[datensicherheit.de, 26.05.2025] Mit ihren weitreichenden Berechtigungen, statischen Anmeldedaten und uneingeschränkten Anmelderechten gehören Administrator- und Dienstkonten zu den leistungsstärksten Ressourcen im Netzwerk – und zu den am schwierigsten zu schützenden. Laut einer Studie von IBM waren fast ein Drittel aller Cybervorfälle im Jahr 2024 identitätsbasierte Angriffe, bei denen gültige Konten verwendet wurden. Die Verwaltung von Zugriffsrechten ist jedoch bekanntermaßen komplex, sodass diese Konten oft Sicherheitslücken hinterlassen, die groß genug sind, dass Angreifer sie ausnutzen können.

Gründe für die Anfälligkeit von privilegierte Konten

Kay Ernst von Zero Networks erklärt, warum privilegierte Konten so anfällig sind, wie Angreifer Schwachstellen ausnutzen und wie Unternehmen diese sichern können, ohne den Betriebsaufwand oder den manuellen Arbeitsaufwand zu erhöhen.

Kay Ernst, Regional Sales Manager DACH, Zero Networks, Bild: Zero Networks

Ein privilegiertes Konto ist jede Identität – menschlich oder maschinell – mit erhöhten Zugriffsrechten auf Systeme, Daten oder Verwaltungsfunktionen. Diese Konten sind der Schlüssel zum Königreich und ermöglichen es Benutzern oder Anwendungen, Einstellungen zu konfigurieren, Identitäten zu verwalten und auf sensible Umgebungen zuzugreifen. Privilegierte Konten gibt es in unzähligen Kategorien, aber einige der häufigsten sind Admin- und Dienstkonten.

• Admin-Konten
  Diese Konten gewähren Benutzern erweiterte Berechtigungen für Betriebssysteme, Anwendungen oder die Infrastruktur, oft mit lokalen oder Domain-weiten Administratorrechten. Admin-Konten werden routinemäßig für Wartungsarbeiten, Patches oder IT-Support verwendet, aber aufgrund ihrer weitreichenden Berechtigungen sind Admin-Konten immer nur einen Schritt davon entfernt, Angreifern einen Allzugang zum Netzwerk zu verschaffen.
• Service-Accounts/Dienstkonten
  Dienstkonten sind nicht-menschliche Identitäten, die für Verbindungen zwischen Maschinen verwendet werden und Anwendungen und Diensten die Interaktion mit anderen Systemen ermöglichen. Sie sind für die Automatisierung von Geschäftsprozessen unerlässlich, werden jedoch bei Sicherheitsaudits oft übersehen – viele verfügen über statische Anmeldedaten, umfangreiche Berechtigungen und laufen rund um die Uhr, was sie zu einem heimlichen Angriffsvektor macht.
• Domain-Controller
  Domain-Controller (DCs) verwalten die Authentifizierung und Autorisierung in Active Directory (AD)-Umgebungen. Sie sind eine Kernkomponente der Identitätsinfrastruktur und werden häufig über privilegierte Konten verwaltet.
• Privilegierte Benutzerkonten
  Diese breitere Kategorie umfasst IT-Mitarbeiter, Entwickler, Systemarchitekten und sogar Auftragnehmer mit erhöhten Zugriffsrechten auf Produktionsumgebungen, Datenbanken oder Cloud-Workloads. Diese Benutzer sind zwar nicht unbedingt Domain-Administratoren, verfügen jedoch häufig über weitreichende Zugriffsrechte auf Systeme und Dienste.

Risiken privilegierter Konten: Herausforderungen bei der Sicherung von Administrator- und Dienstkonten

Forrester zufolge betreffen mindestens 80 Prozent aller Datenverletzungen privilegierte Konten – aber warum? Sie umgehen häufig Standard-Sicherheitskontrollen und nutzen ihre erweiterten Berechtigungen, um sich frei im Netzwerk zu bewegen. Mit anderen Worten: Privilegierte Konten sind eine Goldgrube für laterale Bewegungen – und sie sind in der Regel schwer effektiv zu sichern.

Administrator- und Dienstkonten machen Unternehmen aufgrund folgender Herausforderungen anfällig:

• Übermäßige Berechtigungen und fortlaufende Anmeldeberechtigungen: Viele Dienstkonten verfügen über übermäßige Berechtigungen als Domain-Administrator oder unternehmensweiten Zugriff, die für den Betrieb nicht erforderlich sind. Ebenso sind Administratorkonten mit ausstehenden Anmeldeberechtigungen ein bevorzugtes Ziel für Angreifer mit gestohlenen Anmeldedaten. Sobald diese übermäßigen Berechtigungen einmal eingerichtet sind, werden sie selten überprüft oder widerrufen.
• Hindernisse bei der Überwachung und Prüfung: Da Dienstkonten nicht von Menschen betrieben werden und in der Regel im Hintergrund laufen, sind sie bekanntermaßen schwer zu überwachen. Die Aktivitäten von Administrator- und Dienstkonten vermischen sich oft mit legitimen Netzwerkaktivitäten, was die Erkennung potenzieller Bedrohungen erschwert.
• Seltene Passwortänderung: Selbst im besten Fall werden die Anmeldedaten von Dienstkonten in der Regel nur vierteljährlich aktualisiert, wobei jährliche Aktualisierungen eher die Norm sind. Einige Unternehmen entscheiden sich aufgrund von betrieblichen Schwierigkeiten dafür, Anmeldedaten für Dienstkonten ohne Ablaufdatum festzulegen.

