Identity Management und Compliance

Privilegierte Nutzer richtig verwalten

18.11.2013 von Jochen Koehler
Privilegierte Benutzerkonten, wie sie Administratoren besitzen, werden zunehmend als Einfallstor für Datensabotage oder -diebstahl missbraucht. Neue Ansätze in der Verwaltung dieser Konten mit weitgehenden Zugriffsrechten sind allein schon aus gesetzlichen Gründen heraus notwendig.

Lösungen für Privileged Identity Management (PIM) verwalten und überwachen administrative Accounts. Sie erleichtern das Passwort-Management und zeigen zudem auf, welche Personen wann auf welche Prozesse zugreifen. Von der technischen Seite her ist das alles bekannt und einleuchtend - weniger bekannt ist, dass PIM-Lösungen allein schon aufgrund gesetzlicher und aufsichtsrechtlicher Vorgaben praktisch unverzichtbar geworden sind.

Aus Compliance-Gründen heraus sind PIM-Systeme unverzichtbar.
Foto: Africa Studio, Fotolia.com

In zahlreichen international gültigen Bestimmungen und Compliance-Vorschriften finden sich Richtlinien und Regelungen für das Passwort-Management. Beispiele hierfür sind ISO 27001 und ISO 27002, der Sarbanes-Oxley Act, SAS70/SSAE16 oder Basel II. Aber auch in nationalen Gesetzestexten wie dem KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), dem BDSG (Bundesdatenschutzgesetz), dem KWG (Kreditwesengesetz) oder den GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) finden sich entsprechende Vorgaben für IT-Verantwortliche.

Zudem sind externe Wirtschaftsprüfungen zu berücksichtigen, die zunehmend das Passwort-Management durchleuchten. Häufig mit dem gleichen Ergebnis: Zu viele Mitarbeiter im Unternehmen besitzen zu umfangreiche Zugriffsrechte - Privilegien, die sie nicht oder nur selten benötigen.

Nicht zu vergessen ist auch, dass Unternehmen in einer Zeit zunehmender Fälle von Datendiebstahl, -missbrauch und -sabotage gerne Compliance-Initiativen starten und über eine IT-Governance-Einführung nachdenken. Und auch da rückt das Thema "sichere Verwaltung privilegierter Accounts" automatisch ins Blickfeld.

Rechtliche Vorgaben fordern Passwort-Management

Konkrete Vorgaben zum Passwort-Management sind beispielsweise in Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik), in den Bestimmungen der Kreditkartenindustrie im PCI-DSS (Payment Card Industry Data Security Standard) und in den MaRisk (Mindestanforderungen an das Risikomanagement) für Kreditinstitute enthalten.

In den IT-Grundschutz-Katalogen des BSI heißt es zum Thema "Passwortschutz für IT-Systeme" etwa: "Der Passwortschutz eines IT-Systems soll gewährleisten, dass nur solche Benutzer einen Zugriff auf die Daten und IT-Anwendungen erhalten, die eine entsprechende Berechtigung nachweisen." Auch das Datenschutz-Regelwerk der Kreditkartenindustrie, der PCI-DSS, fordert von allen Unternehmen, die Kreditkarten-Transaktionen tätigen, ein striktes Passwort-Management. Es wird unter anderem verlangt, dass Kennwörter regelmäßig geändert werden und dass jeder Person mit Computerzugriff eine eindeutige ID erhält. Zudem ist gefordert, dass keine Konten und Kennwörter für Gruppen beziehungsweise mehrere Personen genutzt werden, um sicherzustellen, dass jeder Benutzer identifizierbar ist. Deshalb seien Prozesse oder Systeme zu implementieren, die es ermöglichen, den Zugriff auf Systemkomponenten - insbesondere von Benutzern mit Administratorrechten - einem individuellen User zuzuordnen.

Wissen Sie, welche Benutzer in Ihrem Netz besondere Zugriffsrechte besitzen?
Foto: Pavel Ignatov - Fotolia.com

In den für Finanzdienstleister gültigen Richtlinien MaRisk, die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht werden, sind die Zugriffsrechte auf IT-Systeme ebenfalls geregelt. Im Hinblick auf die technisch-organisatorische Ausstattung von Finanzinstituten heißt es, dass "bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen (ist), insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt". Und zum Bereich "Zugriffsrechte" wird ausgeführt: "Die eingerichteten Berechtigungen dürfen nicht im Widerspruch zur organisatorischen Zuordnung von Mitarbeitern stehen. Insbesondere bei Berechtigungsvergaben im Rahmen von Rollenmodellen ist darauf zu achten, dass Funktionstrennungen beibehalten beziehungsweise Interessenkonflikte vermieden werden."

