Rawpixel.com - stock.adobe.com
Sechs privilegierte Accounts, die Sie im Blick haben müssen
Privilegierte Konten und Zugriffrechte gewähren Zugriff auf sensible und unternehmenskritische Ressourcen. Das macht sie zum beliebten Angriffsziel für Cyberkriminelle.
Privilegierte Konten und privilegierte Zugriffrechte stellen eine reibungslose Verwaltung sämtlicher Systeme, Infrastrukturen und Programme sicher und gewähren den Mitarbeitern Zugriff auf sensible und unternehmenskritische Ressourcen. Diese Tatsache macht privilegierte Accounts jedoch zu einem beliebten Angriffsziel für Cyberkriminelle. Einmal gehackt, ermöglichen sie es den Angreifern, sich frei im Netzwerk zu bewegen und auf hochkritische Daten zuzugreifen, wobei sie ihre Spuren geschickt verbergen können.
Um Änderungen an der System- und Softwarekonfiguration vorzunehmen, administrative Aufgaben auszuführen, Benutzerkonten zu erstellen oder zu löschen, Patches zu aktualisieren oder auf sensible Informationen zuzugreifen – kurz: um die Systeme eines Unternehmens am Laufen zu halten – braucht es privilegierte Konten.
Privilegierte Accounts sind unabhängig vom physischen Standort über die gesamte Infrastruktur eines Unternehmens verteilt, sowohl On-Premises als auch in der Cloud. Sie finden sich häufig auf Servern, Endgeräten und Betriebssystemen, aber auch in virtuellen Umgebungen, in Software, Cloud-Umgebungen, Datenbanken und in vielen Anwendungen. In der Regel haben Unternehmen bis zu fünfmal so viele privilegierte Konten wie Systeme und genau diese schiere Mange macht die Verwaltung und Absicherung der Konten zur Herausforderung. Denn wie der aktuelle State of PAM Maturity Report 2019 zeigt, haben 55 Prozent der IT-Abteilungen keinerlei Überblick darüber, wie viele privilegierte Konten in ihrem Unternehmen existieren oder wo sich diese befinden. Diese Unübersichtlichkeit kann Unternehmen schnell zum Verhängnis werden, da man nur schützen und überwachen kann, was man auch im Blick hat.
Um Kompromittierungen oder Missbrauch zu verhindern, müssen IT-Abteilungen die volle Kontrolle über ihre privilegierten Konten und Zugriffe zurückgewinnen. Da nicht jeder Privileged Account gleich gefährdet ist, gilt es, zunächst die kritischsten Konten zu identifizieren und abzusichern. Auf folgende sechs Accounts sollten sich IT-Abteilungen dabei konzentrieren, wenn sie ihr Cyberrisiko schnell und effektiv senken wollen:
1. Das Domain Administrator-Konto: Die Königin unter den privilegierten Accounts
Das Domain Admin-Konto ist insofern kritisch und äußerst schützenswert, da es vollen Zugriff auf und Kontrolle über die Active-Directory-Domäne hat. Domänen-Admins sind standardmäßig Mitglied der Admin-Gruppe auf allen Domänencontrollern, allen Domänenarbeitsstationen und allen Domänen-Mitgliedservern, sobald sie mit der Domain verbunden sind.
Aus diesem Grund müssen diese Konten so weit wie möglich eingeschränkt und überwacht werden. Der Zugang zu ihnen muss strikt auf „On-Demand“-Basis gewährt werden, wobei zusätzliche Sicherheitskontrollen zur Verhinderung einer unbefugten Nutzung ratsam sind. Alle Aktivitäten rund um Domain-Admin-Konten sollten ohne Unterbrechung überwacht werden.
2. Das Domain Service-Konto: Die Herausforderung
Die Aufgabe von Domain-Service-Accounts ist es, Systeme und Anwendungen zusammenzubringen, damit sie miteinander kommunizieren und Zugriff auf benötigten Ressourcen gewähren können, etwa um Berichte auszuführen, auf Datenbanken zuzugreifen oder APIs aufzurufen. Updates dieser Konten – etwa das Abändern des Passworts – sind allerdings insofern problematisch, als laufenden Anwendungen dabei unterbrochen werden, bis das Konto in der gesamten Umgebung synchronisiert wurde. Viele IT-Abteilungen verzichten deshalb fatalerweise auf wichtige Passwortrotationen und entwickeln Strategien, um Sicherheits-Updates zu umgehen. Dies ist umso gefährlicher, da Domain-Service-Accounts typischerweise für Backup-Lösungen, Analyse-Tools oder die Aktualisierung von Sicherheitspatches verwendet werden.