Wie Angreifer privilegierte Konten ausnutzen

Nachdem sie sich einen ersten Zugang zum Netzwerk verschafft haben, suchen Angreifer sofort nach privilegierten Konten. Sie wissen, dass sie mit den richtigen Anmeldedaten ihre Berechtigungen erweitern und sich ungehindert seitlich bewegen können.

Zu den gängigen Angriffstechniken, die von kompromittierten privilegierten Konten verwendet werden, gehören:

• Living off the Land: Verwendung nativer Tools wie PowerShell und WMI, um sich unbemerkt im Netzwerk zu bewegen
• Credential Dumping: Extrahieren gespeicherter Hashes oder Klartext-Passwörter
• Pass-the-Hash oder Pass-the-Ticket: Wiederverwenden gestohlener Anmeldedaten
• Service-Account-Hijacking: Missbrauch falsch konfigurierter oder unüberwachter Dienstkonten, um auf weitere Systeme zuzugreifen

Sobald ein privilegiertes Konto kompromittiert ist, können Angreifer Sicherheitskontrollen deaktivieren, Daten exfiltrieren, Ransomware einsetzen oder Domain-Controller kompromittieren. Das alles kann erfolgen, während die Angreifer als legitime Benutzer erscheinen.

Sichern von Administrator- und Dienstkonten: Best Practices

Das Sperren privilegierter Konten erfordert mehr als nur Passwort-Hygiene und Audits. Es erfordert proaktive Echtzeitkontrollen, die sowohl einschränken, wer sich anmelden kann, als auch, was Konten tun können.

• MFA auf Netzwerkebene anwenden
  Herkömmliche MFA schützt Anmeldeportale auf der Anwendungsebene, sodass viele Ressourcen innerhalb des Netzwerks ungeschützt bleiben. MFA auf Netzwerkebene erzwingt eine Just-in-Time-Identitätsprüfung, sobald privilegierte Konten versuchen, auf sensible Systeme zuzugreifen. Auf diese Weise bleiben privilegierte Ports geschlossen, bis der Zugriff in Echtzeit überprüft wurde, wodurch übermäßige Administratorrechte vermieden werden.
• Erzwingen des Zugriffs mit geringsten Rechten durch Identitätssegmentierung
  Durch die Beschränkung des Zugriffs auf der Grundlage der genehmigten Aktionen eines Kontos oder der erforderlichen Ressourcen und Anmeldetypen erzwingt die Identitätssegmentierung automatisch den Zugriff mit geringsten Rechten und beschränkt Administrator- und Dienstkonten auf das für den legitimen Geschäftsbetrieb erforderliche Maß. Dadurch werden Passwortrotationen und übermäßige Berechtigungen weitgehend überflüssig und viele Angriffsvektoren wie Pass the Ticket, Golden Ticket, Kerberoasting und andere Angriffe zur Sperrung lateraler Bewegungen eliminiert.
• Automatische Erkennung von Dienstkonten
  Dienstkonten verursachen häufig Schwachstellen, die unnötige Risiken mit sich bringen. Lösungen, die das gesamte Netzwerkverhalten überwachen, können Dienstkonten automatisch erkennen und kategorisieren, sodass Unternehmen ohne zusätzlichen manuellen Aufwand vollständige Transparenz über die Aktivitäten von Dienstkonten erhalten.
• Schutz privilegierter Protokolle
  Protokolle wie RDP, SMB und SSH, die für den Fernzugriff auf Systeme verwendet werden, werden häufig als Vektoren für laterale Bewegungen ausgenutzt. Unternehmen sollten diese Ports standardmäßig schließen und sie nur nach Überprüfung des Zugriffs mit Echtzeit-MFA öffnen.

Weitere Informationen zum Thema:

datensicherheit.de, 07.05.2019
Thycotic-Umfrage: PAM wandert in die Cloud

[datensicherheit.de, 19.11.2021] AlgoSec, Anbieter von geschäftsorientierten Netzwerksicherheit-Management-Lösungen, will Unternehmern seit einiger Zeit die Vorteile einer Mikro-Segmentierung des Netzwerks näherbringen. Viele schrecken vor diesem Umbau zurück, weil er von Hand nur schwierig zu bewerkstelligen ist, doch eine Konsole zur Automatisierung vieler Prozesse rückt das Projekt schnell in den Bereich des Machbaren.

