Sicherung privilegierter Benutzerkonten beginnt beim Erkennen verdächtiger Aktivitäten

Autor: Christian Götz, Regional Professional Services Manager DACH bei CyberArk/gg

Sowohl Cyber-Attacken als auch Insider-Angriffe sind häufig auf eine missbräuchliche Nutzung privilegierter Benutzerkonten zurückzuführen. Ohne eine strikte Vergabe und Überwachung von IT-Berechtigungen sind Unternehmen hier potenziellen Angreifern schutzlos ausgeliefert. Eine zukunftsweisende Sicherheitslösung sollte dabei auch Echtzeit-Analytik und -Alarmierung bereits bei einer verdächtigen Nutzung privilegierter Benutzerkonten bieten.

Bei den zahlreichen fortschrittlichen, zielgerichteten Web-Attacken der jüngsten Vergangenheit, den so genannten Advanced Persistent Threats (APTs), wurden fast ausschließlich privilegierte Benutzerkonten – wie sie Administratoren besitzen – als Einfallstor genutzt. Es hat sich dabei gezeigt, dass die klassische Perimeter-Sicherheit mit der Nutzung von Firewalls, Anti-Viren-Scannern oder Webfilter-Techniken prinzipbedingt keinen ausreichenden Schutz vor externen Angriffen bietet. Aber auch die Bedrohung durch Insider ist nicht zu unterschätzen. Auch sie verschaffen sich oft über privilegierte Benutzerkonten – wie im Fall Snowden – Zugang zu vertraulichen Informationen.

Viele Unternehmen haben diese Problematik bereits erkannt. Das zeigt sich auch am starken Wachstum des Marktes für Privileged-Account-Security-Lösungen, denn damit können privilegierte Zugriffe auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert werden.

Unverzichtbare Komponenten einer Privileged-Account-Security-Lösung

Zur Sicherung der privilegierten Accounts sind heute verschiedenste Produkte auf dem Markt verfügbar. Bei der Auswahl sollten Unternehmen auf jeden Fall darauf achten, dass die Lösung neben einer regelmäßigen Änderung der Server-, Datenbank- und Netzwerk-Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit aller Aktivitäten bietet. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, auf welche er zugreift und was er mit diesen Informationen macht.

Im Einzelnen muss eine Sicherheitslösung drei Leistungsmerkmale bieten: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Grundvoraussetzung ist, dass die Anwendung eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Unternehmenssysteme enthält. Zudem muss eine vollständige Überwachung der Nutzung privilegierter Accounts gewährleistet sein. Nicht zuletzt muss eine Privileged-Account-Security-Applikation natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen ermöglichen. Dies könnte auch den Entzug von privilegierten Zugriffsberechtigungen oder das Beenden einer aktiven Verbindung umfassen.

Das sind die Grundvoraussetzungen, die eine Anwendung im Bereich Privileged Account Security erfüllen muss. Man sollte aber noch einen Schritt weiter gehen, und zwar in Richtung Erkennung verdächtiger Aktivitäten. Eine ganzheitliche Lösung muss auf jeden Fall eine solche Möglichkeit bieten, denn die Vergangenheit hat eines klar gezeigt: Unternehmen haben sich vornehmlich auf präventive Sicherheitsmaßnahmen fokussiert, konnten damit aber keineswegs alle Angriffe verhindern. Deshalb muss auch verstärkt ein Augenmerk auf die Entdeckung und Unterbindung von Angriffen gelegt werden.

Echtzeit-Analytik und -Alarmierung bietet zusätzliche Sicherheit

Nutzt ein Unternehmen eine Lösung, mit der bereits verdächtige Aktivitäten bei privilegierten Benutzerkonten erkannt werden können, bringt das ein entscheidendes Plus an Sicherheit. Mit so genannten Threat-Analytics-Komponenten ist es heute möglich, die – durchaus berechtigte – Nutzung aller bereits mit einer Privileged-Account-Security-Anwendung verwalteten privilegierten Konten permanent zu überwachen. Über intelligente Mechanismen wird so jede verdächtige Aktivität aufgespürt, die vom sonst üblichen Normalverhalten eines jeweiligen Users abweicht. Typische verdächtige Eigenschaften sind abweichende Zugriffszeiten oder eine ungewöhnliche Häufung von Zugriffen, aber auch ein Verbindungsaufbau zu einem privilegierten Konto, der von einer ganz anderen als der üblichen Quelle erfolgt. Sicherheitsverantwortliche erhalten mit einer solchen Echtzeit-Analyse zielgerichtete Warnhinweise, auf deren Basis sie auch auf laufende Angriffe reagieren können. Die Alarme können dabei nicht nur darauf hindeuten, dass ein externer Angreifer oder ein böswilliger Insider ein privilegiertes Benutzerkonto missbraucht. Sie können auch darüber informieren, dass ein vertrauenswürdiger Benutzer versehentlich eine potenziell schädliche Handlung durchführt.