Bedrohung der Unternehmens-IT durch Missbrauch von Superuser-Accounts

„Privileged Identity Management Suite“ von Cyber-Ark wird zur Zugriffskontrolle zwischen Anwender und Account geschaltet

[datensicherheit.de, 05.07.2011] Administratoren-Accounts bergen bei Missbrauch durch ihre weitreichenden Rechte eine große Bedrohung für Unternehmen. Dieses unnötige Risiko vermeidet die „Privileged Identity Management Suite“ (PIM) von Cyber-Ark:
User-Accounts von Administratoren und sogenannten Superusern verfügen über weitreichende Rechte, die in falschen Händen ein Unternehmen gefährden können. Aus diesem Grund befassen sich neben der internen IT-Revision auch verschiedene Compliance-Richtlinien mit solchen Accounts. Unternehmen werden gemäß Basel II, SAS70, ISO 27001, PCI-DSS und dem Sarbanes-Oxley-Act dazu angehalten, den Zugriff auf solche Nutzerkennungen genau zu überwachen. Kontrollorgane wie Wirtschaftsprüfer oder die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) überprüfen, ob ausreichende Maßnahmen dafür getroffen werden.
Diese Überwachung wird durch die schiere Menge an Superuser-Accounts erschwert. Jede Anwendung und jedes System verfügt über Admin-Accounts – davon kann ein einzelner kompromittierter Account als Einfallstor in die Unternehmens-IT dienen. Begünstigt wird das, wenn die Aktivitäten von Superusern nicht dokumentiert werden oder wenn die Accounts gleich mehreren Personen zur Verfügung stehen. Zudem führt der regelmäßige Wechsel der Passwörter bei vielen zu überwachenden Superuser-Accounts zu einem erheblichen administrativen Aufwand und unterbleibt daher häufig ganz.
Verschiedene Situationen begünstigen die missbräuchliche Nutzung von privilegierten Accounts. Vor allem in wirtschaftlich flauen Zeiten versuchen skrupellose  Unternehmen, Kosten etwa in der Produktentwicklung einzusparen, und sich durch Wirtschaftsspionage einen Wettbewerbsvorteil zu verschaffen. Beliebt ist dann die Ausspähung von Mitarbeiterpasswörtern durch „Social Engineering“. Dabei nutzt ein Angreifer Informationen über sein Opfer und manipuliert es, um an Geschäftsgeheimnisse zu gelangen.
Die Gefahr geht aber nicht nur von proaktiven Versuchen des Wettbewerbs aus – bei einer schlechten Motivationslage der Mitarbeiter oder einer daraus resultierenden verstärkten Mitarbeiterfluktuation, ob aus Sorge um die finanzielle Zukunft oder auch aus Rache, werden Angestellte vor allem bei Kündigungen empfänglich für Wirtschaftsspionage. Manche Experten schätzen, dass über die Hälfte der scheidenden Angestellten vertrauliche Daten ihres Arbeitgebers mitgehen lassen. Hinzu kommt, dass ein Großteil auch nach Verlassen des Unternehmens immer noch Zugang zu internen Daten hat – damit ist dem Missbrauch Tür und Tor geöffnet. Meistens geschieht das unbemerkt, wenn keine Tracking-Software zur Überwachung von Dateizugriffen im Einsatz ist. Bemerkbar hingegen sind Sabotage-Akte, die neben der reinen Datenspionage auftreten können. In diesem Fall sind ungewöhnliche Veränderungen am Datenbestand ein Indiz für unbefugten Zugriff.
Neben den eigenen Mitarbeitern sollten externe Administratoren bei der Risikoabschätzung nicht vergessen werden. Wenn eine Beratungsfirma die Administration übernimmt, ist die Gefahr dort zwar geringer, doch kann bei Beschäftigung vieler unabhängiger externer Administratoren ohne Festsetzung von Kontrollmechanismen oder strikten Regeln zum Datenschutz ein potentieller Missbrauch von Account-Informationen nicht ausgeschlossen werden.
Um IT-Verantwortlichen die sichere Verwendung von Superuser-Kennungen zu erleichtern, bietet Cyber-Ark die „Privileged Identity Management Suite“ (PIM) an. Die Suite wird zwischen Anwender und Account geschaltet und stellt die Zugriffskontrolle für privilegierte Accounts durch Einweg-IDs sicher, überwacht die Aktivitäten und verwaltet die Zugriffsdaten von Administratoren.
Diese Lösung deckt außer dem „Shared Account/Software Account Password Management“ (SAPM) auch das „Superuser Privilege Management“ (SUPM) ab und eignet sich damit als zentrales Tool für die Verwaltung sämtlicher privilegierter User-Accounts eines Unternehmens. PIM besteht aus vier Komponenten. Der „Enterprise Password Vault“ fungiert als „Tresor für Passwörter“, in dem Zugriffskennungen sicher hinterlegt und einem policy-gesteuerten, permanenten Wechsel unterzogen werden. Der „Privileged Session Manager“ steuert und überwacht sämtliche Zugriffe und Vorgänge von privilegierten Usern. Mit dem „On-Demand Privileges Manager“ ist die Überwachung und individuelle, granulare Steuerung der Rechte von Superusern auf Unix-Systemen möglich. Der „Application Identity Manager“ übernimmt bei automatisierten Zugriffen durch Anwendungen die Aufgabe, Anwendungen den Umgang mit dynamischen Passwörtern, beispielsweise in Datenbanken, zu ermöglichen.
Meistens entstünden Bedrohungen durch den Missbrauch privilegierter Nutzerkennungen allmählich. Unternehmen sollten dem vorbeugen und ihre Daten und somit ihren Unternehmenserfolg von Anfang an schützen, so Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn.

Weitere Informationen zum Thema:

Cyber-Ark
Privileged Identity Management Suite / Who has the „Keys to the Kingdom”? Mismanagement of privileged identities puts your company at risk.