3. Das lokale Administratorkonto: Der überprivilegierte Account
Standardmäßig versteht man unter einem lokalen Admin-Konto ein Benutzerkonto für den Systemadministrator, wobei jeder Computer über einen eigenen Administrator-Account verfügt. Dieses Administratorkonto ist zudem das erste Konto, das bei der Installation für alle Windows Server-Betriebssysteme und für Windows-Clientbetriebssysteme erstellt wird. Bei Windows Server-Betriebssystemen gewährt das Administratorkonto dem Benutzer die volle Kontrolle über die Dateien, Verzeichnisse, Dienste und andere Ressourcen, die unter der Aufsicht des lokalen Servers stehen. Zudem findet es Verwendung, um lokale Benutzer zu erstellen und Benutzerrechte und Zugriffsberechtigungen zuzuweisen. Ein Standard-Administratorkonto kann nicht gelöscht oder gesperrt, jedoch umbenannt oder deaktiviert werden.
Lokale Admin-Accounts stehen bei Cyberkriminellen hoch im Kurs. Sie sind oft der erste Anlaufpunkt für Hacker, um die Sicherheitsmaßnahmen eines Unternehmens auszuspionieren. Begünstigt wird dies durch eine „Überprivilegierung“ in den Unternehmen, denn viele IT-Abteilungen gewähren all ihren Mitarbeitern standardmäßig Zugriff auf lokale Administratorkonten und erhöhen damit das Risiko einer Kompromittierung. Allen Unternehmen empfiehlt es sich deshalb, lokale Admin-Konten im Rahmen einer Least-Privilege-Strategie zu identifizieren und deren Nutzung auf die Mitarbeiter einzuschränken, die tatsächlich Zugriff benötigen.
4. Das Servicekonto: Der vernachlässigte Account
Servicekonten werden typischerweise in Betriebssystemen verwendet, um Anwendungen oder Programme auszuführen – entweder im Rahmen von System-Accounts (das bedeutet hochprivilegierten Konten ohne Passwort) oder bestimmten Benutzerkonten, die manuell oder während der Softwareinstallation erstellt werden. Unter Unix und Linux sind sie oft unter den Bezeichnungen init oder inetd bekannt. Servicekonten stellen für Unternehmen insofern ein Risiko dar, da ihre Passwörter meist dauerhaft unverändert bleiben und die Konten zudem eine unbegrenzte Laufzeit haben. Gelingt es Angreifern, ein Servicekonto zu hacken, sind sie in der Lage, eigene Binärdateien mit erweiterten Privilegien auszuführten und sich Fernzugriff zu verschaffen.
„Um Kompromittierungen oder Missbrauch zu verhindern, müssen IT-Abteilungen die volle Kontrolle über ihre privilegierten Konten und Zugriffe zurückgewinnen.“
Markus Kahmen, Thycotic
5. Das Application-Konto: Der „Schwachstellen“-Account
Application-Accounts stellen sicher, dass eine Anwendung Zugriff auf die Ressourcen hat, die sie benötigt, um reibungslos zu funktionieren – das können Datenbanken, Netzwerke, automatisierte Tasks (wie das Bereitstellen von Software) oder automatische Updates sein. Typischerweise speichern diese Konten Passwörter in Konfigurationsdateien oder verwenden lokale Accounts oder Servicekonten, um notwendigen Zugriff zu erhalten. Das gefährliche an Application-Accounts ist, dass ihnen ungepachte Anwendungen leicht zum Verhängnis werden können.
Viele Unternehmen sind nicht in der Lage, Schwachstellen in Anwendungen zeitnah und regelmäßig zu beheben, was Angreifern die Türe für Missbrauch öffnet. So nutzen Hacker ungeschützte Application-Accounts gerne, um sich Fernzugriff zu verschaffen, Systembinärdateien zu modifizieren oder Standardkonten mit privilegierten Rechten auszustatten, um sich frei im Netzwerk bewegen zu können.
6. Der Privileged Data User Account: Die Achillesferse
Da es sich bei Privileged Data User Accounts um Standard-Benutzerkonten handelt, wird die Brisanz dieser Accounts von den Verantwortlichen gerne übersehen. Tatsache ist jedoch, dass diese Nutzerkonten Zugriff auf eine Vielzahl sensibler Daten und personenbezogener Informationen erlaubt, und deshalb zu den schützenswertesten privilegierten Konten überhaupt zählen. Man denke etwa an einen leitenden Buchhalter, der Zugang zu sämtlichen Jahresabschlüssen hat, oder einen Arzt, der über sein Konto sämtliche Patientenakten einer Klinik einsehen kann.
Dennoch werden Privileged Data User Accounts oft nicht angemessen verwaltet und überwacht, Passwörter – wenn überhaupt – nur selten geändert oder sicher gespeichert. Es ist unerlässlich, Sicherheitslösungen einzusetzen, die diese Konten automatisch identifizieren, Zugriffsrechte gemäß dem Least-Privilege-Prinzip zuteilt und verdächtige Aktivitäten rund um diese Konten erkennt und meldet. IT-Abteilungen müssen dazu übergehen, alle Standardkonten, die Zugriff auf sensible Daten haben, zu schützen.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder und entsprechen nicht unbedingt denen von ComputerWeekly.de.