Sonderrechte sparsam vergeben
Balabit bringt Checkliste für IT-Verantwortliche
Privilegierte Nutzer wie Administratoren verfügen häufig über große Freiheiten und fast uneingeschränkte Rechte. Für die Unternehmen kann das schnell gefährlich werden.
Denn in der Hektik des Tagesgeschäfts lassen die Verantwortlichen Sicherheitsreglements vielfach außer Acht und setzen damit unbedacht die IT-Sicherheit der Firma aufs Spiel. Das Gefahrenpotential dieses Verhaltens steigt mit der Exklusivität der Position und dem Zugangslevel. Balabit IT Security hat eine Checkliste für IT-Verantwortliche vorgestellt, die helfen soll, diese Problematik zu entschärfen:
1. Least Privilege-Prinzip
User-Accounts sollten nur die Rechte erhalten, die deren Benutzer tatsächlich für ihre Arbeit brauchen.
2. »God-Mode« nur im Notfall
Auch Systemadministratoren brauchen keine uneingeschränkten Rechte. Daher sollten »Superuser-Accounts« wie Root, Admin, System etc. gesperrt beziehungsweise nur dann genutzt werden, wenn es absolut unumgänglich ist.
3. Jeden einzelnen Account personalisieren
Privilegierte Nutzer sollten persönlich verantwortlich gemacht werden. Dazu sollten die Unternehmen erstens die Anzahl der Shared Accounts (mit mehreren Nutzern) soweit als möglich limitiert werden. Zweitens sollten die Passwörter für die Shared Accounts nicht bekannt sein. Dann lassen sich personenbezogene Funktionsbereiche schaffen, Inkompatibilitäten aufdecken und Aufgaben aufteilen.
4. Superuser-Rechte explizit nur für ausgewählte Systeme
Systemadministratoren sollten die Privilegien eines Superusers nur für die Systeme besitzen, für deren Verwaltung sie auch tatsächlich zuständig sind.
5. Zentrale Infrastruktur für das Nutzer-Monitoring
Log-Management- oder SIEM-Lösungen liefern nicht alle erforderlichen Informationen: Sie belegen zwar das Ergebnis einer Aktion, nicht aber, welche Aktionen ein User genau durchgeführt hat. Solche blinden Flecken eliminiert eine »Privileged Activity Monitoring«-Lösung. Sie ergänzt die bestehenden Logs um detaillierte Informationen, sodass nachvollzogen werden kann, was der Nutzer exakt getan hat.
6. Unabhängiges und transparentes Activity-Monitoring-Device
Implementieren Sie ein unabhängiges PAM-Tool (Privileged Activity Monitoring), das transparent arbeitet und sich die Informationen für das Audit aus der direkten Kommunikation zwischen Client und Server holt. Dies garantiert, dass die Daten nicht manipuliert werden können - und selbst der Administrator des PAM-Systems die verschlüsselten Audit-Trails nicht verändern kann. Die Integration erfordert keine Änderung an Ihrer IT-Umgebung und Ihre Mitarbeiter können wie gewohnt arbeiten.
7. Sichere Authentifizierung und Autorisierung für privilegierte Accounts
Personifizierte Accounts mit Superuser-Rechten müssen durch starke Authentifizierungsmethoden geschützt werden. Systemadministratoren sollten dabei Verfahren wie Authentifizierung über Public-Keys oder X.509 Smart-Tokens nutzen, die eine höhere Sicherheit gewährleisten. Zusätzlich unterstützen bestimmte PAMs das Vier-Augen-Prinzip um menschliche Fehler, z.B. durch Fehleingaben, zu vermeiden.
8. Detaillierte Kontrolle des Remote Access
Die Kontrolle, wer wann auf was zugreifen kann, ist am besten auf Ebene des Zugriffprotokolls selbst durchzuführen. Eine gute PAM-Lösung kann beispielsweise gezielt Protokollkanäle wie Disk Sharing, Port Forwarding oder Datei-Transfers anhand der Gruppenzugehörigkeit des Benutzers oder der Tageszeit erlauben oder unterbinden.
9. Schädliche Aktionen in Echtzeit verhindern
Erweiterte PAM-Lösungen überwachen den Verkehr von Remote-Verbindungen in Echtzeit und führen verschiedene Aktionen aus, wenn ein bestimmtes verdächtiges Muster in der Befehlszeile oder auf dem Bildschirm erkannt wird. Einige PAMs beherrschen sogar die Erkennung von Zahlenfolgen wie z.B. Kreditkartennummern. Scheint die User-Aktion riskant, sendet das Gerät einen Alert oder beendet die Aktion, bevor sie ausgeführt wird.
10. Bessere Forensik durch komfortable und intuitive Bedienung
Fortschrittliche PAM-Tools können aufgezeichnete Sessions wie einen Film wiedergeben, so dass alle Aktionen der Benutzer exakt nachvollzogen werden können. Ein schneller Vorlauf während der Wiedergabe sowie die effiziente Suche nach Ereignissen und Texten optimieren das Handling. Im Problemfall (Datenbankmanipulation, unerwartetes Herunterfahren etc.) lässt sich die Ursache des Vorfalls einfach identifizieren.
Lesen Sie mehr zum Thema
