Die Kompromittierung privilegierter Accounts öffnet Hackern Tür und Tor zur Unternehmens-IT und sensiblen Daten. Netzpalaver sprach mit Markus Kahmen, Regional Director Central Europe von Thycotic, worauf Unternehmen bei Privileged-Accounts achten sollten, wie diese besonders kritischen Accounts zu schützen sind und welche Lösungen es unter Berücksichtigung der DSGVO dafür gibt.
Netzpalaver:Was versteht man genau unter privilegierten Accounts und warum stehen sie bei Hackern hoch im Kurs?
Markus Kahmen: Privilegierte Accounts sind in fast allen IT-Umgebungen zu finden. Sie sind für die Verwaltung großer Hardware- und Softwarenetzwerke und die Sicherstellung eines optimalen Informationsflusses unabdingbar. Dabei unterscheidet man nutzergebundene Konten, sogenannte Human-Accounts, von Non-Human-Accounts, d.h. Konten, die für Anmeldungen an Datenbanken, Anwendungen oder für das Management von Peripheriegeräten wie Switches oder Firewalls genutzt werden.
Für Cyberkriminelle sind privilegierte Accounts vor allem deshalb ein attraktives Ziel, da sie über umfassende Zugriffsrechte verfügen und Angreifern gleichsam wie ein Generalschlüssel das Tor zur gesamten IT-Umgebung öffnen. Damit verschaffen sie Zugriff auf sensible, vertrauliche und geschäftskritische Daten. Letztlich müssen Cyberkriminelle also nur ein einziges privilegiertes Unternehmenskonto knacken, um auf sämtliche Informationen im IT-Netzwerk zugreifen oder Malware einschleusen zu können. Besonders problematisch ist, dass solche Attacken oft unbemerkt bleiben und die Angreifer teils über Monate hinweg ihr Unwesen treiben können.
Netzpalaver: Was sind die größten Fehler im Umgang mit privilegierten Konten und sensiblen Zugangsdaten?
Markus Kahmen: Was die Verwaltung und die Sicherung von privilegierten Accounts und ihren Zugangsdaten betrifft, haben viele Unternehmen nach wie vor großen Nachholbedarf. Eine wesentliche Schwäche ist dabei sicherlich mangelhaftes Passwortmanagement. Erschreckenderweise ist es auch in den anspruchsvollsten IT-Umgebungen noch immer gang und gäbe, gleiche Passwörter über mehrere Systeme hinweg zu verwenden, Zugangsdaten unkontrolliert weiterzugeben und Standardpasswörter im Einsatz zu haben, die nie oder so gut wie nie abgeändert werden.
Aber auch bei der Einrichtung privilegierter Accounts handeln IT-Abteilungen nachlässig. Vor allem bei Service-Accounts machen viele IT-Abteilungen den Fehler, diese nach dem „einer für alle“-Prinzip zu nutzen, d.h. einen einzigen Account für viele verschiedene Anwendungen und Services zu nutzen. Hinzu kommt, dass diese Konten aus reiner Bequemlichkeit oftmals mit viel zu hohen Berechtigungen ausgestattet werden.
Generell kann man sagen, dass viele Verantwortliche das enorme Risiko, das von sensiblen Unternehmenskonten ausgeht, verdrängen. Anders lässt sich nicht erklären, dass 73 Prozent der Unternehmen bei privilegierten Konten auf die eigentlich unabdingbare Multi-Faktor-Authentifizierung verzichten, wie der aktuelle Global State of PAM Risk and Compliance-Report von Thycotic zu Tage gebracht hat.
Netzpalaver: Was sollte der erste Schritt bei der Sicherung der privilegierten Accounts sein?
Markus Kahmen: Da man nur schützen kann, von dessen Existenz man auch weiß, ist der erste Schritt sicherlich die verlässliche Identifikation aller Privileged-Accounts. Was so einfach klingt, ist für viele Unternehmen jedoch eine Herausforderung. Wie unser PAM-Risk Report 2018 gezeigt hat, haben immerhin drei Viertel der Unternehmen hier keine Transparenz und sind nicht in der Lage, ihre schützenswerten Konten vollständig zu identifizieren. Aus diesem Grund sollten Unternehmen PAM-Lösungen einsetzen, die privilegierte Accounts automatisch erkennen und auflisten und zudem einen Überblick über alle Nutzer mit lokalen Admin-Rechten zur Verfügung stellen.
Zudem sollten IT-Abteilungen davon absehen, Passwörter von Menschen generieren zu lassen, sondern ein Passwortmanagement einsetzen, dass die Zugangsdaten automatisch erstellt, regelmäßig abändert und übersichtliche Protokolle verfasst.
Netzpalaver: Worauf sollten Unternehmen bei der Auswahl einer PAM-Lösung außerdem achten?
Markus Kahmen: Um ungewöhnliche Aktivitäten und damit potenzielle Cybermanipulationen frühzeitig zu erkennen, ist es wichtig, die Nutzung von privilegierten Konten im Auge zu behalten. Hierfür erweisen sich PAM-Lösungen als hilfreich, die regelmäßig Audits durchführen und automatische Berichte über sämtliche Nutzeraktivitäten bereitstellen. So können IT-Verantwortliche nicht nur Cyberangriffe schnell identifizieren, sie haben zudem die Möglichkeit, den Ursachen von Sicherheitsverstößen auf den Grund zu gehen und darauf basierend Schutzmaßnahmen anzupassen.
Netzpalaver: Wie aufwendig ist die Implementierung einer PAM-Lösung? Gibt es Unterschiede bei den Anbietern?
Markus Kahmen: Ich verstehe, dass Unternehmen aufwendige Implementierungen fürchten, die mit lästigen Ausfällen und unangenehmen Beeinträchtigungen einhergehen. Doch mit dem richtigen Anbieter kann man diesem Szenario auf jeden Fall entgehen. Die Implementierung unseres Secret-Servers lässt sich beispielsweise ganz unkompliziert in rund 2 bis 4 Stunden abschließen. Wer dennoch unsicher ist, kann die PAM-Lösung auch schrittweise implementieren und zum Beispiel zunächst nur die Human-Accounts abdecken.
Netzpalaver: Welche Rolle spielt Privileged-Account-Management in Hinblick auf gesetzliche Regelungen und die DSGVO?
Markus Kahmen: Unterliegt ein Unternehmen gesetzlichen oder branchenspezifischen Regulierungen oder Vorschriften, sollte es alles daransetzen, privilegierte Konten bestmöglich abzusichern. Denn sowohl präventiv im Rahmen von Audits als auch nach Cybervorfällen müssen IT-Verantwortliche in der Lage sein, nachzuweisen, dass sie ihre sensiblen Accounts unter Kontrolle haben und vor Cyberkriminellen und internen Angreifern proaktiv schützen. Effektive PAM-Lösungen unterstützen Unternehmen natürlich auch wesentlich bei der Einhaltung der neuen EU-Datenschutz-Grundverordnung. So ermöglichen es die oben erwähnten Nutzer-Analysen zum Beispiel, Datenschutzvorfälle zeitnah zu identifizieren und so der strengen Melde- und Dokumentationspflicht der DSGVO (Art. 33) gewissenhaft nachkommen zu können.
#Netzpalaver #Thycotic
