sprichwörtliche root-Account auf einem Unix System: Allen diesen Konten ist gemeinsam, dass mit ihnen und mit nur wenigen Kommandos zentrale Infrastrukturen korrumpiert, Daten exfiltriert, Systeme abgeschaltet oder irreparabel zerstört werden können. Gleiches gilt für die Accounts von Administratoren von Netzwerkkomponenten wie Routern oder Switches, den Administratoren von Mainframe Systemen, Virtualisierungs-Plattformen, Web- und Application Servern oder storage devices.
Ganz neue Arten von Administratoren bringt die rapide steigende Nutzung von Cloud-Diensten im Spannungsfeld zwischen Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) mit sich, die ganz ähnlichen Anforderungen für die Kontrolle dieser Konten stellt. Mit Blick auf die in diesen Umgebungen praktizierte geteilte Verantwortung zwischen den Administratoren des Cloud Service Providers und des Kundenunternehmens entstehen hier auch weitreichend unterschiedliche Anforderungen an die Wahrnehmung und die Dokumentation einer angemessenen Kontrolle des Einsatzes administrativer Accounts.
Gerne vergessen werden in diesem Zusammenhang die Administratoren von Operational Technology (OT), also von Systemen, wie sie beispielsweise beim Betrieb in der verarbeitenden oder produzierenden Industrie, aber auch in Kraftwerken oder weiteren Infrastrukturbetrieben eingesetzt werden.
- Von IT-Installationen bis Hausmeisterarbeiten
Die oberste Pflicht eines Systemadministrators ist, die IT-Infrastruktur eines Unternehmens zu verwalten, zu erweitern und am Laufen zu halten. Doch die IT-Experten müssen auch Verantwortungsbereiche übernehmen, die weit über ihre normalen Stellenanforderungen hinausgehen. - Die wichtigsten Aufgaben eines Systemadministrators
Platz: 10. - Die wichtigsten Aufgaben eines Systemadministrators
Platz: 9. - Die wichtigsten Aufgaben eines Systemadministrators
Platz: 8. - Die wichtigsten Aufgaben eines Systemadministrators
Platz: 7. - Die wichtigsten Aufgaben eines Systemadministrators
Platz: 6. - Die wichtigsten Aufgaben eines System-Administrators
Platz: 5. - Die wichtigsten Aufgaben eines System-Administrators
Platz: 4. - Die wichtigsten Aufgaben eines System-Administrators
Platz: 3. - Die wichtigsten Aufgaben eines Systemadministrators
Platz: 2. - Die wichtigsten Aufgaben eines Systemadministrators
Platz: 1. - Die wichtigsten Aufgaben eines Systemadministrators
Sonstige Arbeiten, zu denen der Administrator gerne herangezogen wird. - Die wichtigsten Aufgaben eines Systemadministrators
Sonstige Arbeiten, zu denen der Administrator gerne herangezogen wird. - Die wichtigsten Aufgaben eines Systemadministrators
Sonstige Arbeiten, zu denen der Administrator gerne herangezogen wird. - Die wichtigsten Aufgaben eines Systemadministrators
Sonstige Arbeiten, zu denen der Administrator gerne herangezogen wird. - Die wichtigsten Aufgaben eines Systemadministrators
Sonstige Arbeiten, zu denen der Administrator gerne herangezogen wird. - Die wichtigsten Aufgaben eines Systemadministrators
Sonstige Arbeiten, zu denen der Administrator gerne herangezogen wird. - Die wichtigsten Aufgaben eines Systemadministrators
Sonstige Arbeiten, zu denen der Administrator gerne herangezogen wird. - Die wichtigsten Aufgaben eines Systemadministrators
Sonstige Arbeiten, zu denen der Administrator gerne herangezogen wird.
Fokus auch auf Business-Administratoren
Denkt man üblicherweise nur an die technischen Administratoren von Infrastrukturen, so sind auch hoch privilegierte Businessanwender von Fachsystemen zwischen SAP und Siebel, zum Beispiel mit der Berechtigung zur Änderung von Stammdaten durchaus ebenfalls als administrative Konten zu betrachten. Der Paradigmenwechsel hin zu den so genannten connected enterprises sorgt hierbei dafür, dass diese hoch privilegierten Businessanwender im Einzelfall vielleicht nicht einmal mehr Mitarbeiter des eigenen Unternehmens/Konzerns sind, sondern bei Partnern unter Vertrag stehen.