Bild: AlgoSec

Um dies zu erklären, veranstaltet AlgoSec nun ein Webinar unter dem Titel: Rescuing Your Network with Micro-Segmentation – Retten Sie Ihr Netzwerk mit Mikro-Segmentierung. Stattfinden wird es am Dienstag, 23. November 2021, von 16 Uhr bis 17 Uhr deutscher Zeit in englischer Sprache.

Grundlagen und Vorteile der Mikro-Segmentierung

Die Experten des Herstellers erläutern den Teilnehmern verständlich, wie eine Mikro-Segmentierung geplant und gebaut werden sollte, um übliche Fehler zu vermeiden. Es geht zudem um die Grundlagen und Vorteile der Mikro-Segmentierung, außerdem um die Frage, weshalb heutige IT-Umgebung eine Mikro-Segmentierung unerlässlich gemacht haben, und um die häufigsten Fehler bei der Einrichtung.

Die Anmeldung ist bereits möglich: https://register.gotowebinar.com/register/8195987691262881808

Sollte eine Teilnahme unmöglich sein, wird die Veranstaltung als Aufzeichnung angeboten.

Weitere Informationen unter:

datensicherheit.de, 15.08.2019
Firmennetzwerke bedroht: Nathan Howe empfiehlt Zero Trust Network Access

AlgoSec
Homepage

[datensicherheit.de, 26.03.2021] „Der Erfolg der erneuerbaren Energien treibt den Wandel des Stromnetzes von einer zentral gesteuerten, zu einer intelligenten, dezentralen Stromversorgung an. Aber mit zunehmender Vernetzung werden Stromnetz-Komponenten anfälliger für Cyber-Angriffe, Betrug und Softwarefehler“, heißt es in einer Meldung der Frankfurt University of Applied Sciences (Frankfurt UAS) von Mitte März 2021. An diesem Punkt habe Denis Hock mit seiner Doktorarbeit angesetzt, welche sich demnach mit der Sicherheit digitaler Stromzähler befasst. Sein Promotionsvorhaben sei gemeinsam von der Plymouth University (England) und der Frankfurt UAS betreut worden.

Foto: Frankfurt UAS, Friederike Mannig

Dr. Denis Hock: Promotion zur Sicherheit digitaler Stromzähler

Digitale Stromzähler anfällig für Hard- und Softwarefehler

„Viele aktuelle Forschungsarbeiten konzentrieren sich auf traditionelle Informations-Sicherheitslösungen, zum Beispiel Verschlüsselung. Aber Informationssicherheit kann nicht die gesamte Palette der IT-Bedrohungen abdecken, da digitale Stromzähler anfällig für Hard- und Softwarefehler sein können“, so Prof. Dr. Martin Kappes, Leiter der Forschungsgruppe für „Netzwerksicherheit, Informationssicherheit und Datenschutz“ an der Frankfurt UAS, zu dem innovativen Ansatz seines Doktoranden.
Mittels der Digitalisierung von Stromzählern seien viele bereits gelöste Sicherheitsprobleme, wie „Stromdiebstahl“, als IT-Herausforderungen wiederbelebt worden. „Diese Bedrohungen erfordern moderne Erkennungsschemata, die auf Datenanalyse, Maschinellem Lernen und statistischen Prognosen basieren“, erläutert Dr. Hock. Die aktuellen Fortschritte auf den Gebieten der Künstlichen Intelligenz (KI) und dem Maschinellen Lernen führten zu verstärktem Interesse an neuen Konzepten zum Analysieren und Überwachen von Smart-Meter-Daten.

Anomalie-Erkennungsansätze zur Früherkennung manipulierter Stromzähler

Anomalie-Erkennungssysteme seien eines dieser Konzepte. Sie entdeckten Manipulation durch die Analyse statistischer Abweichungen von einem definierten normalen Verhalten und würden als geeignete Technik zur Aufdeckung noch unbekannter Missbrauchsmuster akzeptiert.
In Dr. Hocks Arbeit würden Anomalie-Erkennungsansätze unter Verwendung der Stromzählerdaten zur Früherkennung von manipulierten Stromzählern vorgeschlagen. „Insbesondere werden Algorithmen, die auf Zeitreihenvorhersagen basieren, implementiert und unter Verwendung verschiedener Parameter bewertet, verfügbare Daten diskutiert und potenzielle Metriken eingeführt.“ Diese Arbeit trage zum Verständnis wesentlicher Merkmale des Normalverhaltens von Haushalten im Niederspannungsnetz bei und zeige, wie sich Manipulationen, insbesondere zum Zweck von Energiediebstahl, nachweisen ließen.

