Die Sicherheitsrisiken privilegierter Admin-Konten

PAM: Privileged Account Management

| Autor / Redakteur: Frank-Michael Schlede, Thomas Bär / Andreas Donner

Administrations-Konten haben oft sehr weitreichende Rechte im Netzwerk – und sind selten selbst gut überwacht und geschützt. Ein großes Manko!
Administrations-Konten haben oft sehr weitreichende Rechte im Netzwerk – und sind selten selbst gut überwacht und geschützt. Ein großes Manko! (Bild: © artinspiring - stock.adobe.com)

Ganz gleich ob sie „nur“ Zugriff auf die Be­triebs­sys­teme oder (was wohl häufiger der Fall sein dürfte) auf das gesamte Unter­neh­mens­netz­werk haben: Administratoren haben sehr viel Macht sowohl über die IT- als auch über die Business-Ressourcen. Ihre „Privilegierten Konten“ können sich dabei allerdings auch schnell zu einer Gefahr entwickeln: Ein Überblick über PAM-Techniken und -Ansätze, die solche Probleme lösen sollen.

„Passwörter sind unsicher, Passwörter sind ‚out‘ und kein vernünftiges Unternehmen nutzt diese archaische Anmeldemethode noch – schon gleich überhaupt nicht in komplexen Netzwerkumgebungen“, so kann man es aktuell häufig von Analysten, Sicherheitsspezialisten und deren Unternehmen hören. Und auch, wenn Single-Sign-On-Lösungen in Netzwerk- und Cloud-Umgebungen schon sehr oft zum Einsatz kommen und Endgeräte mittels biometrischer Methoden wie etwa „Windows Hello“ gesichert werden können, ist die traditionelle Anmeldemethode mit Nutzernamen und Passwort nach wie vor sehr verbreitet.

Das ist eine bekannte Gefahr – doch was ist mit den Konten selbst und den Zugriffsmöglichkeiten, die sie denjenigen bieten, die das Konto nutzen? Hand aufs Herz bei dieser Frage an Administratoren und Netzwerkverantwortliche: Wissen Sie genau, wer auf ihren Systemen und im Netzwerk mit erhöhten oder gar absoluten Zugriffsrechten arbeiten kann? Wer ist beispielsweise nicht als Domänen-Administrator tätig, besitzt aber trotzdem dessen weitreichenden Zugriffsrechte auf die Ressourcen des Unternehmensnetzwerks?

Es ist wichtig, sich Gedanken über „privilegierte“ Konten zu machen

Dabei dürfte es jedem IT-Verantwortlichen und CIO klar sein: Es existieren hochprivilegierte Konten, wie etwa „root“ oder „Administrator“, mit deren Einsatz ein Nutzer auf sehr viele Informationsbereiche Zugriff hat und/oder weitreichende Systemeinstellungen durchführen kann. IT-Profis nutzen diese Zugänge, um Daten im Netzwerk freizugeben, Software zu installieren und auszuführen oder kritische Netzwerkgeräte zu überwachen und zu verwalten. Nicht zuletzt kommen sie auch zum Einsatz, um das Netzwerk vor Bedrohungen von innen und außen zu bewahren.

Geht es dabei um kleinere Unternehmen und Bürogemeinschaften, sollte die Verwaltung der privilegierten Konten einfach sein: So könnten die Mitarbeiter das Passwort für das administrative Konto beispielsweise regelmäßig alle paar Tage ändern und sich dann über das aktuelle Kennwort informieren. Wenn das konsequent durchgehalten wird und das Passwort für den administrativen Account nicht am schwarzen Brett oder in einer öffentlichen WhatsApp-Gruppe landet, dürfte ein Teil der Gefahr gebannt sein.

Allerdings sieht die Realität zumeist anders aus: Es gibt viele IT-Mitarbeiter, von denen jeder einzelne über ein administratives Konto und ein reguläres Konto mit geringeren Rechten für das Tagesgeschäft verfügt. Das primäre Administratorkonto der Domäne wird nur selten verwendet und deshalb ist auch das Passwort seit Jahren das gleiche. Dazu passt es, dass laut „US State of Cybercrime Survey“ 21 Prozent aller Unternehmen davon überzeugt sind, dass derzeitige und ehemalige Mitarbeiter die größte Gefahr für die Cyber-Security darstellen – und das trifft dann häufig auch auf noch so kleine Unternehmen zu: Denn wer weiß in diesen Fällen zweifelsfrei, welcher ehemaliger Mitarbeiter immer noch administrativen Zugriff auf das Netzwerk hat?

Active Directory allein kann es nicht stemmen – IAM auch nicht

Kommt das Gespräch auf die privilegierten Benutzerkonten, so verweisen IT-Abteilungen teilweise darauf, dass sie diese Probleme durch den Einsatz von Active Directory oder auch durch Lösungen für das Identity Access Management (IAM) vollständig im Griff haben. So erleichtert ein Verzeichnisdienst ganz sicher die zentrale Verwaltung von Benutzerkonten und ebenso deutlich die Arbeit der Administratoren. Erzwingt er in der Regel doch die Einhaltung von Passwortregeln. Und das sichere Abspeichern von Passwörtern und Benutzernamen, das schaffen auch Freeware-Tools wie etwa Keepass oder LastPass.

