Sicherheitsrisiken ausbremsen
Superuser-Accounts effizient verwalten
Privilegierte Accounts mit ihren weitreichenden Rechten können in Unternehmen schnell zum Sicherheitsrisiko werden. Mit einer Lösung zur automatischen Verwaltung dieser Accounts lässt sich das Risiko eindämmen. Damit das klappt, müssen allerdings einige Regeln beachtet werden.
Denn bei der Auswahl und Implementierung einer Lösung zur automatischen Verwaltung von Passwörtern sollten einige elementare Aspekte zu berücksichtigt werden. Die acht wichtigsten nennt dieser Regeln hat das Sicherheitsunternehmen Cyber-Ark nun aufgelistet:
1. So sollten zunächst sämtliche unternehmenskritischen Systeme, Applikationen und Datenbanken sollten identifiziert werden, einschließlich der vorhandenen Zugänge von Administratoren. Dabei ist es wichtig konkret zu ermitteln, wer aktuell Zugang zu Passwörtern von privilegierten Benutzerkonten hat und tatsächlich Zugang haben sollte.
2. Um sicherzustellen, dass Mitarbeiter nur die Rechte besitzen, die für ihren Tätigkeitsbereich tatsächlich erforderlich sind, sollten Prozesse für IT-Berechtigungsvergaben definiert werden. Unerlässlich für die Verwaltung privilegierter Benutzerkennungen ist zudem auch die Implementierung einer rollenbasierten Zugriffskontrolle.
3. Damit IT-Verantwortliche das gesamte Passwortmanagement zentral verwalten und überwachen können, sollte eine Lösung zur zentralen Speicherung aller Passwörter und privilegierten Aktivitäten gewählt werden.
4. Ein zentrales Sicherheitsproblem besteht generell auch bei Software oder Application Accounts, das heißt bei Passwörtern, die in Anwendungen, Skripten oder Konfigurationsdateien gespeichert sind und einen automatischen Zugriff auf Backend-Systeme ermöglichen. Dies ist mit einer Vielzahl von Risiken verbunden, da die Passwörter in der Regel nie geändert werden, oft im Klartext vorliegen und einer großen Anzahl an Usern wie Systemadministratoren und Entwicklern zugänglich sind. Die eingebetteten statischen Passwörter sollten folglich in den Applikationen und Skripten eliminiert werden. Es empfiehlt sich, auch diese Zugangsdaten zentral abzulegen und zu überprüfen sowie regelmäßig zu ändern.
5. Eine automatische Verwaltung und Änderung privilegierter Accounts sollte die ausgewählte Passwortmanagement-Lösung sollte auf jeden Fall ermöglichen. Der Anwender muss dabei die Komplexität und den Änderungszyklus – abhängig von den Vorgaben der jeweiligen Security-Policy – beliebig festlegen können. Der Einsatz eines Tools zur Erstellung von Passwort-Datenbanken reicht auf keinen Fall aus. Das gilt, wenn das Tool zwar die Speicherung der Kennwörter ermöglicht, aber keine automatische Änderung.
6. Externe Zugriffe auf das Firmennetz sollten zuverlässig überwacht werden. Dabei sollte eine Lösung implementiert werden, die es ermöglicht, dass externe Dienstleister oder Administratoren Passwörter nie einsehen können. Realisierbar ist das zum Beispiel durch die Implementierung eines Jump-Servers für die administrativen Verbindungen. Nur er »kennt« die Passwörter der Zielsysteme und nur er darf sich mit diesen verbinden – so verlässt ein Passwort das Unternehmensnetzwerk auch dann nicht, wenn der Zugriff von außen erfolgt.
7. Die zentrale Speicherung von Passwörtern erfordert die Implementierung einer Lösung, die mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet. Mit Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP muss sichergestellt werden, dass nur autorisierte Anwender Zugang zu den Passwörtern haben. Darüber hinaus sollten die Passwörter selbstverständlich verschlüsselt gespeichert sein. Bei besonders kritischen Daten oder auch bei Notfall-Passwörtern empfiehlt sich das Vier-Augen-Prinzip, um Missbrauch auszuschließen.
8. Nicht zuletzt sollte die Nutzung privilegierter Accounts revisionssicher protokolliert werden. Damit nicht nur festgestellt werden kann, wer sich eingeloggt hat, sondern auch zu welchem Zweck, sollten die Admin-Sessions komplett protokolliert werden. Sinnvoll ist es zudem eine Passwortmanagement-Lösung einzusetzen, die eine so genannte Realtime-Überwachung bietet und es somit ermöglicht, bei verdächtigen Aktivitäten direkt einzugreifen und einzelne Sessions zu beenden.
Lesen Sie mehr zum Thema
