Report von CyberArk: Wie man privilegierte Accounts schützt

Die Informationen sind allerdings mehr als ein schlichtes Werbe-Paper, auch wenn Interessenten vor dem Herunterladen ihre Kontaktdaten herausrücken müssen. Denn zu den Autoren, die Informationen und Praxis­erfahrungen beigesteuert haben, zählen unter anderem die IT-Sicherheitschefs von Unternehmen wie Starbucks, ING Bank und Rockwell Automation.

In 30 Tagen die Security verbessern

Der Report enthält eine Art von "Crash Course", mit dem IT-Sicherheits­fachleute Risiken durch "Privileged User" reduzieren können. Der Hintergrund: Die Account-Daten von Administratoren und "Power-Usern" sind aus nachvoll­ziehbaren Gründen bei Hackern besonders beliebt. Denn damit ist es einfacher, sich Zugang zu Netzwerksystemen, IT-Sicherheits­komponenten wie Firewalls oder Datenbank-Servern zu verschaffen.

Im ersten Schritt rät der Report zu folgenden Maßnahmen:

• einer schnellen Identifizierung von Accounts mit privilegierten Rechten. Das lässt sich ohne großen Zeitaufwand in Windows mithilfe von Active Directory und der lokalen Administrator-Gruppen bewerkstelligen;
• der Konzentration auf Accounts mit dem größtem Risikopotenzial: Zunächst geht es um die Verwaltung und Sicherung der Accounts mit den umfangreichsten Rechten, etwa Domain-Administrator-Accounts und Administrator-Konten mit Zugriffsmöglichkeiten auf viele Systeme;
• einer realistische Einschätzung der Zahl der Account: Zunächst sollten Kontrollmechanismen implementiert werden, die im Laufe der Zeit erweitert werden. Ein Beispiel: Zuerst werden die Rechte von Usern von Workstation reduziert, sodass diese "nur" normale Zugriffsrechte haben, keine Systemverwalter-Befugnisse.

Feinschliff: Mehr-Faktor-Authentifizierung

Im Anschluss an diese Vorarbeiten folgen die Feinarbeiten. Der CISO-Report rät beispielsweise dazu, Accounts, auch die von Administratoren, je nach Funktion zu trennen. Storage-Admins müssen nicht zwangsläufig Zugang zu Konfigurationseinstellungen des Netzwerks haben und umgekehrt. Allerdings lässt sich diese Trennung speziell in kleineren Unternehmen mit entsprechend kleineren IT-Abteilungen nur bedingt umsetzen.

Zudem sollten Administrator-Passwörtern in einem Unternehmens-Vault abgelegt werden, das verschlüsselt und gegen Manipulationen abgesichert ist. Weiterhin ist eine Multi-Faktor-Authentifizierung für den Zugriff auf Administrator-Passwörter zu empfehlen, so der Report. Weitere Maßnahmen sind

• ein Monitoring von User-Accounts mit privilegierten Rechten,
• die Begrenzung solcher Nutzerkonten auf ein Minimum,
• Maßnahmen, die eine Verwendung starker Passwörter sicherstellen, inklusive des regelmäßigen Tauschs dieser Passwords, sowie
• die Begrenzung der Nutzung von Administrator-Accounts auf die Verwaltung "wichtiger" Systeme, etwa von Servern und Storage-Systemen. Workstations sollten mit speziellen Konten verwaltet werden, die eingeschränkte Rechte haben.