Komplexität von IT-Infrastrukturen

Ein Jahr nach dem Bundestag-Hack – bessere Verwaltung von IT-Dienstleistern ist möglich

Von unserem Gastautor Markus Westphal, Director Central Eastern Europe bei Wallix

[datensicherheit.de, 19.07.2016] Ein Nebeneffekt der digitalen Integration besteht darin, dass Unternehmen immer öfter auf externe Dienstleister zurückgreifen. Das bietet sich auch an, weil IT-Aufgaben mittlerweile so komplex geworden sind, dass Auslagerung häufig sinnvoll ist. Außerdem lassen sich neue Lösungen mithilfe von externem Know-how schneller bereitstellen und besser verwalten.

Doch es gibt auch Schattenseiten. So führte beispielsweise der Angriff auf den Deutschen Bundestag im letzten Jahr vor Augen, welche Probleme sich nach einer Sicherheitspanne stellen können. Die Spuren der Angreifer verloren sich in den Netzen des Bundestags, verwischt von den vielen involvierten Akteuren, darunter natürlich mehrere externe Dienstleister. Wer hinter dem Angriff steckte, ist nach wie vor unbekannt, obwohl das Ziel schwer bewacht war. [1]

Zugänge von Dienstleistern können nicht mehr manuell verwaltet werden

Laut der „2015 Information Security Breaches Survey“ von PWC beschäftigen 82 Prozent aller Unternehmen in irgendeiner Form externe Dienstleister und lagern Geschäftsaufgaben aus. Zudem räumten 90 Prozent der befragten Unternehmen ein, dass es bei ihnen im vergangenen Jahr zu einem Sicherheitsereignis irgendwelcher Art gekommen war. Überraschend ist dabei, dass 48 Prozent der Sicherheitsverletzungen auf menschliches Versagen zurückzuführen waren und 17 Prozent auf einen bewussten Missbrauch von Systemen durch Menschen. Die größten Bedrohungen sind nicht etwa Malware-Angriffe von außen, sondern Aktivitäten, die sich im Inneren eines Unternehmensnetzes abspielen. [2]

Die digitale Integration hat nicht nur Auswirkungen auf den beruflichen oder privaten Alltag. Sie verändert auch die Bedeutung der Mitarbeiterinnen und Mitarbeiter in den Unternehmen. Die Personalfluktuation ist höher, und die Angestellten von Dienstleistern sitzen oft in anderen Teilen der Welt – Glaubwürdigkeit und Integrität sind dadurch schwieriger nachzuweisen. Außerdem teilen sich beim Zugriff auf Ressourcen oft mehrere Personen ein Nutzeraccount.

Die IT-Administratoren müssen den Benutzern Zugriffsrechte erteilen, gleichzeitig aber auch die Compliance-Vorgaben erfüllen, die sich in der Regel von Branche zu Branche unterscheiden. Zudem wächst die Zahl der Administratoren und Superuser: eigene Administratoren für Windows-Umgebungen und virtuelle Plattformen, SAP-Superuser oder DBAs für die Datenbanksysteme sind nur einige wenige Beispiele. Diese Entwicklung hat auch damit zu tun, dass immer mehr in den Händen von Dienstleistern liegt.

Wenn die Anwender solcher privilegierter Konten Fehler machen oder diese sogar missrbrauchen, kann ein Unternehmen schweren Schaden nehmen. Die IT-Abteilungen haben jedoch nicht das nötige Personal, um sämtliche Akteure zu überwachen, insbesondere, wenn diese bei Dritten angestellt sind. Ein Mikro-Management für jeden einzelnen Benutzer ist zeitraubend und ineffizient. Angesichts der wachsenden Zahl von Geräten und der heterogenen Benutzergruppen brauchen die Administratoren Lösungen, um die Zugriffsrechte zu verwalten. Gleichzeitig muss der Zugang zu Unternehmensressourcen für die richtigen Personen gewährleistet werden, weil sie sonst nicht arbeiten können. Dies gilt gerade auch für Dienstleister, die in der Regel nur für einen begrenzten Zeitraum oder für bestimmte Aufgaben bezahlt werden.