Saßen Administratoren vor nicht allzu langer Zeit im eigenen Unternehmen in der IT Abteilung, so hat sich auch dieses Bild heute vollständig geändert: Der ungebremste Trend zum Outsourcing in vielerlei Szenarien zwischen near-shore und off-shore sorgt dafür, dass Administratoren nicht mal mehr im gleichen Land oder Wirtschaftsraum angesiedelt sind und je nach ausgewähltem Dienstleister auch durchaus die eingesetzten Administratoren einer hohen Fluktuation unterliegen.
Nur langsame Umsetzung in der Unternehmenspraxis
Auch wenn grundlegend die Zahl der Unternehmen, die Privilege Management als notwendige Aufgabe verstanden haben, immer noch um Dimensionen zu gering ist (womit sich zwangsläufig eine beunruhigend große Menge an Unternehmen ergibt, die keinerlei angemessener Handhabung administrativer Konten pflegen), so steigt der Umfang des Einsatzes entsprechender Werkzeuge doch langsam und kontinuierlich in den Unternehmen an.
Die Praxis zeigt, dass Projekte im Bereich der Überwachung und Administration privilegierter Konten nach einiger Zeit die notwendige Umsetzungsgeschwindigkeit verlieren. Oft aus der Not heraus geboren, konkrete Audit-Moniten für bestimmte Systeme zu beheben, wird leistungsfähige und oft auch kostenintensive Privilege-Management-Software beschafft, um aber dann nur Punktlösungen bereitzustellen. Und ist der Makel im Auditbericht dann behoben, so sinkt oft das Interesse an einer weiteren, strategischen Umsetzung einer solchen Lösung über alle relevanten System hinweg.
Gründe für Scheitern und Stagnieren
Doch darüber hinaus sind viele weitere Gründe für das Scheitern oder Stagnieren von solchen Projekten denkbar: Diese reichen von konkreten Budget-Problemen und Problemen bei der Bereitstellung des für die Umsetzung benötigten Personals oder anderer Ressourcen bis hin zum aktiven oder passiven Widerstand der betroffenen Administratoren. Aber auch bei der Konzeption eines solchen Projektes können viele wichtige Aspekte übersehen werden: Die Komplexität einer zu integrierenden, technischen Lösung wird insbesondere dann gerne unterschätzt, wenn sie schon lange etabliert ist und die notwendige Expertise vielleicht nicht mehr im Unternehmen vorhanden ist. Viele Unternehmen sind überrascht, wenn sie die schiere Anzahl der anzubindenden Endsysteme ermittelt haben, im Einzelfall kann es sich auch durchaus um mangelnde Fähigkeiten der eingesetzten Privilege-Management-Software bei der Handhabung exotischerer Zielsysteme handeln. Übertriebene Sicherheitsanforderungen, unrealistische Zeitpläne und das immer noch tief in vielen Unternehmen verwurzelte Silodenken, das eine übergreifende Kommunikation zwischen unterschiedlichen IT-Teams nachhaltig verhindert, bewirken ein Übriges.
Sicherheit als Herausforderung an das Management
Die Notwendigkeit eines angemessenen Managements privilegierte Konten ist unbestritten und ist eine zentrale Herausforderung für praktisch jedes Unternehmen jetzt und in der Zukunft. Die Definition, Umsetzung und kontinuierliche Weiterentwicklung dieser essentiellen Sicherheits-Funktionen kann deshalb nur unternehmensweit und als strategische Managementaufgabe begriffen werden.
Grundlage hierfür ist, dass Sicherheit, Governance und damit auch das Privilege Management als strategische Unternehmensziele begriffen werden. Unabhängig von den Notwendigkeiten, die durch externe Regulatoren und die gesetzlichen Rahmenbedingungen definiert werden, kann kein Unternehmen die Auswirkungen ignorieren, die durch den unsachgemäßen und ungewollten Gebrauch administrativer Berechtigungen durch eigene und externe Administratoren, aber auch Angreifer von innen wie außen hervorgerufen werden können. Reputationsverlust, Haftungs- und Imageschäden bei Kunden wie Mitarbeitern, der Verlust von Kundendaten oder die umfassende Beeinträchtigung der Existenzgrundlage eines Unternehmens sind hierbei durchaus realistische Szenarien, deren Eintreten auch einem ansonsten nicht IT-affinen Management vermittelt werden können.