Weitere Informationen zum Thema:

ResearchGate
Denis Hock

FRANKFURT UNIVERSITY OF APPLIED SCIENCES
Forschungsgruppe für Netzwerksicherheit, Informationssicherheit und Datenschutz

FRANKFURT UNIVERSITY OF APPLIED SCIENCES
Frankfurt am Main Doctoral Node

datensicherheit.de, 03.07.2012
Verbraucher- und Datenschützer warnen vor Risiken der neuen, intelligenten Stromzähler

[datensicherheit.de, 06.09.2020] Die Entwicklung einer passgenauen, auf aktuelle und unternehmensspezifische Herausforderungen zugeschnittenen IT-Infrastruktur werde in Zukunft immer wichtiger werden. Jedem Unternehmen sei daran gelegen, eine Infrastruktur aufzubauen, welche „eine hohe Innovationsgeschwindigkeit und Wettbewerbsvorteile bietet, gleichzeitig aber Kosten spart und die Produktivität erhöht“.

Abbildung: Handelsblatt

Online-Session: Netzwerksicherheit vs. Flexibilität…

Komplexe IT-Anforderungen aus internen Kernbereichen am Beispiel HELLA

Vor mehr als drei Jahren habe das global agierende Automotiv-Unternehmen HELLA vor diversen IT-Herausforderungen gestanden: „Ein dynamisches Businessumfeld, Globalisierung der Märkte, eigene Umstrukturierungen sowie komplexe IT-Anforderungen aus internen Kernbereichen.“ Zusammen mit dem Service- und Technologiepartner Open Systems habe sich Hella den neuen Herausforderungen gestellt – „die Resultate dieser Kooperation brachten eine agile, vorausschauende und sichere IT-Landschaft hervor“.

Exklusive Online-Session zu Erkenntnissen aus IT-Transformation

In der exklusiven Session erläutern nach Angaben des Veranstalters Norbert Muth, „Head of global IT Infrastructure“ bei HELLA, und Michael Huber, „Head of Sales EMEA“ bei Open Systems, Schlüsselelemente und Erkenntnisse aus ihrer Transformation von MPLS zur „Cloud First Strategie“ und erklären, „warum sie sich nicht zwischen Flexibilität und Netzwerksicherheit entscheiden müssen“.

Kostenloses Online-Seminar 17. September 2020, 14.00 bis 15.00 Uhr

Handelsblatt, 18.08.2020
Kostenloses Webinar: Netzwerksicherheit vs. Flexibilität – die Entscheidung muss nicht sein

datensicherheit.de, 14.10.2019]
9. Handelsblatt Jahrestagung Cybersecurity in Berlin

[datensicherheit.de, 19.05.2020] AlgoSec, Anbieter von geschäftsorientierten Netzwerksicherheits-Management-Lösungen, verbessert den AlgoBot im Zuge der neuen Security Management Suite (ASMS) A30.10. Auf diese Weise sollen es Unternehmen einfacher haben, die IT-Unterstützung und Netzwerküberwachung zuverlässig aufrecht zu erhalten. Das kann besonders während der Corona-Krise aufgrund der gestiegenen Anzahl von Mitarbeitern im Home-Office nach Angabe des Herstellers zum Vorteil werden.

AlgoSec Algobot 2020, Bild: AlgoSec

In die Überarbeitung flossen vor allem die Rückmeldungen und Anforderungen von Kunden ein. Zu den wichtigsten Neuerungen gehören:

• Einführung der Host-Namen-Funktionalität
  Bislang mussten Benutzer mit dem AlgoBot über IP-Adressen kommunizieren, um den Verkehr im Netzwerk zu identifizieren. Das A30.10-Update akzeptiert nun Befehle, die sich auf Host-Namen beziehen, um die Bedienung deutlich zu vereinfachen. Nutzer können so den Chatbot fragen, ob es sicher ist, den Datenverkehr vom Laptop des Mitarbeiters XY zu akzeptieren.
• Unterstützung für Microsoft Teams
  Online-Kommunikationsmittel werden stetig beliebter, besonders jetzt, da Tele-Arbeit für viele alltäglich wurde. Dabei kommen natürlich viele Fragen auf, die ein Support-Team beantworten muss – oder ein Chatbot, um die Fachleute zu entlasten und die Kommunikation zu beschleunigen. Aus diesem Grund unterstützt der AlgoBot nun, neben Slack und Skype, auch Microsoft Teams.
• Abwärts-kompatibel
  AlgoBot A30.10 ist passend zur neuen Version der AlgoSec Security Management Suite (ASMS) A30.10 entwickelt worden. Außerdem ist der Chatbot kompatibel zu allen früheren Versionen der Automatisierungs-Konsole.

AlgoSecs AlgoBot ermöglicht es Benutzern, alltägliche Aufgaben an den Chatbot zu delegieren, um Firewall- und Netzwerkadministratoren zu entlasten und die Kommunikation zu beschleunigen. Er ist in der Lage, Fragen zu beantworten und bei Änderungsprozessen von Sicherheitsrichtlinien zu helfen – ohne manuelle Eingaben oder zusätzliche Recherche.