Foto: Wallix

Markus Westphal: Unternehmen unterschätzen Risiken

Die Risiken im Unternehmen werden unterschätzt

Eine Reihe von Analysten sehen dieses Problem auch in Deutschland. So stellt etwa KuppingerCole Mängel beim Lebenszyklusmanagement für privilegierte Anwender fest und sieht die Gefahr, wenn Mitarbeiter aus einem Unternehmen ausscheiden oder Vertragszeiträume enden. Wenn nichts dagegen unternommen wird, werden Compliance-Vorschriften missachtet, weil nicht erkennbar ist, wer ein Administratorkonto tatsächlich nutzt und welche Aktionen in einer Sitzung umgesetzt wurden. Die Sicherheitsarchitekturen müssen so gestaltet sein, dass jeder Benutzer mit erhöhter Sicherheitsfreigabe für die Aktivitäten zur Rechenschaft gezogen werden kann.

Ein weiteres Argument für neue Wege bei der Verwaltung von Zugriffsrechten liefert eine aktuelle Umfrage unter 400 IT-Administratoren. Dabei erklärten 74 Prozent der Befragten, dass sie die Sicherheitsmaßnahmen in ihrem derzeitigen Arbeitsbereich leicht umgehen und auf vertrauliche und sensible Daten zugreifen könnten. Wenn Administratoren dann noch mit Gemeinschaftskonten für einen Dienstleister arbeiten, steigt Risiko deutlich, da viele Personen anonym Daten kopieren können. Auch könnten Personen ihre Zugangsberechtigungen nutzen, um Informationen bei einem Stellenwechsel einfach auf ihren neuen Arbeitgeber zu übertragen, falls ihnen der Zugriff nicht rechtzeitig entzogen wird. Es kommt sehr häufig vor, dass Zugriffsrechte für einen ehemaligen Mitarbeiter aktiviert bleiben, obwohl er das Unternehmen schon längst verlassen hat. [3]

Um die Belastung der Administratoren und Sicherheitsabteilungen zu reduzieren, sollte ein entsprechendes Tool implementiert werden. Mit anderen Worten, der Aufwand für die die Integration in ein bestehendes Sicherheitskonzept sollte minimal sein. Unternehmen brauchen eine Lösung für Privileged User and Access Management (PAM), die vom Onboarding einer Anwendung über die laufende Pflege bis hin zum Offboarding alles umfasst. Sie muss den kompletten Lebenszyklus abdecken: von der anfänglichen Integration ins System über alle Veränderungen während der Lebensdauer bis hin zu dem Zeitpunkt, an dem die Anwendung ausgemustert und aus dem System entfernt wird. [4]

Fazit

Viele Unternehmen sind heute auf IT-Dienstleister angewiesen. Und angesichts der globalen Digitalisierung wird die Virtualisierung von Arbeitsbereichen und IT-Aufgaben noch weiter fortschreiten. Für Dienstleister eröffnet das große Chancen, weil sie hier Mehrwert für ihre Kunden schaffen und ihr Innovationspotenzial unter Beweis stellen können. Die Zahl der Anbieter wird somit weiter wachsen, doch gleichzeitig werden neue Schutzvorkehrungen benötigt.

Viele IT-Sicherheitstools dienen dazu, Systeme und Netzwerke zu härten. PAM zielt dagegen nicht auf den Schutz von Software und Hardware ab, sondern auf die Aktivitäten der Benutzer. Es bietet den richtigen Mix zwischen der Wahrung der Persönlichkeitsrechte und der Abwehr von Bedrohungen. Die eigentlichen Inhalte der Aktivitäten werden nicht analysiert, doch bei ungewöhnlichem Verhalten können IT-Abteilungen schnell reagieren und Maßnahmen ergreifen, zum Beispiel durch Zugangsbeschränkungen oder -blockaden. Bei einem Verstoß gegen Sicherheitsrichtlinien hinterlässt der Verursacher unweigerlich Spuren und kann ermittelt werden. Vertrauen auf Dienstleister ist wichtig, doch brauchen Unternehmen die Fähigkeit, die Zugriffsrechte zu steuern. Insider-Bedrohungen sind eine reale Gefahr, und Unternehmen müssen wissen, was ihre privilegierten Anwender tun.

Weitere Informationen zum Thema:

[1] Heise.de 2015: „Bundestag-Hack war Phishing Angriff“
[2] Wallix 2016: „Managing your IT service providers“
[3] Wallix 2015: „Managing your IT service providers“
[4] KuppingerCole Report 2015: Wallix AdminBastion