Verzicht auf Administrator-Rechte entschärft Sicherheitslücken

    An die 97 Prozent der kritischen Sicherheitslücken, die 2014 in Software von Microsoft auftraten, wären ungefährlich gewesen, wenn Anwender nicht mit Administrator-Rechten gearbeitet hätten. Das ergab eine Untersuchung der britischen IT-Sicherheitsfirma Avecto. Sie wertete dazu die Dokumente aus, die Microsoft jeweils an den monatlichen "Patch Tuesdays" veröffentlichte. Der Microsoft Vulnerabilities Report 2014 kann nach Angaben von Adressdaten von dieser Web-Seite von Avecto heruntergeladen werden.

    Avecto - Studie Sicherheitsrisiken in Microsoft-SoftwareEin zentrales Resultat der Analyse: An die 97 Prozent der Sicherheitsrisiken, die durch Sicherheitslücken in unterschiedlichen Microsoft-Programmen entstanden, hätten sich 2014 auf höchst einfache Weise beseitigen lassen – wenn die User nicht als Administrator an ihrem Rechner gearbeitet hätten. Das ist keine neue Erkenntnis. Aber die Ergebnisse der Studie von Avecto unterstreichen zum x-ten Mal, dass "Otto Normal-User" tunlichst nur in Ausnahmefällen Systemverwalterrechte erhalten sollte.

    Deutlicher Anstieg kritischer Schwachstellen

    Avecto zufolge ist die Zahl kritischer Sicherheitslücken in Programmen von Microsoft zwischen 2013 und 2014 um 63 Prozent gestiegen. Würde ein Nutzer als Standard-User auf einem Windows-Rechner arbeiten und sich keine Administrator-Rechte "genehmigen", würden 98 Prozent der Schwachstellen bei Windows keine Risiken mit sich bringen. Sogar bei 99,5 Prozent wäre das beim Web-Browser Internet Explorer der Fall. Auch Office-Pakete weisen "Vulnerabilities" auf. Der Entzug der Admin-Berechtigung würde 95 Prozent von Attacken ins Leere laufen lassen, die sich diese Lücken zunutzen machen wollen.

    Avector - Schwachstellen in Windows-Server-Versionen im Jahr 2014Bei Windows Server sieht es ähnlich aus. Analysiert wurden die Versionen Windows Server 2003, 2008 und 2012. Avecto zufolge nahm die Zahl der Sicherheitslücken im Jahr 2015 bei den Server-Versionen um rund 25 Prozent zu. Nur 2 Prozent davon konnten sich auch durch Entzug von Administrator-Berechtigungen nicht "entschärfen" lassen.

    User wollen der "Chef" sein

    Allerdings hilft eine Lösung für die zentrale Verwaltung von Nutzerrechten, wie sie Avecto anbietet, nur bedingt weiter. In Online-Foren wimmelt es von Klagen von Windows-Nutzern, die sich selbst über die Pop-up-Fenster beschweren, die beim Zugriff auf systemrelevante Funktionen erscheinen, etwa beim Zugang zu Systemverzeichnissen.

    Das gilt auch für die Technical-Preview-Version von Windows 10. Die integrierte User Access Control (UAC) abzustellen, ist nicht sonderlich schwer, siehe die Tipps hier oder auf dieser Web-Seite. Als Administrator zu arbeiten, macht es denn auch einfacher, Programme zu installieren und Systemeinstellungen anzupassen.

    Für sensible Bereiche: Privileged Account Management

    Warnungen, dass erweiterte User-Rechte aus Sicherheitsgründen problematisch sind, gibt es bereits seit mehr als zehn Jahren, ebenso den Hinweis, für den Alltagsgebrauch doch bitte mit einem Standard-Account zu arbeiten. Genutzt hat dies bislang wenig, vor allem deshalb, weil ein vernünftiges Arbeiten unter XP ohne erhöhte Privilegien kaum möglich war. Wesentliche Verbesserungen bei der Umsetzung von Least Privilege brachte erst Windows 7. Eine Option, um wenigstens nachzuvollziehen, was User mit erweiterten Zugriffsrechten (Super User) tun, bieten Softwarepakete für das Privileged Account Management (PAM).

    Gartner - Anbieter PAM-LösungenBeispiele für solche Lösungen sind NetIQ Privileged User Manager von NetIQ, Shell Control Box (SCB) von BalaBit oder PowerBroker for Windows von BeyondTrust. Weitere Anbieter sind unter anderem CA, Centrify, CyberArk und Dell.

    Allerdings zielt ein Gutteil dieser Lösungen auf Administratoren und "Super-User" ab, die beispielsweise IT-Systeme (fern-)warten oder Zugriff auf Systemeinstellungen von Servern, Netzwerkkomponenten und Storage-Systemen haben.

    Studie von Gartner

    Die Marktforschungsfirma Gartner hat im Juni 2014 führende Anbieter solcher Lösungen unter die Lupe genommen und bewertet (siehe Grafik). Zum besseren Verständnis hier die Erläuterung der Abkürzungen der Systemkategorien, die in der Abbildung verwendet werden:

    • SAPM: Shared Account Password Management,
    • PSM: Privileged Session Management,
    • SUPM: Superuser Privilege Management sowie
    • AD Bridging Tools: Microsoft Active Directory Bridging Tools.

    Keine Kommentare