Weg mit anonymen Generalschlüsseln
Weg mit anonymen Generalschlüsseln Admin- und System-User-Konten haben als Stützen der IT einen bevorzugten Status. Die Privilegien dürfen indes nicht missbraucht werden können und sollten deshalb streng kontrolliert werden.
- Weg mit anonymen Generalschlüsseln
- (Teil-)Automatismen für Admin-Konten
- Selbstüberwachungssysteme
- Lösungsvorschlag Zertifikate
Die Situation ist bizarr und widerspricht den im Unternehmen offiziell geltenden Vorschriften, gleichwohl ist sie »gelebte Praxis« in vielen Unternehmen: Da findet sich auf Zehntausenden von lokalen Windows-Clients das gleiche Passwort des lokalen Administrators, das womöglich aufgrund seines speziellen Einsatzzwecks wie beispielsweise Helpdesk oder Softwareverteilung auch nicht ohne Weiteres an die geltenden Richtlinien angepasst werden kann. Die Folge ist das Vorhandensein von Generalschlüsseln, deren jeweilige Verwendung nicht bestimmten Personen zugeordnet werden kann. Der Aussagewert für ein internes Kontrollsystem ist also gleich null. Zentralisierung ist insofern die organisatorische Voraussetzung für eine effiziente Überwachung auch der Admin-Konten. Denn wenn »viele geteilte Administrationsverantwortungen im Unternehmen vorherrschen, helfen Richtlinien für eine sichere Administration nur bedingt weiter«, meint Erwin Schöndlinger, Geschäftsführer von Evidian Deutschland. Der »Zutritt für Unbefugte« ist zwar in allen Unternehmen grundsätzlich verboten, doch vielerorts stehen die Türen an zahlreichen Stellen offen und laden zum unbefugten Eintreten geradezu ein. Und wenn es durch die Pförtnerloge ist. Bei den Pförtnern, sprich Administratoren, sind die Versäumnisse, wie beispielsweise schwache Passwörter, gemeinsame Nutzung von Passwörtern in Sammelkonten, sogar oft besonders krass. »Viele Administratoren unterscheiden sich von normalen Nutzern bei der Kennwortverwaltung nur insofern, als erstere ihre Zugangsdaten elektronisch verwalten – meist als Notiz im eingesetzten Mailsystem –, während letztere oft noch die entsprechenden Zettel am Monitor plakatieren«, beschreibt Richard Diez-Holz, Leiter Competence Center IT-Security beim Beratungs- und IT-Dienstleistungsunternehmen RDS Consulting, die Situation in sicherlich zugespitzter Weise, aber durchaus realistisch. Gleichwohl, so Diez-Holz weiter, müsse man »differenzieren zwischen Unternehmen, die stark durch gesetzliche Vorschriften tangiert seien und anderen Unternehmen, die in diesem Bereich mehr Spielraum hätten. Bei ersteren trifft man nach den Erfahrungen des Beraters teilweise »auf sehr ausgereifte Prozesse und Richtlinien, die auch weit über die Standardverfahren der Verzeichnisdienste hinausgehen«, bei letzteren würden schon mal Gruppen-Konten verwendet, und das durchaus »auch bei größeren Konzernen«.
