Nachvollziehbarkeit administrativer Zugriffe
Kontrolle ist gefragt
Administratoren haben nahezu uneingeschränkte Rechte auf den IT-Systemen, die sie betreuen. Leider fehlen meist jegliche Kontrollmechanismen, sodass man im Problemfall nicht mehr nachvollziehen kann, wer welche Änderung durchgeführt hat. So geraten Administratoren ungerechtfertigt unter Verdacht.
Wenn vertrauliche Daten das Unternehmen verlassen oder wenn sensible Informationen der
Geschäftsleitung verfrüht durchsickern, wird oft hinterfragt, wer eigentlich lesenden Zugriff auf
die entsprechenden Daten hatte. Administratoren hätten in der Regel die technischen Möglichkeiten,
und ohne eine zuverlässige Nachvollziehbarkeit fehlt ihnen auch der Beweis, dass sie nichts mit den
Unregelmäßigkeiten zu tun hatten. Eine besondere Brisanz bekommt dieses Problem, wenn eine externe
Firma die IT-Systeme im Outsourcing betreibt. Bisher sind die Unternehmen ihrem Outsourcing-Partner
meist völlig ausgeliefert. "Vertrauen ist gut, Kontrolle ist besser" bleibt ein Sprichwort, das
technisch nicht umgesetzt ist.
Das Problem beginnt bei so trivialen Dingen wie dem Administrator-Account selbst. In den meisten
Fällen sind administrative Accounts anonym und nicht an die jeweiligen Personen gebunden. Wenn sich
"root" auf einem Unix-System anmeldet oder "Administrator" auf einem Windows-Server, dann kann man
ohne zusätzliche Maßnahmen nicht erkennen, ob Herr Meier, Herr Müller oder Frau Schulz sich mit
diesem Konto angemeldet haben. Erschwerend kommt hinzu, dass in der Praxis das Kennwort für den
Administrator- oder root-Account oft auf vielen Systemen das gleiche ist und damit eine fein
granulare Unterscheidung der Zugriffsrechte innerhalb der Personengruppe der Administratoren nicht
möglich.
Zudem werden die Kennwörter solcher Accounts oft noch viel seltener geändert, als Benutzer dies
tun müssen, und die Kennwörter haben zudem eine Tendenz zu diffundieren und einer größeren Gruppe
bekannt zu sein, als es unbedingt nötig wäre. So ist die Sicherheit von administrativen Accounts
oft schlechter als die Sicherheit von gewöhnlichen Benutzer-Accounts, obwohl die administrativen
Accounts sehr viel sensibler sind.
Diese Problematik ist meist verdrängt oder mit Argumenten wie "Das war schon immer so", "Das
muss eben so sein" oder "Es gibt keine sinnvollen Alternativen" abgetan. Manchmal gehen die
Verantwortlichen auch irrtümlich davon aus, dass die vorhandenen System-Logs bei Bedarf zur
Aufklärung ausreichen oder dass forensische Analysen rekonstruieren könnten, was welche Person
tatsächlich gemacht hat, falls ein Administrator versehentlich oder sogar vorsätzlich seine Rechte
missbraucht.
Erst wenn tatsächlich einmal etwas passiert, stellt man enttäuscht fest, dass die Protokolle
kaum hilfreiche Informationen enthalten und dass die Aussagekraft forensischer Untersuchungen in
diesen Fällen stark begrenzt ist. Die nahezu unbegrenzten Rechte administrativer Accounts
ermöglichen es leider auch, nahezu alle Spuren zu verwischen, und in der Praxis kann man bei
technisch versierten Administratoren nur mit Glück und aufgrund deren Nachlässigkeiten oder Fehlern
aussagekräftige Spuren finden.
Auch wenn einmal ein Administrator das Unternehmen verlässt, kommt meist kurzzeitig der Bedarf
auf, die Passwörter der administrativen Accounts zu ändern. Wenn dann aber die Erkenntnis wächst,
dass dies gar nicht so einfach ist, da neben dem Domänen-Admin auch noch Router, Switches, Drucker,
Datenbanken, Applikationen und vieles mehr betroffen sind, wird das Vorhaben oft verworfen oder nur
teilweise durchgeführt.