Aber gerade im Netzwerk ist es wichtig, dass die Zugriffsrichtlinien zuverlässig und auf Identitäten basierend durchgesetzt werden. Da einfache Lösungen so etwas in einer komplexen Netzwerkumgebung sicher nicht leisten können, kommen IAM-Lösungen zum Einsatz, die den grundsätzlichen Zugriff der Nutzer auf Ressourcen wie Anwendungen, Datenbanken, Storage und die Netzwerke richtlinienkonform regeln können.

Sie authentifizieren die Nutzer, autorisieren deren Zugriffe und provisionieren diese auch, in dem sie die Zugriffe zuweisen oder auch wieder entziehen können. Schließlich können sie die Zugriffe und Rechte über entsprechende Audits dokumentieren. Braucht es da noch eine PAM-Software, mit deren Hilfe die privilegierten Konten aufgespürt und überwacht werden?

Auf jeden Fall, denn leider entziehen sich die privilegierten Nutzerkonten im Netzwerk oftmals den vorgenannten Kontrollmechanismen. Tätig sind hier „spezielle Nutzer“, die beispielsweise auch direkt auf die Einstellungen der Konten zugreifen und diese ändern können. Dabei existieren diese „Super-User“ sowohl aus der Sicht der Business-Anwendungen als aus Sicht der reinen IT-Lösungen. Im Business-Umfeld greifen sie dabei beispielsweise ebenso auf sensitive Daten aus dem HR-Bereich wie auf Finanzunterlagen oder gar Daten zu Patenten zu. Im reinen IT-Umfeld finden sich hier mehr die Nutzer mit den klassischen Administrator-Rechten, die beispielsweise eine kritische Infrastruktur lahmlegen oder sensible IT-Adressen unberechtigt benutzen können.

PAM-Lösungen kontrollieren diese speziellen Nutzergruppen im Idealfall in allen Bereichen und können dort wirken, wo die Standardmechanismen der IAM-Lösungen – die sich um die „normalen Nutzer“ kümmern – einfach nicht mehr greifen.

Die Analysten von Gartner veröffentlichten dazu in ihrem Report zum „Magic Quadrant for Privileged Access Management“ im Dezember 2018 folgende Vermutungen: Bis zum Jahr 2021 werden 50 Prozent der Unternehmen, die DevOps nutzen, auf PAM-basierte Produkte und dort auf so genannte „Secret Management“-Produkte setzen. Ein Beispiel dafür ist der Secret Server der Firma Thycotic, der auch in einer Freeware-Version bereitsteht, die sich unter anderem gut dazu eignet, im kleinen Rahmen in diese Thematik einzusteigen. Liegen die Analysten mit dieser Aussage richtig, so würde das einen enormen Anstieg beim Einsatz solcher Lösung bedeuten, da es nach Aussagen von Gartner aktuell weniger als 10 Prozent der Unternehmen sind, die auf derartige Software setzen. Bis zum Jahr 2022 sehen die Gartner-Leute dann den Einsatz vom PAM-Werkzeugen bei mehr als der Hälfte der Enterprise-Unternehmen.

Zudem werden die beiden Disziplinen IAM und PAM zusammenwachsen. Denn es scheint, dass die Anbieter erkannt haben, dass die Unternehmen wohl beide Ansätze in Betracht ziehen wollen und müssen. Das zeigt beispielsweise auch die Tatsache, dass der ungarische Anbieter Balabit, der sich auf den Bereich PAM spezialisiert hatte, im letzten Jahr vom Identity-Anbieter One Identity (ehemals Teil von Quest) übernommen wurde.

Fazit: Netzwerkadministratoren müssen die „Super-User“ im Blick behalten

In vielen IT-Abteilungen herrscht (leider) immer noch ein gewisses „Silo-Denken“: So wollen sich die Netzwerkleute vielfach nicht um die Sicherheit kümmern, denn das ist ja die Aufgabe der Mitarbeiter aus dem Bereich Security (und umgekehrt). Doch gerade, wenn es um die „Superuser“ und anderen privilegierten Konten im Netzwerk geht, sind Fachverstand und Überblick der Netzwerktruppe extrem gefragt.

Ganz aktuell sorgte Ende Januar eine Zero-Day-Lücke im Exchange-Server für Aufsehen, durch die Angreifer mittels eines (gehackten) E-Mail-Kontos die Administratorrechte für den Domänen-Controller erlangen konnten. Obwohl dieses Angriff-Szenario nicht unbedingt trivial war, konnte ein Angreifer damit seine Nutzerrechte so erweitern, dass er die Rechte des privilegierten Domänen-Kontos erlangen konnte. Auch für solche Fälle kann eine PAM-Lösung, die entsprechende Zugriffe auch protokolliert, eine wichtige Maßnahme sein, um die Angriffsfläche des gesamten Netzwerks und der Server-Systeme deutlich zu verringern.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45790019 / Security-Devices und -Tools)