Weitere Informationen zum Thema:

Algosec
Mehr zum AlgoBot A30.10

datensicherheit.de, 01.04.2020
Krisenzeiten: Security Operations Center in Betrieb halten

Von unserem Gastautor Egon Kando, Regional Sales Director Central & Eastern Europe bei Exabeam

[datensicherheit.de, 30.08.2018] Immer häufiger gibt es immer ausgeklügeltere Cyberangriffe auf die Netzwerke der Unternehmen. IT-Manager sind deshalb ständig auf der Suche nach robusteren Sicherheitslösungen zum Schutz gegen interne und externe Bedrohungen. Ein Ansatz, Bedrohungen abzuwehren, ist beispielsweise die Überwachung und das Analysieren von aktiven Datenströmen. Wird eine Anomalie erkannt, soll die Sicherheitslösung Alarm schlagen. Dieser Ansatz hat sich in der Praxis jedoch als wenig erfolgreich erwiesen, was regelmäßige Verletzungen der Unternehmenssicherheit trotz entsprechender Sicherheitslösungen belegen. Der Grund für das Versagen dieses Ansatzes liegt darin, dass Lösungen dieser Art den größten Risikofaktor im Netzwerk ignorieren: Den Anwender.

Ein benutzerzentrischer Ansatz für Lösungen zur Erhöhung der Netzwerksicherheit hat normalen Überwachungslösungen einiges voraus. So kann er Antworten auf so kritische Fragen liefern wie: Wer greift auf das Netzwerk zu? Worauf greift der Benutzer zu? Geschieht dieser Zugriff im Rahmen des normalen Verhaltens dieses Nutzers?

Überblick über Netzwerkzugriffe

Der Gedanke, zu verfolgen, wer auf das Netzwerk zugreift, mag banal klingen. Tatsächlich ist dies in der Praxis heute immer schwieriger, da die meisten Mitarbeiter komplexe Identitäten haben, die aus einer Vielzahl von Nutzerkonten, Anwendungen und Ordnern unter ihrem Namen bestehen. Selbst in einem mittelständischen Unternehmen kann die Identität eines Mitarbeiters eine Standard-Windows-ID sowie zahlreiche weitere Konten für Anwendungen wie SAP, Salesforce und Oracle enthalten, um nur einige zu nennen. Zu dieser Verwirrung trägt auch der Anstieg der BYOD-Richtlinien bei, was bedeutet, dass viele Mitarbeiter auch persönliche Geräte im Unternehmensnetzwerk verwenden. Daher ist es äußerst schwierig, jede ID für jeden Mitarbeiter an einem zentralen Ort effektiv zu verwalten. Noch schwieriger wird es, wenn Konten für bestimmte Dienste von mehreren Personen gemeinsam genutzt werden.

Wie also kann ein Unternehmen die Nutzung aller Dienste einem bestimmten Benutzer zuordnen, wenn es keine Möglichkeit gibt, diese richtig zuzuweisen? Ohne eine Möglichkeit, diese Fragen zu beantworten, ist es unmöglich festzustellen, wer auf das Netzwerk zugreift.

Überblick auf welche Daten zugegriffen wird

Genauso wie die Überwachung der Nutzer auf den ersten Blick einfach erscheint, mag die Verfolgung auf was genau zugegriffen wird simpel sein und sollte ein ziemlich einfacher Teil der täglichen Netzwerksicherheit sein. Tatsächlich ist dies selten der Fall. In vielen Unternehmen weiß man gar nicht so genau, was da alles im Netzwerk gespeichert und zugänglich ist. Dies ist in der Regel auf das Fehlen eines zentralen Asset-Überwachungssystems zurückzuführen. Wer nicht weiß, was für Daten er überhaupt hat, kann auch schwer nachverfolgen, ob auf sie zugegriffen wird.

Der Grund für einen solchen, an sich banalen Fehler, liegt meist darin, dass IT-Sicherheitssysteme im Laufe der Zeit stückweise aufgebaut wurden. Dies führte zu einer Vielzahl unterschiedlicher Lösungen, die auf den ersten Blick eine ähnliche Aufgabe erfüllen, aber alle mit eingeschränkter Funktionalität. Das bedeutet, dass die IT-Abteilung wissen kann, auf welchen Server zugegriffen wird und welcher Mitarbeiter darauf zugreift. Es ist jedoch unwahrscheinlich, dass das IT-Team weiß, welche anderen Informationen sich auf demselben Server befinden oder wie sensibel diese sind.