Wer das Problem anpackt und damit auch Forderungen der Wirtschaftsprüfer, Revisoren etc.
nachkommen will, stellt bei sorgfältiger Marktrecherche fest, dass es hier seit Jahren etablierte
Standardlösungen verschiedener konkurrierender Hersteller gibt, die genau das Problem der
Verwaltung privilegierter Accounts und der Nachvollziehbarkeit
adressieren.
Dabei kann man zwei Gruppen von Produkten unterscheiden: Die Kernfunktionalität der ersten
Gruppe liegt in der Verwaltung und Randomisierung von Passwörtern. Diese Produkte tauschen meist
die Passwörter der privilegierten Accounts gegen zufällig vergebene neue aus und ändern diese auch
automatisch nach der Verwendung. Ein Login als Administrator auf einem gesicherten System ist in
diesem Fall nur noch möglich, indem man sich zunächst mit einem persönlichen Account an einer
zentralen Passwortverwaltung anmeldet und sich dort das aktuell gültige Passwort geben lässt. Damit
kann man sich dann an dem gesicherten System als Administrator anmelden. Das zufällig vergebene
Passwort wird typischerweise nach der Verwendung automatisch geändert, sodass jederzeit eine
Zuordnung von dem anonymen Administrator-Account zu einer personalisierten Anmeldung am
Verwaltungssystem herstellbar ist.
Um den Systemverwaltern die administrativen Tätigkeiten nicht zu erschweren, sondern
idealerweise sogar zu erleichtern, haben sich aus den zentralen Kennwortverwaltungen kleine Portale
entwickelt, die das Anmelden auf den Zielsystemen automatisieren und dabei
Single-Sign-on-Funktionen bereitstellen. Der Administrator meldet sich nur noch einmal an der
zentralen Passwortverwaltung an und kann dann von dort aus auf alle verwalteten Server zugreifen,
für die er die Berechtigung hat. Selbstverständlich sind auch viele weitere Sicherheitsfunktionen
wie Vier-Augen-Kontrolle, starke Authentisierung an der zentralen Verwaltung, Verschlüsselung der
Daten, revisionssichere Protokollierung aller Änderungen innerhalb der Verwaltung und vieles mehr
üblich.
Die zweite Gruppe von Produkten verwaltet keine Passwörter, sondern konzentriert sich auf den
Aspekt der Nachvollziehbarkeit der administrativen Aktivitäten. Sie ermöglichen eine inhaltliche
Protokollierung aller Änderungen, die mit administrativen Privilegien durchgeführt wurden. Die
Techniken zur inhaltlichen Protokollierung sind abhängig vom Hersteller sehr unterschiedlich
implementiert. Von transparenten Gateways, die die Rohdaten von RDP, VNC, SSH und ähnlichen
Sessions lesbar aufzeichnen, über sichtbare Jumphosts, die aus Bildschirmausgaben und
Tastatureingaben auf dem Jumphost Videos speichern, bis zu Agenten auf den Ziel-Servern, die dort
alle Ein- und Ausgaben aufzeichnen, findet man alle Variationen.
Bei der Diskussion um solche Mechanismen ist es wichtig, zu berücksichtigen, dass an dieser
Stelle weder eine Verhaltensüberwachung noch ein Eingriff in die Privatsphäre von Mitarbeitern
erfolgt. Auch ein Systemverwalter, der seine E-Mails liest, Tickets bearbeitet oder technische
Dokumentationen aktualisiert, bleibt von den Funktionen der oben beschriebenen Werkzeuge völlig
unberührt, solange er dies mit seinem normalen und persönlich zugeordneten Account tut. Erst wenn
er sich auf einem System als Administrator anmeldet und sich damit nahezu uneingeschränkt alle
Rechte verschafft, startet die Kontrolle und Protokollierung, denn dann sind höchste Sorgfalt und
Transparenz gefragt.