- Security-Trends 2016
Viren, Cyberkrime, Erpressung, Kreditkartenbetrug - die Liste der digitalen Gefahren im Internet ist mittlerweile langgeworden. Wir haben die Top-10-Bedrohungen für 2016 zusammengestellt. - Malware
Bewährte und bekannte Malware-Technologien werden sich weiter entwickeln. Social-Engineering-Methoden, vor allem Tricks und Täuschungsmanöver, die sich wie bei Ransomware bereits erfolgreich bewährt haben, werden Unternehmen weiter terrorisieren. Es mag sein, dass Cyberkriminelle sich in Zukunft mit weniger Beute begnügen müssen. Einfach weil das Bewusstsein für diese Art von Angriffen deutlich gestiegen ist und die Backup-Prozesse sich bei den anvisierten Zielfirmen verbessert haben. Nichtsdestotrotz wird es weiterhin ausreichend ahnungslose Opfer geben, deren Daten einem hohen Risiko ausgesetzt sind. Und mit den Daten unter Umständen ganze Geschäftsmodelle und Firmen. - Datenschutzverletzungen
Die Flut an Datenschutzverletzungen wie wir sie 2015 erlebt haben und die damit verbundenen Verluste an Kreditkartendaten und persönlichen Informationen werden auch in diesem Jahr die Zahl der Spear-Phishing-Angriffe und der zielgerichteten Attacken rasant ansteigen lassen. Mittlerweile kursieren derart viele vertrauliche und sensible Informationen im Untergrund, dass Cyberkriminelle anhand dieser Informationen in der Lage sind, spezifische individuelle Profile zu erstellen. - Cyberkrieg
Aggressive Akte dieser Art werden zwischen immer mehr Nationen stattfinden, nicht nur zwischen den USA und China, aber auch. Von der Mehrzahl solcher Angriffe gegen Regierungsinfrastrukturen oder als Teil großangelegter Wirtschaftsspionage werden wir vermutlich nicht einmal etwas erfahren. Aber ganz offensichtlich ist das Internet auch aus Politik und strategischer Kriegführung nicht mehr weg zu denken. - Internet of Things
Heutzutage ist praktisch jeder mobil unterwegs und wickelt Arbeitsprozesse und Transaktionen entweder über sein Smartphone oder ein WLAN-fähiges Tablet ab. Der überwiegende Teil der Malware, die sich gegen mobile Endgeräte richtet, hat Android im Visier. Das Betriebssystem hat schlicht und ergreifend die weltweit meisten User. Zudem ist die Plattform besonders offen konzipiert. Internetkriminelle gehen traditionsgemäß dahin, wo zahlenmäßig am meisten zu erwarten ist. - BYOD
Keine Liste potenzieller Bedrohungen wäre komplett ohne BYOD. BYOD wird propagiert, weil es Kosten spart und Mitarbeiter produktiver und effizienter arbeiten. Allerdings bringt BYOD gerade für die IT-Abteilungen Herausforderungen mit sich, die zu bewältigen der Quadratur des Kreises ähnelt. Unternehmen müssen eine Strategie entwickeln und Richtlinien umsetzen, die zum jeweiligen Anforderungsprofil passen. Zu den zu berücksichtigenden Sicherheitsaspekten gehören: starke Passwortrichtlinien, Verschlüsselung, Geräte-Management, Zugriffskontrollen und so weiter. - Wearables
Dann sind da noch die Wearables. Und es werden immer mehr. Aber sie werden genauer unter die Lupe genommen. Die Benutzer fragen sich zunehmend, wo eigentlich alle die Daten landen, die sie übermitteln. Der Markt für Gesundheits- und Fitness-Apps boomt. Genauso wie der für Wearables aller Art. Mit ihrer steigenden Popularität steigt aber das Sicherheitsrisiko für hoch vertrauliche und sensible Daten. Unter Umständen verursacht durch simple Fehler bei den Privatsphäre-Einstellungen. - TOR
