Von unserem Gastautor Martin Kulendik, Regional Sales Director DACH bei Centrify

[datensicherheit.de, 11.05.2020] Bei traditionellen perimeterbasierten Sicherheitskonzepten haben Cyberkriminelle meist leichtes Spiel, wenn sie diesen Schutzwall erst einmal durchbrochen haben. Besonders im Fadenkreuz von Angreifern stehen privilegierte Benutzerkonten mit weitreichenden Berechtigungen. Diese bieten den Schlüssel zu wertvollen Daten und Unternehmensressourcen und ermöglichen es, einmal ins System eingedrungen, unbemerkt zu agieren. Da es im modernen Netzwerk kein klassisches Innen und Außen mehr gibt, sondern eine Kombination aus On-Premises-, Internet- und Cloud-Lösungen, benötigt es umfassende Kontrollen, wer in welchem Ausmaß und für welchen Zeitraum Zugriff auf sensible Ressourcen und Daten hat. Nur so können alle Assets eines Unternehmens geschützt werden, um Schäden durch externe Angriffe und Insider-Bedrohungen zu minimieren.

Martin Kulendik, Regional Sales Director DACH bei Centrify, Bild: Centrify

Funktionsweise von Privileged Access Management

Privileged Access kann man mit einer Anzahl von Mautstraßen vergleichen. Um die Straßen zu befahren, benötigt es Fahrzeuge (Nutzerkonten) und entsprechende Mautplaketten (Rollen und Rechte). Einige Straßen führen zu Zielen von niedrigem Wert, daher ist die Maut gering und der Zugang für einen breiteren Personenkreis möglich. Andere Straßen führen zu hochwertigen Zielen. Hierfür benötigt es Fahrzeuge mit weitreichenden Rechten – sogenannte privilegierte Konten.

Laut Forrester beinhalten 80 Prozent der Sicherheitsverstöße den Missbrauch schwacher, gestohlener oder Default-Passwörter. Dies ist der Hauptgrund, weshalb man privilegierte Konten mithilfe eines Passwort-Tresors „von der Straße nehmen und sicher in einer Garage parken“ muss, um zu verhindern, dass sie gestohlen werden. Doch auch wenn die Speicherung dieser Konten in einem Passwort-Tresor die Barriere für Angreifer etwas erhöht, sind sie immer noch auf den Computern vorhanden, für die Anmeldung aktiviert, und können kompromittiert und missbraucht werden.

Geringstes Privileg und Privilegien-Erhöhung just-in-time

An dieser Stelle kommt das Konzept des geringsten Privilegs (Least Privilege) in Verbindung mit der Privilegien-Erhöhung (Privilege Elevation) ins Spiel. Hier haben alle Fahrzeuge nur noch grundlegende Rechte – eine Mautplakette, die lediglich Zugang zu erforderlichen, gemeinsamen Zielen wie etwa E-Mail, Surfen im Internet oder Office 360-Anwendungen gewährt. Sensiblere Ziele werden standardmäßig blockiert.

Die Privilegien-Erhöhung ermöglicht jedoch eine legitime Ausweitung der Berechtigungen just-in-time für einen vorübergehenden Zeitraum, um administrative Aufgaben zu erfüllen. Hierbei wird streng kontrolliert, wer durch die Mautstelle darf. Beispielsweise kann es legitim sein, einem Web-Administrator den Zugang zu Systemen zu gestatten, auf denen Web-Server und die damit verbundenen Management-Tools laufen. Das Einloggen in Maschinen, die Kreditkartentransaktionen verarbeiten, und die Verwendung von Tools, die Einblick in Kreditkartendaten geben, ist jedoch vermutlich nicht legitim und bleibt blockiert.

Just in Time Access, Bild: Centrify

Privilegien-Erhöhung bedeutet also, dem Benutzer vorübergehend zusätzliche Rollen und Rechte zu gewähren, damit er eine legitime Aufgabe erledigen kann, die mit seiner Arbeitsfunktion übereinstimmt – gerade genug Privilegien für genau die Zeit, die für die Ausführung der Arbeit benötigt wird.

