Privilegierte Zugangsdaten in Standardapplikationen als Gefahrenquelle

Eingebettete statische Passwörter als Einladung für potenzielle Angreifer

[datensicherheit.de, 23.06.2016] Laut einer aktuellen Meldung von CyberArk sehen immer mehr Unternehmen in der missbräuchlichen Nutzung privilegierter und administrativer Konten die größten Sicherheitsgefahren für ihre IT. Zunehmend erkennen sie demnach, dass es dabei nicht nur um die Passwörter von Administratoren geht, sondern auch um privilegierte Zugangsdaten von Standardapplikationen.

Standardapplikationen greifen automatisch auf Backend-Systeme zu

Im Unterschied zu privilegierten Accounts, die von Administratoren und damit von Personen genutzt würden, griffen kommerzielle Standardapplikationen automatisch auf Backend-Systeme zu. Dies erfolge über Application-Accounts oder Software-Accounts, also über die in den Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter.
Diese Zugangsdaten würden für den Zugriff auf Zielsysteme zur Durchführung einer bestimmten Aufgabe benötigt. CyberArk nennt folgende Beispiele:

• der Neustart eines Services,
• die Provisionierung eines SSL-Zertifikats,
• die Durchführung eines Vulnerability-Scans,
• die Initiierung eines Backups,
• die Validierung eines Service-Tickets,
• das Importieren oder Exportieren von Daten und
• DevOps-Prozesse.

Unter Risikogesichtspunkten besonders problematisch sei dabei, dass die Zugangsdaten in der Regel nicht verwaltet, gewartet, gesichert oder überwacht würden. Erschwerend komme hinzu, dass die Passwörter meistens in Klartext vorlägen.

Management eingebetteter Passwörter als Herausforderung

CyberArk erläutert die Frage, warum die Zugangsdaten nicht besser verwaltet werden. Zum einen erfolge kein regelmäßiges Management, da dies ein aufwändiger Prozess sei, sofern nicht automatisiert. Zum anderen wollten IT-Administratoren oft die eingebetteten Passwörter nicht ändern, um potenzielle Auswirkungen auf andere Systeme auszuschließen. Selbst etliche Anbieter von Applikationen würden ihren Kunden empfehlen, auf Änderungen zu verzichten.
„Das ist beängstigend und geradezu eine Einladung für potenzielle Angreifer“, betont Michael Kleist, „Regional Director DACH“ bei CyberArk. Unternehmen würden aber nach ihren Erfahrungswerten zunehmend das mit privilegierten Zugangsdaten in Standardapplikationen verbundene Problem erkennen. Sie suchten Lösungen zur zentralisierten Verwaltung, Sicherung und automatischen Änderung dieser Daten, die keinen großen Kostenaufwand nach sich zögen und vor allem auch unterschiedlichste Business-Applikationen unterstützten.
CyberArk hat nach eigenen Angaben für diese Anforderungen den „Application Identity Manager“ entwickelt, mit dem die in Applikationen, Skripten oder Konfigurationsdateien eingebetteten statischen Passwörter eliminiert werden könnten – sie würden zentral abgelegt, automatisch verwaltet und in Abhängigkeit von den Systemkonten mitgeändert.

Weitere Informationen zum Thema:

CyberArk
White Paper: The Hidden Risks of Commercial Off-the-Shelf (COTS) Applications Using Privileged Credentials