Bessere Methoden für IAM und PAM


IT-Sicherheitsexperten bekunden mangelndes Vertrauen in Privileged Access Management: Was tun?
Identity und Access Management oder im Licht der Studienergebnisse betrachtet wohl eher Missmanagement kann in Kombination mit nicht ausreichenden Sicherheitspraktiken zu schwerwiegenden Unterbrechungen der Geschäftsabläufe und Datenschutzvorfällen gleichzeitig führen



Von Martin Grauel, One Identity

Cybersicherheit als solche und insbesondere der Schutz von vertraulichen Daten waren vielleicht nie wichtiger als gerade jetzt. Die allgemeine Aufmerksamkeit richtet sich inzwischen sehr viel stärker auf das Thema. Das gilt gleichermaßen für Regierungen und Aufsichtsbehörden. Die Risiken sind höher denn je. Kein Unternehmen, keine Organisation kann sich mehr hinter einer magischen "BlackBox" verschanzen, die im Hintergrund sämtliche Sicherheitsvorkehrungen übernimmt. Ohne konzertierte Aktion wird es nicht gehen, und die betrifft Menschen, Prozesse und Technologien zu gleichen Teilen.

Tatsächlich haben Identity und Access Management sowie das Privileged Access Management (abgekürzt IAM und PAM) einen großen Anteil an den Sicherheitsbemühungen eines Unternehmens. Das hat einen Grund. Privilegierte Konten betreffen die wichtigsten Daten einer Firma, Benutzer dieser Konten können auf höchst vertrauliche Informationen zugreifen. Es ist also entscheidend, dass wirklich nur die Nutzer auf genau die Daten zugreifen, die sie brauchen, um die mit ihrem Job verbundenen Aufgaben zu erledigen. Und nur auf diese Daten und nicht etwa auf sämtliche sensiblen Informationen eines Unternehmens. Erst das Zusammenspiel von übergreifender Governance, dementsprechenden Praktiken und Richtlinien, gewährleistet überhaupt mit Cyberangriffen Schritt halten zu können.

Eine erst kürzlich durchgeführte Befragung von über 1.000 mittelständischen und großen Unternehmen liefert allerdings eher alarmierende Befunde. Beinahe ein Drittel der befragten Organisationen verlässt sich beispielsweise bei der Passwortverwaltung auf inzwischen völlig überholte manuelle Ansätze wie etwa Excel-Tabellen. Weitere 75 Prozent der IT-Sicherheitsexperten räumen ein, Passwörter zumindest ab und zu mit Kollegen zu teilen, und ein Viertel der Befragten tut dies üblicherweise oder sogar immer. Und auch was das Vergeben und Entziehen von Zugriffberechtigungen angeht, stimmen die Studienergebnisse nicht gerade optimistisch. Firmen brauchen für die komplette Provisionierung beziehungsweise Deprovisionierung eines Benutzers Zeiträume von mehreren Tagen (44 Prozent) bis in einigen Fällen hin zu mehreren Wochen (32 Prozent).

Die erschreckende Zahl von 77 Prozent von IT-Sicherheitsexperten gab zu, dass es für sie vergleichsweise einfach wäre sensible Daten zu stehlen, sollten sie die Firma verlassen. Vor dem Hintergrund dieser Ergebnisse betrachtet überrascht es dann schon weit weniger, dass stolze 87 Prozent der im Rahmen der Studie Befragten den PAM-Programmen ihres eigenen Unternehmens nicht vollständig vertrauen.

Identity und Access Management oder im Licht der Studienergebnisse betrachtet wohl eher Missmanagement kann in Kombination mit nicht ausreichenden Sicherheitspraktiken zu schwerwiegenden Unterbrechungen der Geschäftsabläufe und Datenschutzvorfällen gleichzeitig führen. Kein Unternehmen kann sich heutzutage Sicherheitsschwachstellen leisten. Ebenso wenig wie einen Serviceausfall. Effektive IAM- und PAM-Programme sind eine wichtige Komponente, wenn man Cyberrisiken minimieren will. Genauso tragen IAM und PAM dazu bei, die Sicherheitsbelange anderer Unternehmen zu verbessern. Die Studienergebnisse enthüllen, dass etliche Unternehmen weltweit aber genau daran scheitern. Selbst wenn es um grundlegende Best Practices und Sicherheitsmaßnahmen sowohl beim Identity und Access Management als auch bei der Verwaltung privilegierter Konten geht.

Bessere Methoden für IAM und PAM
Anmeldeinformationen zu stehlen ist für böswillige Akteure einer der simpelsten Wege sich Zugang zu einem Unternehmensnetzwerk zu verschaffen. Am begehrtesten ist der Zugriff auf privilegierte (administrative) Konten. Diese Konten verschaffen einem Eindringling nahezu unbegrenzten Zugriff auf die Infrastruktur eines Unternehmens, eingeschlossen die wichtigsten und vertraulichsten Systeme und Daten. Je mehr Konten für einen Angreifer verfügbar sind, desto größer der potenzielle Schaden. Dazu gehören Datenschutzverletzungen und das Offenlegen von Daten, der Verstoß gegen Compliance-Richtlinien, Strafen sowie Vertrauensverlust des Unternehmens bei seinen Kunden und Rufschädigung. Wirksame IAM- und PAM-Programme sind einer der wichtigsten Bausteine für die Sicherheitsstrategie eines jeden Unternehmens.

Unternehmen sollten die folgenden grundlegenden Empfehlungen deshalb dringend beherzigen:

>> Passwörter für privilegierte Konten nach jedem Kontozugriff zurücksetzen: Damit begrenzenSiedas gemeinschaftliche Nutzen von administrativen Anmeldeinformationen. So sind vertrauliche Unternehmensdaten um sein Vielfaches besser geschützt als über statische und wieder verwendbare Passwörter.

>> Nicht mehr aktive Benutzerkonten sofort deprovisionieren: Mitarbeiter wechseln die Firma, werden entlassen oder Stellen anderweitig besetzt als ganz natürlicher Teil unternehmerischer Lebenszyklen. Es sollte ein ebenso natürlicher Bestandteil dieser Lebenszyklen sein, nicht mehr gültige Zugriffsberechtigungen auf das Firmennetzwerk unverzüglich zurückzurufen. Selbst, wenn Mitarbeitende sich im Guten von ihrer Firma getrennt haben, ist es das Risiko nicht wert schlummernde Konten über einen langen Zeitraum hinweg beizubehalten. Nicht zuletzt können sich auch Hacker solcher nicht mehr aktiv genutzter Konten bemächtigen.

>> Benutzerpasswörter schnell zurücksetzen: Sicherheitsmaßnahmen, die für die Benutzer sperrig und komplex in der Anwendung sind, führen schnell zu Frustration. Der unerwünschte Nebeneffekt: Sicherheitsmaßnahmen werden als Zeitverschwendung betrachtet. Probleme mit dem Vergeben und Verwalten von Passwörtern zu lösen ist ein unternehmerischer Imperativ. Einerseits, um zu gewährleisten, dass Mitarbeitende produktiv arbeiten, andererseits, um zu verhindern, dass sie selbst Mittel und Wege finden, Sicherheitsmaßnahmen zu umgehen (etwa in dem sie Passwörter teilen).

>> Sämtliche Aktivitäten rund um eine Identität überwachen und protokollieren: Bei vertraulichen Informationen ist es wichtig zu wissen, wer auf welche Dateien zugreifen kann. Insbesondere dann, wenn die Daten gefährdet sind. Für Auditoren sind die diesbezüglichen Protokolldaten ausnehmend wichtig. Sie helfen bei der Ursachenforschung und Analyse sollte es bereits zum Schlimmsten gekommen sein. Sie fungieren aber auch als Frühwarnsystem und weisen auf potenziell schädliche Aktivitäten eines Benutzers hin.

Dies sind neben vielen weiteren mehr grundlegende Best Practices beim Identity und Access Management, respektive dem Privileged Access Management, die dazu beitragen, das Risiko von Datenschutzverletzungen zu senken. Aber auch Risiken, die mit nicht erlaubten Aktivitäten eines Benutzers zusammenhängen, einzugrenzen. Natürlich haben Technologien einen nicht ganz unerheblichen Anteil daran, hier Hilfestellung zu leisten. Etwa indem sie Prozesse automatisieren sowie Lücken bei der Verwaltung privilegierter Konten aufdecken und zu schließen. Je größer die Zahl schlecht verwalteter Benutzerkonten und privilegierter Konten ist, desto größer der potenzielle Schaden. Er reicht von Datenschutzverletzungen und Datendiebstahl, über mangelnde Compliance und Strafen bis zum Vertrauensverlust bei Kunden und schwerwiegenden Schäden an Marke und Ruf. Es bleibt also zu hoffen, dass Unternehmen in den kommenden Jahren etwas mehr Vertrauen in ihre Prozesse zum Identity und Access Management und das Management privilegierter Konten haben. Weil Firmen die dazu notwendigen Maßnahmen ergreifen. (One Identity: ra)

eingetragen: 26.11.18
Newsletterlauf: 21.12.18

One Identity: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

Nahezu kein Expertenwissen mehr benötigt

Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

Sicherheitsmaßnahmen gegenüber Bedrohungen

Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

Support-Ende von Windows

Nicht erst gestern gab Microsoft das Support-Ende von Windows 7 bekannt. Dennoch sind Rechner in Unternehmen, Privathaushalten, Schulen und Behörden nach wie vor mit diesem Betriebssystem unterwegs. Darauf machen die IT-Sicherheitsexperten der PSW Group aufmerksam und verweisen auf eine aktuelle Untersuchung des Sicherheitsspezialisten Kaspersky. Demnach verwenden noch immer 41 Prozent ein nicht unterstütztes oder bald auslaufendes Desktop-Betriebssystem wie Windows XP oder Windows 7. "Laut Kaspersky nutzen 38 Prozent der Kleinstunternehmen, 47 Prozent der Mittelstands- und Großunternehmen sowie 38 Prozent der Privatanwender Windows 7, obwohl der Support Anfang 2020 eingestellt wird", verdeutlicht Patrycja Tulinska, Geschäftsführerin der PSW Group, und macht auf die Folgen aufmerksam: "Das ist ärgerlich, denn ein veraltetes Betriebssystem schadet nicht nur dem betroffenen Rechner, sondern allen im Netzwerk angeschlossenen Systemen."

Neuer Standort und neue BC/DR-Strategie?

Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.

Abfangen und Manipulieren von E-Mails

Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>


Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.

Diese Webseite verwendet Cookies - Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Verwendung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie ihnen bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. Mit dem Klick auf „Erlauben“erklären Sie sich damit einverstanden. Weiterführende Informationen erhalten Sie in unserer Datenschutzerklärung.