Privileged Account Management
Den Block gezielt setzen
Unternehmen beschäftigen sich mittlerweile sehr intensiv mit der IT-Sicherheit und beschaffen sich entsprechende Werkzeuge wie Antiviren-Software, Firewalls oder trainieren ihre Mitarbeiter. Jedoch könnten sie wesentlich mehr unternehmen, um Cyberkriminellen das Leben schwer zu machen.
Ein Angriff kann über Phishing-Attacken, ausgelegte USB-Sticks oder Drive-by-Downloads geschehen, wenn durch leichtfertiges Surfverhalten im Internet beim Besuch einer präparierten Webseite Malware mit heruntergeladen wird. IT-Sicherheitsteams sollten außerdem das Darknet nicht außer Acht lassen, in dem ausgeforschte Anmeldeinformationen – auch für Administratoren-Accounts – gehandelt werden.
Dabei ist es wichtig, gerade auch für die Fälle gewappnet zu sein, in denen Kriminelle die Perimeter der Unternehmens-IT bereits überwunden haben und sich mehr oder weniger frei im Firmennetz bewegen. Im gleichen Atemzug können IT-Sicherheitsverantwortliche sich auch gegen anderen Missbrauch von privilegierten Konten schützen, die etwa frühere Mitarbeiter nutzten und noch nicht deaktiviert wurden.
Sind Angreifer bereits im Netzwerk?
Um auch diesen Gefahren entgegenzutreten, setzen viele Unternehmen und Organisationen auf den Assume-Breach-Ansatz. Dabei gehen IT-Sicherheitsfachleute davon aus, dass sich der Angreifer bereits im eigenen Netzwerk befindet und auf Systemressourcen zugreifen kann. Ausgehend von dieser Annahme werden Schwachstellen identifiziert und Sicherheitslücken geschlossen. Dabei ist es wichtig, sich nicht allein auf die Abwehrmechanismen zu verlassen. Zusätzlich sollten privilegierte Konten und ihre Verwaltung im Fokus stehen. Der Assume-Breach-Ansatz ist hier wichtig, da der Schadensfall vorweggenommen wird und so passende Abwehrmaßnahmen von vornherein definiert und getestet werden können.
Üblicherweise werden Konten durch den Benutzernamen und ein zugehöriges Passwort gesichert. Diese Methode reicht allerdings nicht aus, denn geraten diese Informationen in die falschen Hände, ist Kriminellen Tür und Tor geöffnet. Aus diesem Grund sollten Accounts generell durch eine starke Zwei-Faktor-Authentifizierung gesichert sein. So können Kriminelle mit den Anmeldedaten wenig anfangen, da beispielsweise ein Verifikationscode an ein Smartphone gesendet wird. So müsste auch das (entsperrte) Smartphone in den Besitz des Angreifers gelangen, was weniger wahrscheinlich ist.
Mit PAM die Übersicht behalten
Die nächste Hürde gegen den Missbrauch privilegierter Konten ist die Einführung eines Privileged Account Managements (PAM). Dieses Management-Werkzeug automatisiert die Verwaltung und Kontrolle von Administratoren-Accounts und sollte in keiner wirkungsvollen Active-Directory-Sicherheitsstrategie fehlen. Außerdem können IT-Sicherheitsteams mit seiner Hilfe die Aktivitäten von Administratoren nachverfolgen.
Einen strukturellen Ansatz, Administratoren-Konten nach ihren Sicherheitsaspekten einzuordnen, bietet die Red-Forest-Architektur oder wie sie offiziell heißt Enhanced Security Administrative Environment (ESAE). Sie wurde von Microsoft eingeführt, um Angriffe auf das Active Directory zu erschweren. In dieser Architektur kommen drei Bereiche zum Tragen: Zunächst sind innerhalb Tier 0 Enterprise-Admins mit Forest-weiten Rechten zusammengefasst. In Tier 1 finden sich Administratoren für Server, Anwendungen und Cloud und in Tier 2 solche mit Rechten bei Workstations und lokalen Endgeräten. Der Vorteil dieser Unterteilung ist, dass IT-Sicherheitsverantwortliche ihren Fokus bei der Beobachtung auf die Konten legen können, von denen, im Falle eines Missbrauchs, der größte Schaden ausgeht. Hier können je nach Bereich verschiedene Sicherheitsmaßnahmen angewendet werden – etwa die Pflicht, sich mit dem Account nur auf entsprechend gesicherten Workstations anzumelden oder Ähnliches.
- Den Block gezielt setzen
- Sicherheitsmaßnahmen stoßen an ihre Limits
- Wichtige Punkte in der Gefahrenabwehr
Lesen Sie mehr zum Thema