Auch als "Dark" oder "Deep Web" bezeichnet, hat TOR an Attraktivität gewonnen. Das Versprechen der Anonymität zieht dabei legitime Nutzer genauso an wie Kriminelle. Neben guten Gründen, die für ein anonymes Netzwerk sprechen, gibt es eine ganze Reihe illegaler Aktivitäten, die sich diesen Schutz ebenfalls zunutze machen. Dazu gehören Verstöße gegen Handelsabkommen, Urheberrechts- und andere Gesetzesverstöße, Foren, in denen mit gestohlenen Kreditkartennummern gehandelt wird, Hacking-Dienstleistungen und Malware aller Art. - Unbekannte Schwachstellen
Bisher nicht veröffentlichte Schwachstellen in beliebten Plattformen und gängigen Protokollen werden weiterhin das Ziel von Angreifern sein. Die letzten Jahre haben uns mit einigen Beispielen für solche schwerwiegende Sicherheitslücken in der Kommunikation konfrontiert. - Mobile Zahlungssysteme
Mobile Zahlungssysteme arbeiten intensiv daran, digitale Zahlungen sicherer zu machen. Dazu tragen Dienste wie ApplePay, Google Wallet und CurrentC bei. Anbieter versuchen seit einer geraumen Zeit das Verbraucherverhalten in Bezug auf mobile finanzielle Transaktionen durch Technologien wie die Nahfeld-Kommunikation NFC oder das "virtuelle Portemonnaie" zu verändern. Die Early Adopter-Phase verlief nicht allzu glücklich und ließ noch einiges zu wünschen übrig. - Cloud-Speicher
Die private Nutzung von Dropbox, OneDrive, Box, Google Drive oder anderen Speicherlösungen in der Cloud führt automatisch zu einem höheren Risiko. Und das für private Daten genauso wie für Unternehmensdaten und Dateien, die in solchen Cloud-Lösungen gemeinsam abgespeichert werden. Dabei sollte nicht unerwähnt bleiben, dass Cloud-basierte Backup-Lösungen nicht vor Ransomware schützen. Eher ist es sogar so, dass etliche Ransomware-Angriffe (wie CryptoLocker) sich auf kostenfreie Dienste wie Dropbox verlassen haben, um ihre schädliche Fracht zu verbreiten.
Goldene Regeln für ein erfolgreiches Privilege Management
Eine erste Basis an goldenen Regeln für eine erfolgreiche Umsetzung der Handhabung administrativer Konten lässt sich beispielhaft wie folgt umreißen: Ein angemessen implementiertes Privilege Management hat starken Support durch das Management des Unternehmens und ist langfristig und nachhaltig mit Budget versehen. Es ist nicht als reine IT-Aufgabe verstanden, sondern wird in einer Projekt-/Programm-Organisation repräsentiert, in der alle relevanten Ansprechpartner im Unternehmen, von der Business Seite bis hin zum Administrator selbst, involviert sind. Diese Organisation sorgt dafür, dass Privilege Management als eingebettete, begleitende Sicherheitsfunktion implementiert und qualitativ (konsequente Verbesserung der Prozesse) wie quantitativ (Menge der angebundenen Zielsysteme) kontinuierlich weiterentwickelt wird. Dies bedingt eine sinnvolle, phasenorientierte Umsetzung, die im Idealfall auch risikoorientiert ist. Damit ist gewährleistet, dass klar definierte, erreichbare Ziele umgesetzt und kommuniziert werden können. Natürlich ist ein Privilege Management immer auch als Teil einer ganzheitlichen Sicherheits-Infrastruktur zu verstehen, das heißt, es ist wohl-integriert etwa in Systeme für Identity und Access Management, in Access Governance und Analytics, aber auch in Systeme für das Security Information und Event Management (SIEM), Real Time Security Intelligence (RTSI) und damit als Bestandteil einer Architektur für ein Security Operations Center (SOC).
Für viele Unternehmen kann und darf sich nicht mehr die Frage stellen, ob man ein Privilege Management umsetzen muss, die Frage kann (neben der Frage, warum es nicht schon lange implementiert ist) nur noch lauten, wie man zu einem nachhaltigen, wohl-integrierten, Business-orientierten und nicht zuletzt auch Audit-sicheren Privilege Management kommt. (fm)