Nutzer-Identität verifizieren: Zugangsantrag und Multi-Faktor-Authentifizierung

Was aber, wenn der Benutzer nicht der ist, der er sein sollte? Hier können einige zusätzliche Barrieren in den Weg gestellt werden, um die Identität des Benutzers besser zu kontrollieren. Eine mögliche Sicherheitsbarriere besteht darin, dass der Benutzer den gewünschten erweiterten Zugang über eine Self-Service-Funktion beantragt. Hierbei füllt er ein digitales Formular aus, in dem er den Kontext darüber angibt, worauf, warum und wie lange zugegriffen wird, sowie eventuell auch ein Verweis auf ein Helpdesk-Ticket. Zuständige Mitarbeiter des IT-Teams treffen dann die Entscheidung, den Zugriffsantrag zu gewähren oder zu verweigern.

Eine weitere Sicherheitsbarriere ist die Multi-Faktor-Authentifizierung (MFA). So kann der Benutzer während der Anmeldung zu einem zweiten Authentifizierung-Faktor aufgefordert werden oder die Authentifizierung wird während der Berechtigungserweiterung verstärkt, zum Beispiel durch eine Push-Benachrichtigung an sein registriertes mobiles Gerät. Es ist unwahrscheinlich, dass ein Angreifer (insbesondere aus einer anderen Region, ein Bot oder Malware) ein mobiles Gerät physisch kompromittiert hat, sodass dies eine relativ einfache Möglichkeit ist, ihm den Weg zu versperren. Da Zeit auch für Cyberkriminelle Geld ist, kann diese simple Abschreckung leicht dazu führen, dass Hacker von ihrem Vorhaben ablassen und sich einem anderen Angriffsziel zuwenden.

Zwar kann ein Passwort-Tresor eine wichtige Rolle bei der Verhinderung von identitätsbezogenen Datenverletzungen spielen, doch im Vergleich zur Privilegien-Erhöhung ist diese Rolle bei der Risikoreduzierung relativ gering. Für einen umfassenden Privileged Access Management-Ansatz kann die Tresorverwaltung ein schneller und einfacher Anfang sein. Die Implementierung eines Least Privilege-Ansatzes mit Privilegien-Erhöhung sollte jedoch oberste Priorität sein. Der Tresor sollte nur in Notfällen verwendet werden, etwa wenn ein Superuser-Zugriff erforderlich ist.

Weitere Informationen zum Thema:

Centrify
Unternehmenswebsite

datensicherheit.de, 26.09.2017
Häufig von Unternehmen unterschätzt: Privilegierte Zugriffsrechte als Sicherheitsrisiko

datensicherheit.de, 08.11.2016
Centrify gibt sieben Tipps zur Vermeidung von Datenlecks

datensicherheit.de, 22.10.2016
Centrify-Umfrage: Große IT-Sicherheitsmängel in den meisten Organisationen

[datensicherheit.de, 19.10.2016] Das Ausspionieren vertraulicher Daten in einem Unternehmen findet nicht selten durch die eigenen Mitarbeiter statt – wissentlich oder nicht wissentlich. Die Verwaltung von Berechtigungen für den Zugriff auf Daten ist eine Herausforderung und unübersichtliche Fileserver erschweren die Aufgabe weiter. Auf der Fachmesse für IT-Security, der it-sa 2016 in Nürnberg, stellt das auf ARM  spezialisierte Berliner Unternehmen 8MAN den neuen 8MATE Clean! vor.

„Access Rights Management (ARM) ist eine der wesentlichen Funktionen, um Datensicherheit nach innen zu gewährleisten und die Richtlinien einer Compliance-konformen Zugriffsverwaltung zu erfüllen“, erklärt Matthias Schulte-Huxel, CSO für 8MAN. Mit 8MATE Clean! können Kunden ab sofort einen Dienst nutzen, der Berechtigungsfehler und Inkonsistenzen mit einem definierten Prozess beseitigt. Als Ergebnis bekommen Anwender einen standardisierten Fileserver, auf dessen Basis eine effektive Fortsetzung eines sicheren Access Rights Management möglich ist.