Cloud Services verschärfen die Problematik

Ein weiterer Aspekt, der im Hinblick auf privilegierte Benutzerkonten zu beachten ist, betrifft die zunehmende Nutzung von Cloud Services. Die Überwachung privilegierter Benutzerkonten ist in einem solchen Fall besonders wichtig, da natürlich auch bei der Auslagerung von IT-Bereichen oder Geschäftsprozessen an einen externen Provider die Anforderungen an das Risikomanagement bestehen bleiben, die Verantwortung über die outgesourcten Bereiche also beim Auftraggeber verbleibt. Wenn ein externer Administrator eine Verbindung mit unternehmensinternen Systemen und Applikationen aufbaut oder Zugriff auf vertrauliche Datenbestände erhält, sollte dabei nicht nur kontrolliert werden, "wer" dies tut, sondern auch, "was" Inhalt solcher Sessions ist.

Die im Umfeld der Cloud-Nutzung mit privilegierten Accounts verbundene Problematik hat auch das BSI im Eckpunktepapier "Sicherheitsempfehlungen für Cloud-Computing-Anbieter" aufgegriffen. Im Hinblick auf das ID- und Rechtemanagement wird ausgeführt: "Das Rechtemanagement muss gewährleisten, dass jede Rolle nur die Daten (auch Metadaten) sehen darf, die zur Erfüllung der Aufgabe notwendig sind." Das BSI geht explizit auf das Thema Administrator-Account ein: "Besonderes Augenmerk sollte dabei auf privilegierte Benutzer gerichtet werden. Handelt es sich bei einer Rolle um einen Administrator, dann sollte es möglich sein, nachzuweisen, dass tatsächlich nur die für die Aufgabe notwendigen Daten eingesehen wurden."

Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen:
Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da
Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen.
Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter.
Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers.
Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet.
Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software.
Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig.
Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.

Eine aktuelle CyberArk-Studie belegt aber, dass hier noch einiges im Argen liegt: Von knapp 1000 befragten (IT-)Führungskräften aus überwiegend großen Unternehmen aus aller Welt wissen 56 Prozent nicht, ob ihr Cloud Service Provider privilegierte Accounts schützt und überwacht. Und 25 Prozent gehen davon aus, dass sie für den Schutz ihrer vertraulichen Daten selbst besser gerüstet sind als ihr Cloud Provider.

Eines zeigen die skizzierten Compliance-Vorgaben klar: Gibt es bei einem Unternehmen Admins mit uneingeschränkten privilegierten Rechten und keine Implementierung von rollenbasierten Zugriffs- und Kontrollsystemen, verstößt das gegen aktuell gültige gesetzliche und aufsichtsrechtliche Bestimmungen. Hinsichtlich einer Erfüllung von Compliance-Anforderungen, einer Erhöhung der Sicherheit und auch einer Reduzierung des Administrationsaufwandes sollte somit jedes Unternehmen über ein zuverlässiges Privileged Identity Management verfügen.

An PIM-Lösungen führt kein Weg vorbei

Erster Schritt vor der Einführung einer PIM-Lösung ist die Definition von Rollen und Berechtigungsstrukturen. Im Hinblick auf privilegierte Administratoren-Accounts mit erweiterten Rechten sollte jedes Unternehmen Prozesse für IT-Berechtigungsvergaben definiert haben. So ist sichergestellt, dass die Mitarbeiter nur die Rechte erhalten, die für ihren Tätigkeitsbereich erforderlich sind. Mit der PIM-Lösung wird dann die technische Umsetzung unterstützt.

Am Markt sind verschiedene PIM-Lösungen verfügbar, die ebenso unterschiedliche Lösungsansätze verfolgen: von der Hardware-Appliance über eine softwarebasierte Virtual Appliance bis hin zu einer reinen Software-Lösung. Gemeinsam ist den Lösungen, dass die Passwörter in einem gesicherten Bereich vor den Zugriffen un-berechtigter Personen geschützt werden. Bei der Entscheidung für eine Lösung sollte man darauf achten, dass sie neben einer regelmäßigen Änderung der Server-, Datenbank- und Netzwerk-Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit aller Aktivitäten bietet. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, was er mit diesen Informationen macht. Mit der durchgängigen Protokollierung werden auch Audit- und Revisionsanforderungen zuverlässig erfüllt.