Gestohlene Identitäten als Unternehmensbedrohung Teil 3

Gastbeitrag von Peter Moersch, Principal Business Technology Architect bei CA Technologies

Privileged Access Management – Drei entscheidende Maßnahmen

Hacker heutzutage sind clever – keine Frage. Aber auch sie greifen auf immer wiederkehrende Muster zurück, die Unternehmen gute Anknüpfungspunkte liefern, um sich vor Angriffen zu schützen. Privilegierte Accounts bieten Hackern Zugang zum Daten-Herzstück und sind entsprechend besonders sensibel.

Schritt 1: Unbefugte Zugriffe verhindern

Der Schutz von Anmeldedaten ist der erste entscheidende Schritt, um Angreifer an einem Eindringen ins System zu hindern. Entsprechend bedenklich ist es, wenn privilegierte Accounts schlecht verwaltet werden oder Anmeldeinformationen aufgrund von Ressourcenmangel einfach wiederverwendet werden. Beides ist kein Ausnahmefall, sondern in vielen Unternehmen die Regel.

Access Management-Systeme ermöglichen eine Art Passwort-Safe, in dem Passwörter verschlüsselt gespeichert und aktiv verwaltet werden können. Passwörter lassen sich so kontinuierlich anhand von Standards ändern, die dem Risikolevel des Unternehmens oder den Ressourcen angemessen sind.

Eine strenge Authentifizierung kann erreicht werden, indem privilegierte Zugriffe über ein netzwerkbasiertes Gateway erfolgen. Ein solches System, das autorisierte Anwender, Rollen und Berechtigungen definiert, sollte in die vorhandene Identity-Management-Infrastruktur integriert werden. Beim Passieren dieses Gateways können Angreifern mit einer mehrstufigen Authentifizierung zusätzliche Steine in den Weg gelegt werden.

Um das Risiko eines unbefugten Zugriffs weiter zu verringern, sind Einschränkungen für den Systemzugriff notwendig, die auf der IP-Adresse des Anwenders bei der Anmeldung oder auf der Tageszeit basieren. Meldet sich ein Anwender nur zu bestimmten Tageszeiten oder von bestimmten Orten aus an, lässt sich der Zugriff sehr gut beschränken. In diesem Zusammenhang können Anmeldungen von IP-Adressen, von denen aus ein Zugriff niemals erwartet wird, vollständig blockiert werden.

Schritt 2: Berechtigungen von Anwendern beschränken

Trotz allem kann natürlich nicht ausgeschlossen werden, dass ein findiger Hacker doch einen Weg in das System findet. Um dann den Schaden möglichst gering zu halten, ist es wichtig, seinen Bewegungsspielraum möglichst gering zu halten. Dies kann präventiv geschehen, indem privilegierte Nutzer nur so viele Zugriffsrechte erhalten, wie sie tatsächlich benötigen. Oftmals ist ein privilegierter Account dazu berechtigt, auf Ressourcen im gesamten Netzwerk zuzugreifen. Dies heißt im Fall eines erfolgreichen Hackerangriffs: Nichts ist mehr sicher.

Mit Single Sign-Ons, die auf dem Prinzip der minimalen Zugriffsberechtigung basieren, können privilegierte Anwender nur die Systeme und Ressourcen einsehen, die für sie freigegeben wurden.

Mit host-basierten Agenten können die Kontrollmechanismen zusätzlich spezifiziert werden. Es kann zum Beispiel definiert und überwacht werden, wer auf welche Dateien und Verzeichnisse Zugriff hat und ob daran Änderungen vorgenommen wurden – oder feingranular das Betriebssystem von den Applikationen und Daten getrennt werden, beispielsweise für Outsourcing.

Schritt 3: Aktivitäten überwachen und aufzeichnen

Hacker verhalten sich bei der Infiltrierung von Netzwerken auffallend geduldig, solange sie sich unbemerkt darin bewegen können. Um zu verhindern, dass Hacker zum Teil monate- oder jahrelang unbeobachtet das Netzwerk ihres Opfers durchforsten, müssen umfangreiche Protokollierungs-, Warnungs- und Reportingfunktionen eingesetzt werden. Ziel eines solchen „Frühwarnsystems“ ist es, dass andere Administratoren, Manager und Auditoren in Echtzeit über verdächtiges oder ungewöhnliches Verhalten informiert werden.

Bei gemeinsam genutzten Administratorenkonten ist es entscheidend, dass Aktionen einer bestimmten Person zuzuordnen sind. Dadurch kann exakt ermittelt werden, welche Aktionen für ein System durchgeführt, welche Informationen abgerufen und wie die Ressource kompromittiert wurde. Mit diesem Wissen lässt sich nicht nur der aktuelle Schaden ermitteln und bekämpfen, sondern auch die richtige Vorbereitung treffen, um das Risiko zukünftiger Kompromittierungen zu verringern.

Access Management und die DSGVO

Neben dem verbesserten Schutz vor Hackern bietet ein umfassendes Access Management einen zusätzlichen Vorteil: Es unterstützt dabei, die Vorgaben der DSGVO zu erfüllen. Denn die Protokollierungsfunktion zeigt genau, wer wann welche Aktion durchgeführt hat und auch, ob die entsprechenden Daten DSGVO-relevant sind oder nicht.

In Artikel 33 und 34 der DSGVO ist festgelegt, welcher Meldepflicht Unternehmen im Fall eines erfolgreichen Hackerangriffs nachkommen müssen. Ganz konkret hilft Access Management dabei, alle notwendigen Daten direkt auf einem Blick zu haben, um der Meldepflicht korrekt nachkommen zu können.

Die Strafe von bis zu 4 % des Jahresumsatzes oder 20 Millionen Euro kann geringer ausfallen, als auch die Meldepflicht, denn: Die Meldepflicht an die Personen, deren Daten von dem Hackangriff betroffen sind, entfällt, wenn bestimmte Sicherheitsvorkehrungen seitens des Unternehmens eingerichtet wurden. Welche das genau sind, ist in Artikel 34 Absatz 3 festgeschrieben. Ein gut aufgesetztes Access Management kann also nicht nur die Meldepflicht erleichtern, sondern auch deren Umfang verringern.

Fazit

Privileged Access Management bietet verschiedene Mechanismen, die Unternehmen im Kampf gegen Hackern helfen können – sowohl in Form eines Schutzwalls, als auch im Worst-Case, wenn es um Schadensbekämpfung und den richtigen Umgang damit geht.

Alle Beiträge aus dieser Serie: