2013/2 | Fachbeitrag | Privileged Identity Management

Externe Mitarbeiter: Die unterschätzte Sicherheitsgefahr

von Jochen Koehler

Inhaltsübersicht:


Mitarbeiter oder externe Dienstleister müssen sich zwar verpflichten, Geschäftsgeheimnisse des Unternehmens vertraulich zu behandeln, eine Garantie für korrektes Verhalten ist das aber noch lange nicht. In vielen Unternehmen herrscht ein reges Kommen und Gehen: Externe Mitarbeiter von Partnerfirmen verlassen das Unternehmen nach abgeschlossenem Projekt, und Zeitarbeitskräfte sind oft nur für einen kurzen Zeitraum angestellt. Einige der externen Mitarbeiter kennen Passwörter für „Superuser-Accounts“, mit deren Eingabe sämtliche Sicherheitsmechanismen des Unternehmens ausgeschaltet werden können.

Unternehmen sind sich der Gefahren nicht bewusst

Trotz der potenziellen Gefahren setzen die meisten Unternehmen kein oder nur ein unzureichendes Passwort-Management ein. Oft genügt ein Passwort zu einem privilegierten Benutzerkonto, um auf unternehmenskritische Anwendungen und sogar auf nachgelagerte Systeme problemlos zuzugreifen. Wer einmal den Zugang erlangt hat, kann nach Gusto handeln und sensitive Informationen wie Personal-, Kunden-, Entwicklungs- oder Finanzdaten stehlen.

Das Grundproblem: Auf vielen sicherheitskritischen Systemen befinden sich identische, oftmals leicht zu entschlüsselnde Passwörter, die nur selten oder überhaupt nicht geändert werden. In der Regel können mehrere Administratoren mit dem gleichen Passwort auf die Systeme zugreifen. Bei diesen sogenannten Shared Accounts ist dann keine Nachvollziehbarkeit gegeben. Hat eine größere Gruppe von Administratoren Zugriff auf Passwörter, kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat.

Die zunehmende Auslagerung von IT oder Geschäftsprozessen in die Cloud verschärft die Problematik

Bei jeder Auslagerung von unternehmenskritischen Applikationen oder Daten sollte das Thema Sicherheit natürlich an oberster Stelle stellen. Eines darf man nämlich auf keinen Fall vergessen: Auch bei einem Outsourcing von IT oder Geschäftsprozessen sind Unternehmen verpflichtet, alle Anforderungen des Risikomanagements zu erfüllen. Die Verantwortung für die ausgelagerten Bereiche verbleibt also beim Auftraggeber. Unternehmen sollten bei der Nutzung von Cloud-Services deshalb genau überprüfen, wo sich ihre Daten befinden, wie sie gesichert werden und – vor allem – wer darauf Zugriff hat. Ein zentrales Sicherheitsproblem bei der Nutzung von Cloud-Services ist nämlich, dass Administratoren des Service-Providers per se Zugang zu unternehmenskritischen Applikationen, Prozessen, Services, Systemen oder Daten erhalten. Eine klare Regelung der Zugriffsmöglichkeiten und detaillierte Überwachung aller Aktivitäten ist hier unerlässlich.

An Privileged-Identity-Management-Lösungen führt kein Weg vorbei

Um dies sicherzustellen, sollte man eine Lösung im Bereich Privileged Identity Management (PIM) implementieren, mit der privilegierte Benutzerkonten automatisch verwaltet, regelmäßig geändert und überwacht werden können. Mit einer PIM-Lösung kann jede Art von privilegiertem Zugriff auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert werden. Dadurch sind auch administrative Tätigkeiten mit generischen Benutzerkonten transparent bis auf die Personenebene nachvollziehbar.

Bei der Lösungsauswahl sollte vor allem darauf geachtet werden, dass privilegierte Zugänge nicht nur im Hinblick auf das „Wer“, sondern auch auf das „Was“ gesichert und überwacht werden. Cyber-Ark hat hierfür beispielsweise die Lösung Privileged Session Manager entwickelt.

Entsprechende Anwendungen sollten durch eine durchgängige Protokollierung von Admin-Sessions eine vollständige Transparenz über alle Vorgänge bei privilegierten Zugriffen bieten – und damit auch eine jederzeitige Nachvollziehbarkeit, was in ihnen konkret passiert ist. Für den Privileged-Remote-Access-Zugriff bieten sie in der Regel einen sicheren, isolierten Zugang. Zentraler Vorteil dabei ist, dass keinerlei direkte Kommunikation mehr vom Admin-PC zum Ziel-Server erfolgt, sondern die Verbindung – über „Firewall-friendly“-HTTPS – zunächst über die Lösung terminiert wird. Erst von hier aus werden die eigentlichen Admin-Sessions gestartet, und man gelangt über RDP zu Windows-Servern, über SSH zu UNIX-Servern oder anderen Terminals, über SQL zu Datenbanken oder über vSphere direkt in die ESX-Adminkonsole von VMware. Dabei erfolgt die Verbindung über Single-Sign-On-Verfahren – ohne dass externe Dienstleister oder Administratoren die Passwörter jemals einsehen können. Die Anwendung fungiert sozusagen als Jump-Server für alle administrativen Verbindungen. Nur sie „kennt“ die Passwörter der Zielsysteme und nur sie darf sich mit diesen verbinden. So verlässt ein Passwort das Unternehmensnetzwerk auch dann nicht, wenn der Zugriff von außen erfolgt.

Fazit

Generell sollte die Gefahr, die durch externe Mitarbeiter ausgeht, nicht unterschätzt werden. Schon ein einziges Passwort kann ausreichen, um sämtliche Sicherheitsmechanismen außer Kraft zu setzen. Deshalb ist es unerlässlich, eine Lösung im Bereich Privileged Identity Management einzusetzen, mit der sich ein Missbrauch effektiv verhindern lässt. Die Notwendigkeit zur Einführung einer solchen Lösung liegt auf der Hand – gerade in einer Zeit, in der das Thema Datensicherheit zunehmend an Bedeutung gewinnt. Eine zentralisierte, automatisierte und sichere Verwaltung von administrativen Benutzerkonten, die einen uneingeschränkten Zugriff auf alle – auch vertraulichen – Unternehmensdaten ermöglichen, ist heute unverzichtbar.

Diese Artikel könnten Sie auch interessieren

Sensibles Wissen: Das neue Geschäftsgeheimnisgesetz

WISSENplus
Unternehmerisches Handeln und erfolgreiches Wirtschaften sind stets mit Risiko verbunden: Ob es um neue Produkte, externe Rahmenbedingungen oder Investitionsentscheidungen geht. Ein ernstzunehmendes Risiko sind allerdings auch Geschäftsgeheimnisse - zumindest dann, wenn sie nicht länger geheim sind. ...

Weiterlesen

Flexibel & vielschichtig: IT-Sicherheit aus der Cloud

WISSENplus
Viele IT-Sicherheitskonzepte sehen vor, dass die Grenzen des Unternehmensnetzes von innen nach außen geschützt werden – Firewalls, Antivirensoftware oder Intrusion-Prevention-Systeme gelten als Mittel der Wahl. Cyber-Attacken aber sind heute viel zu raffiniert und erfordern neue Schutzmechanismen. Im Unterschied zu internen Lösungen erweisen sich Security-Services aus der Cloud als flexibler und effizi...

Weiterlesen

IT-Sicherheit vs. Totalüberwachung

WISSENplus
IT-Sicherheit und der Schutz personenbezogener Daten sind nicht erst seit dem NSA-Skandal um den Whistleblower Edward Snowden heiß diskutierte Themen in der IT-Branche und darüber hinaus. Die Gefahren gehen von Geheimdiensten, staatlichen Hackern und Trojanern aus, ebenso wie von konkurrierenden Unternehmen. Selbst die eigenen Mitarbeiter können durch Unachtsamkeit oder Unwissenheit Firmendaten gefährde...

Weiterlesen

Effektiver Schutz vor Cyber-Kriminalität muss nicht teuer sein

WISSENplus
Russische Hacker attackierten bei einer Serie von Cyber-Angriffen etwa 420.000 Websites und stahlen rund 1,2 Milliarden Nutzernamen und Passwörter. Diese Meldung sorgte in der Internetgemeinde Anfang August für Wirbel. Aber das wirklich Erschreckende daran ist die Tatsache, dass solche Nachrichten anscheinend mittlerweile zu unserem Alltag gehören....

Weiterlesen

BYOD – ja oder nein? Über die Sinnhaftigkeit eines Trends

WISSENplus
Mit BYOD (Bring Your Own Device) konfrontiert, sehen Mitarbeiter oft nur die Vorteile dieser Entwicklung, unterschätzen aber die Konsequenzen. Denn hier geht es vornehmlich um die Entscheidung Bequemlichkeit versus Privatsphäre. Dabei ist ein Kompromiss kaum machbar, es müssen jeweils massive Einschränkungen in Kauf genommen werden....

Weiterlesen

7 Praxis-Tipps: So vermeiden Sie Schatten-IT in Ihrer Team-Kommunikation

Lahmgelegte Systeme und kritische Datenlecks: Pro Tag registriert das Bundesamt für Sicherheit (BSI) 320.000 neue Schadprogramme, wie sein im September 2020 veröffentlichter Lagebericht zur IT-Sicherheit in Deutschland offenbart. Die beunruhigenden Zahlen zeigen nicht nur, dass Cyber-Kriminalität eine zunehmende Bedrohung darstellt, sondern auch, wie wichtig es ist, (potenzielle) Sicherheitslücken...

Weiterlesen

End-of-Life-Management: Sensible Daten zuverlässig & revisionssicher löschen

WISSENplus
Das richtige Handling der immer schneller anwachsenden digitalen Datenmengen ist in Zukunft ein wichtiger Faktor für den unternehmerischen Erfolg, vor allem wenn es sich um sensible Geschäfts- und Personendaten handelt. Ein professionelles Datenmanagement geht dabei bereits heute weit über das reine Speichern und Verwalten der Daten während ihres Lebenszyklus hinaus und betrifft, u.a. aus rechtlichen Gr...

Weiterlesen

IT-Sicherheit - auch im Homeoffice

Fernarbeit ist bei LogMeIn nicht erst seit Corona an der Tagesordnung. Die Sicherheitskultur des SaaS-Anbieters ist entsprechend hoch, das Konzept ist auch auf Mitarbeiter im Home Office oder auf Reisen ausgelegt. Es lässt sich auf jedes Unternehmen, ob klein, mittelständisch oder Konzern übertragen, denn aktuell benötigt es neben einer sicheren IT-Infrastruktur und Zugriffsrechten auch die passende Si...

Weiterlesen