Analyse des Nutzerverhaltens

Selbst wenn das IT-Team in der Lage ist, effektiv zu verfolgen, wer auf das Netzwerk zugreift und auf was genau, kann die Frage, ob es sich um ein „normales Verhalten“ für die betreffende Person handelt, äußerst schwierig zu beantworten sein. Dies liegt daran, dass der Kontext, der für eine effektive Beurteilung des Nutzerverhaltens erforderlich ist, nicht nur von den Daten des Netzwerkflusses erfasst wird. Als solche ist es oft kaum mehr als eine fundierte Vermutung, ob sich eine Person innerhalb der Grenzen dessen verhält, was als „normal“ angesehen wird, oder ob ihre Handlungen anormal und daher verdächtig sind.

Maschinelles Lernen verleiht der IT-Sicherheit Flügel

Begriffe wie “Data Science” oder “maschinelles Lernen” begannen in der IT-Branche vor langer Zeit als leere Schlagworte. Schon seit einiger Zeit helfen die schlauen Algorithmen jedoch in vielen Bereichen dabei, Muster zu erkennen – und haben auch großes Potenzial, dies in der IT-Sicherheit zu tun. So wünschen sich Sicherheitsexperten, dass maschinelles Lernen dabei helfen könnte, die oben genannten Fragen des Datenzugriffs beantworten zu können. Dieser Wunsch ist in Erfüllung gegangen und maschinelles Lernen kann, richtig eingesetzt, wichtige Zusammenhänge zwischen scheinbar unzusammenhängenden Teilen von Identitäten entdecken. So erhalten IT-Sicherheitsteams eine detaillierte Übersicht der Aktivitäten eines Benutzers, auch wenn verschiedene Identitätskomponenten nicht explizit miteinander verknüpft sind.

Das fehlende Glied: Der Kontext

Ein klassisches Beispiel: Ein Mitarbeiter loggt sich beispielsweise am Computer im Büro mit seinen persönlichen Zugangsdaten ins Netzwerk ein. Später meldet er sich dann über ein persönliches Gerät von Zuhause aus mit einem Admin-Konto an. Normalerweise würden diese beiden Aktionen nicht mit derselben Identität verbunden werden. Mithilfe von Verhaltensdaten können Lösungen aufbauend auf maschinellem Lernen diese nicht nur miteinander verbinden, sondern auch die Aktionen des Mitarbeiters über die Zeit hinweg verfolgen und so einen umfassenden Überblick über seine tatsächlichen Netzwerkaktivitäten gewinnen.

Mit Hilfe von maschinellen Lernalgorithmen können auf diese Art Trends analysiert und normale Verhaltensprofile pro Benutzer erstellt werden. Dies hilft, den dringend benötigten Kontext zu schaffen, um jede Aktivität zu erkennen und zu kennzeichnen, die zu weit von dem abweicht, was als akzeptabel oder normal angesehen wird. Darüber hinaus können verschiedene Techniken des maschinellen Lernens verwendet werden, um genaue Netzwerk-Asset-Modelle zu erstellen, die den IT-Teams ein genaues Bild von aAllem im Netzwerk vermitteln. Dadurch ist es viel einfacher, genau zu verfolgen, was zu einem bestimmten Zeitpunkt abgerufen wird. Entsprechend können Daten von Führungskräften und Vorstandsmitgliedern als “risikoreich” gekennzeichnet werden, das heißt, sie werden einer stärkeren Prüfung und/oder strengeren Sicherheitsmaßnahmen unterzogen.

Effektive Sicherheit im Netzwerk ist nicht optional. Sie ist absolut kritisch.

Die Bedrohung durch Cyber-Angriffe nimmt im Prinzip täglich zu und eine effektive Netzwerksicherheit ist für Unternehmen selbstredend von sehr hoher Bedeutung. Der Einsatz der richtigen Lösungen hilft jedem Unternehmen, genau zu verstehen, wer auf das Netzwerk zugreift, was er tut und ob er es tun sollte. Maschinelles Lernen wird dabei eine wichtige Rolle spielen, indem es nicht nur wichtige Informationen auf eine Art und Weise miteinander verknüpft, die bisher nicht allein durch die Überwachung des Netzwerkverkehrs möglich war, sondern indem es den IT-Teams den Kontext bietet den sie benötigen, um fundierte Sicherheitsentscheidungen zu treffen.

Bild: Exabeam

Egon Kando ist Regional Sales Director Central & Eastern Europe bei Exabeam. Der diplomierte Ingenieur ist seit über 18 Jahren im IT-Security Markt tätig und begann seine Karriere einst bei der BinTec AG in Nürnberg. Im Verlauf seiner Karriere war der erfahrene IT-Spezialist in verschiedenen Rollen bei Internet Security Systems, später IBM ISS, SonicWALL und Imperva beschäftigt.