Anforderungen und Best Practice

Der 8MATE Clean! Prozess ist dabei das Resultat zahlreicher Best Practice-Fälle, die bei 8MAN Kunden in den vergangenen Jahren durchgeführt wurden. Die individuellen Anforderungen des Anwenderunternehmens werden von Beginn an implementiert – damit ist der Dienst präzise zugeschnitten. Eine Archivierung alter Daten ist zudem möglich, um die Datenmasse zu reduzieren: „Wir wollen mit diesem Prozess eine Mischung aus Zeitersparnis und Best Practice-Wissen bieten, um die Hürden für Access Rights Management so niedrig wie möglich zu setzen“, sagt Schulte-Huxel.

Kritische Berechtigungen entfernt

Der Prozess umfasst folgende Schritte:

• Archivieren alter Fileserver-Daten,
• automatische Entfernung kritischer und sicherheitsrelevanter Berechtigungen,
• entfernen und ersetzen von Direktberechtigungen und
• eine Standardisierung der vorhandenen Berechtigungsarten auf den Fileservern.

„Neben allen Anstrengungen zur Abschirmung von Daten nach außen ist so auch die volle Sicherheit nach innen gegeben. Dennoch muss klar sein: Umfassendes Access Rights Management kann so nur beginnen, bedarf aber auch steter Pflege. Im Vergleich zu jeder händischen Methode der Zugriffsverwaltung bieten wir mit 8MAN jedoch mehr als 70 Prozent Zeitersparnis!“, so Schulte-Huxel.

Gleichzeitig mit dem Launch von 8MATE Clean! zur it-sa 2016 werden die neuen Professional Services für die 8MAN Lösung eingeführt, zu denen auch Konzepte zur Bereinigung der Berechtigungsstrukturen zählen. Für den Bezug und optimalen Einsatz des innovativen Lösungsmoduls ist ein Tag Professional Services-Beratungsleistung notwendig.

[datensicherheit.de, 25.03.2014] Trend Micro hat ein schwerwiegendes  Problem bei anwendungsspezifischen Berechtigungen von Android-Apps entdeckt. Bösartige Apps können anstelle legitimer Anwendungen Rechte zum Mitlesen des Datenverkehrs einfordern, ohne dass der Anwender den Betrug bemerkt. Das Unternehmen hat Google bereits über diese Bedrohung für die Privatsphäre informiert. Nahezu 10.000 Apps sind potenziell davon betroffen, darunter eine beliebte Online-Einkaufsplattform sowie diverse soziale Medien.

Android bietet Apps die Möglichkeit, über die Standardberechtigungen hinaus eigene Rechte einzufordern und diese vom Anwender bestätigen zu lassen. Um dabei Mißbrauch vorzubeugen, gewährt Android diese App-spezifischen Berechtigungen auf Basis der beiden Sicherheitsniveaus „signature“ und „signatureORSystem“. Diese beiden Niveaus wurden wohl mit dem Ziel konzipiert, dass nur Systemanwendungen oder Anwendungen mit ein und derselben Signatur auf die damit definierten Berechtigungen zugreifen können. Da Android jedoch bei der Rechteüberwachung nur nach dem Namen der App-spezifischen Berechtigungen fragt und sich eine einmal definierte Berechtigung im Nachhinein nicht mehr ändern lässt, können auch bösartige Apps anstelle der legitimen diese Spezialrechte einfordern. Allerdings müssen diese bösartigen Apps zeitlich vor den legitimen Anwendungen installiert werden. Freilich nutzt dann auch die legitime App die Berechtigungen, aber eben nicht allein. Die Online-Gangster und -Spione können somit dieselben Daten mitlesen wie die legitimen Apps.

„Dies stellt ein ernstes Sicherheitsproblem dar. Denn wir sprechen hier von rund 10.000 potenziell betroffenen Apps. Darunter befinden sich leider auch Anwendungen, die millionenfach und weltweit für Einkäufe oder den Austausch persönlicher Informationen genutzt werden“, warnt Sicherheitsexperte Udo Schneider, Pressesprecher von Trend Micro. „Um das Infektionsrisiko mit bösartigen Apps möglichst niedrig zu halten, sollten Anwender nur Applikationen aus vertrauenswürdigen Appstores installieren, eine Android-Sicherheitssoftware installiert haben und die eingeforderten Rechte bei der Installation einer App genau prüfen.“

Weitere Informationen zunm Thema:

blog.trendmicro.de
Androids Apps-eigene Berechtigungen lassen Datenabfluss zu