Falls wirklich einmal jemand ein System manipuliert oder vertrauliche Daten kopiert hat und zu
klären ist, ob ein Administrationsfehler oder ein Einbruch als Ursache in Frage kommt, sind
Funktionen aus beiden oben beschriebenen Produktbereichen nötig. Falls nur die Passwörter
ausgetauscht wurden, kann man zwar nachvollziehen, welche Person sich wann als Administrator auf
den betroffenen Zielsystemen angemeldet hat, aber die tatsächlichen Aktivitäten oder Änderungen
lassen sich nicht nachvollziehen. Zudem ist ohne inhaltliche Nachvollziehbarkeit auch nicht
auszuschließen, dass ein bösartiger Administrator Hintertüren aktiviert oder Spuren entfernt.
Auf der anderen Seite ist eine rein inhaltliche Protokollierung aller Ein- und Ausgaben nur dann
wirklich beweiskräftig, wenn sie nicht zu umgehen ist. Bei Systemen, die auf Jumphosts oder
Gateways im Netzwerk basieren, muss also gewährleistet werden, dass die Administration auch
wirklich auf diesem Weg erfolgt. Die Randomisierung administrativer Passwörter ist ein eleganter
Weg, um dies zu gewährleisten. Auf diesem Weg kann kein unbemerkter Login beispielsweise an der
lokalen Konsole eines Servers erfolgen, da zunächst das Passwort an der Passwortverwaltung
abzuholen ist. Eine Kombination beider Techniken wäre offensichtlich ideal. Leider gibt es derzeit
kein Produkt, das in beiden Bereichen vollständig
überzeugt.
Ein bekannter Vertreter der Produkte zur Verwaltung administrativer Passwörter ist der
Passwort-Vault von Cyberark. Das Produkt lässt kaum Wünsche hinsichtlich der Passwortverwaltung
offen. Seit ein paar Jahren bietet der Hersteller auch eine inhaltliche Protokollierung als
Zusatzoption an. Dazu muss sich der Administrator an der Web-Oberfläche des Verwaltungssystems
anmelden und von dort als Jumphost eine Verbindung zu seinem Ziel-Server aufbauen. Dabei entstehen
dann aus den Ein- und Ausgaben auf dem Jumphost Videodateien, die sich später wieder ansehen
lassen. Leider fehlt dabei bislang eine Textanalyse und Indexierung der Videos, sodass bisher die
Videos nicht durchsuchbar sind. Im Bedarfsfall kann dies bedeuten, dass man zur Untersuchung eines
Vorfalls vor mehreren Tagen Videomaterial sitzt, das es anzusehen gilt.
Einen ganz anderen Weg geht der Hersteller Balabit IT-Security. Mit seinem Produkt Shell Control
Box (SCB) ist es möglich, nahezu alle Protokolle, die zur Administration üblich sind, also SSH,
RDP, VNC etc., wahlweise über ein transparentes Gateway oder einen Jumphost inhaltlich
aufzuzeichnen. Dabei werden jedoch keine Video-Dateien erzeugt, sondern die Rohdaten der Sessions
aufgezeichnet und Bildschirmausgaben mit OCR-Mechanismen analysiert. Die Protokolle lassen sich
dann wie in einem Video betrachten. Möglich ist auch, sie nach bestimmten Schlüsselwörtern in Ein-
oder Ausgaben durchsuchen. Leider bietet Balabit aber keine Verwaltung von Passwörtern. Zudem ist
es erforderlich, den direkten Zugriff auf die Server unter Umgehung des Protokollierungs-Gateways
mithilfe von Netzwerk-Firewalls oder anderen Mitteln zu verhindern.
Ein dritter Anbieter, die Firma Observe IT, löst diese Probleme, indem ein Softwareagent auf
jedem zu überwachenden Server selbst die Protokollierung und Zugangskontrolle übernimmt. Damit sind
auch Aktivitäten auf der lokalen Konsole erfasst, und eine Umgehung ist kaum möglich. Dieser Weg
scheidet aber gerade wegen des Agenten bei den meisten Unternehmen aus, und die Überwachung von
Netzwerkgeräten, auf denen kein Agent installiert werden kann, ist auch hier nur über den Umweg
eines Jumphosts realisierbar.
Ein Produkt, das alle Anforderungen ideal löst, ist derzeit nicht in Sicht. Es ist sicher
sinnvoll, bei der Anforderungsanalyse und Produktauswahl externe Unterstützung hinzuzuziehen, denn
auch in diesem Umfeld steckt der Teufel manchmal im Detail.
Lesen Sie mehr zum Thema