Weitere Informationen zum Thema:

datensicherheit.de, 26.07.2017
Der Mensch als Schlüsselfaktor Cybersicherheit

datensicherheit.de, 26.07.2018
Cybersicherheit: Die Lücke zwischen Schutz und Risiko

datensicherheit.de, 28.06.2018
Vom Menschen lernen: Das lebende Unternehmen

datensicherheit.de, 29.08.2017
Privilegierte Benutzerkonten ins Visier von Hackern

[datensicherheit.de, 16.10.2015] IT-Sicherheitsprofis sehen sich täglich mit einer endlos scheinenden To-do-Liste konfrontiert: Regeln aktualisieren, Berichte erstellen, Schutzmaßnahmen erweitern, Ergebnisse analysieren, versteckte Bedrohungen finden, mehrere Implementierungen verwalten etc. Automation scheint die perfekte Antwort darauf zu sein. Die meisten Sicherheitsexperten sind aber hin- und hergerissen zwischen der Automatisierung und Optimierung von Prozessen einerseits und andererseits der Beibehaltung der manuellen Steuerung, die menschliche Entscheidungsfindung zulässt. Palo Alto Networks empfiehlt, einen genaueren Blick auf die Vor- und Nachteile der Automatisierung in Sicherheitsumgebungen zu werfen.

„Viele Sicherheitsexperten zögern, der Automatisierung zu vertrauen. Sie wollen oftmals lieber die manuelle Steuerung beibehalten. Dies geschieht jedoch auf Kosten einer besser kontrollierten, vorhersehbaren und beherrschbaren Arbeitsumgebung“, berichtet Thorsten Henning, Senior Systems Engineering Manager Central & Eastern Europe bei Palo Alto Networks. „Trotzdem besteht nach wie vor eine gewisse Furcht davor, Entscheidungen beim Sicherheits- oder Netzwerkmanagement in ihren Unternehmen einfach einer Software zu überlassen.“

Die meisten Sorgen seien jedoch eher einer subjektiven Wahrnehmung als Fakten geschuldet:

• Wahrgenommener Verlust der Kontrolle: Viele IT-Profis haben das Gefühl, einen besseren Job für ihr Unternehmen machen zu können als es Technologie alleine kann. Tatsache bleibt, dass es Einschränkungen gibt, wie viel Analyse sich realistisch auf manuelle Weise durchführen lässt.
• Misstrauen in die Technologie: Das Gefühl, dass automatisierte Technologie Bedrohungen oder Mitarbeiter im Unternehmen überwacht, ist ein weiteres durchaus starkes emotionales Argument gegen die Automatisierung.
• Angst vor Veränderung: Was wird die Automatisierung der Sicherheit im Unternehmen verändern? Welche Auswirkungen sind auf die eigene Arbeit zu erwarten? Die meisten Sicherheitsexperten fühlen sich überfordert, aber haben diese Situation als einen Teil ihrer Arbeit akzeptiert. Eine Reduzierung dieser Belastung könnte sich anfühlen, als ob sie ihr Unternehmen nicht effektiv genug schützen.

Zu dieser kritischen Einschätzung gibt es eine Reihe sehr starker, faktenbasierter Gegenargumente, die Palo Alto Networks im Folgenden aufführt:

• Einheitliche Prozesse und weniger doppelte Arbeit: Viele Prozesse in Sicherheitsarchitekturen sind komplex und oft ist doppelte Arbeit erforderlich. Wie viele Regeln werden doppelt verwaltet im Netzwerk? Müssen die Regeln alle manuell gepflegt und aktualisiert werden? Automatisierung sorgt langfristig für eine Verringerung doppelter Prozesse.
• Reduzierte Komplexität: Die meisten Sicherheitsarchitekturen sind unglaublich komplex und umfassen eine Vielzahl von unterschiedlichen Technologien, die alle eigene Benutzeroberflächen, Reporting-Funktionalitäten und Regelbasen aufweisen. Automatisierung sorgt für Kohärenz und Konsistenz und damit reduzierte Komplexität.
• Weniger menschliche Fehler: Komplexität und Vervielfältigung sind gefährlich, wenn Menschen am Werk sind. Stress, lange Arbeitszeiten und letztlich Verwirrung führen häufig zu menschlichen Fehlern, die katastrophal für die Arbeit der Sicherheitsabteilung sein können. Automatisierung kann menschliches Versagen deutlich reduzieren.
• Verbesserter Wissensaustausch und kurze Entscheidungswege: Automatisierung ermöglicht es, Informationen über verschiedene Datenquellen zu korrelieren, woraus eine schnellere Erkennung von Bedrohungen als mit manueller Analyse resultiert.

Die Entscheidung, wann, wie und in welchem ​​Umfang zu automatisieren, ist eine Entscheidung, die jedem einzelnen Netzwerkadministrator und Sicherheitsprofi überlassen werden sollte. Fällt die Entscheidung für Automatisierung, kann diese in jedem Unternehmen in vier wichtigen Bereichen der Netzwerksicherheit eingeführt oder erweitert werden:

1. Netzwerkeinrichtung – Automatisierung in diesem Bereich ermöglicht die Konfiguration von Firewalls und Regeln, indem Duplizierung verhindert wird und Prozesse gestrafft werden mittels Automatisierungstools wie Templates, Template-Stacks und Gerätegruppen.
2. Netzwerkmanagement – Automatisierung in diesem Bereich gewährleistet, dass Netzwerk und Regeln immer auf dem neuesten Stand sind mittels Funktionen wie SIEM-Integration oder Security Policy Orchestration.
3. Einrichtung der Bedrohungserkennung (Threat Intelligence) – Dieser Bereich konzentriert sich auf den automatischen Schutz vor bekannten und unbekannten Bedrohungen mittels eingehender Analyse sowie die Prävention, um erfolgreiche Angriffe zu verhindern. Dies ermöglicht es auch, dass unterschiedliche Sicherheitstechnologien voneinander lernen können. Automatisierte Bedrohungskorrelation, eine gemeinsame Sicherheitsregelbasis und ähnliche Funktionalitäten tragen dazu bei, Prozesse zu straffen.
4. Threat Intelligence Management – Diese Komponente konzentriert sich auf kontinuierlichen Schutz mittels neuester Informationen mit automatischen, häufigen Updates für Software, Signaturen und andere Sicherheitskomponenten.

[datensicherheit.de, 24.02.2014] ForeScout Technologies, Anbieter von Netzwerksicherheitslösungen für Global 2000-Unternehmen und staatliche Einrichtungen, erweitert das  Management Team um drei neue Führungskräfte. Dies sind Paul Phillips, Senior Vice President Corporate and Business Development, Laura Owen, Vice President Human Resources, sowie Darren Milliken, Senior Vice President General Counsel und Corporate Compliance Officer.

© ForeScout

Paul Phillips, Senior Vice President Corporate and Business Development

Phillips wird die Unternehmens- und Geschäftsentwicklung bei ForeScout erweitern. Bevor er zu ForeScout kam, hatte er leitende Managementfunktionen bei den Technologie-Investmentbankengruppen der Citigroup, der Bank of America und bei Goldman Sachs inne. In seiner mehr als 20jährigen Karriere im Investmentbanking lag sein Schwerpunkt im Bereich der Unternehmenssoftware. Hier schloss er unter anderem Transaktionen für IBM, Microsoft, Check Point und Symantec ab.

© ForeScout

Laura Owen, Vice President Human Resources

Owen wird die Entwicklung der globalen HR-Funktionen von ForeScout unterstützen. Dazu gehören die strategische Planung, der Aufbau von Infrastrukturen innerhalb des Unternehmens, das Recruiting und die Mitarbeiterkommunikation. Die frühere Anwältin für Arbeitsrecht bei Cooley LLP blickt auf eine mehr als 20jährige Karriere zurück, in denen sie bei führenden Technologieunternehmen wie Cisco, Spirent und Credence strategisch und funktional richtungsweisend wirkte.

© ForeScout

Darren Milliken, Senior Vice President General Counsel und Corporate Compliance Officer

Als General Counsel und Compliance Officer wird Milliken für ForeScout die Rechtsfähigkeit ausbauen. Milliken war zuvor zehn Jahre bei Accuray und fungierte zuletzt als deren Senior Vice President und General Counsel. Während seiner 20jährigen Karriere hatte Milliken auch leitende Managementpositionen bei Sanmina-SCI Corp und Voyan Technology inne und praktizierte privat bei der Anwaltskanzlei Blakely Sokoloff Taylor & Zafman LLP.

„Wir arbeiten momentan mit vollem Einsatz daran, der steigenden Nachfrage nach umfassender Sicherheitstechnologie gerecht zu werden. Im Zuge dessen erweitern wir unsere Führungsebene um drei zusätzliche Vice Presidents in Schlüsselpositionen, um so das Wachstum unseres Unternehmens zu unterstützen,“ sagt Gord Boyce, CEO von ForeScout. „Ich freue mich außerordentlich über diese Bereicherung für mein Team, denn jeder einzelne besitzt Schlüsselqualitäten, die dazu beitragen werden, das Unternehmen für einen langfristigen Erfolg zu stärken – Erfahrung, Führungsqualitäten, eine dynamische Persönlichkeit und eine nachweisliche Erfolgsbilanz.“

ForeScout bietet Global 2000-Unternehmen und Regierungsbehörden Netzwerksicherheitslösungen zur kontinuierlichen Überwachung, der Beseitigung von Sicherheitsmängeln sowie zur Prävention von Cybersicherheitsangriffen. Das Unternehmen ist im „Leaders“-Quadrant des Magic Quadrant for Network Access Control der Gartner Inc. 2013 positioniert und Frost & Sullivan sieht das Unternehmen als den größten unabhängigen und einen der im Markt am schnellsten wachsenden NAC-Anbieter.

Weitere Informationen zum Thema:

datensicherheit.de, 06.02.2014
Network Access Control: Sicherheitstechnologie zur Abwehr von Cyberbedrohungen