[datensicherheit.de, 02.04.2020] Medienberichten zufolge kam es im Umfeld der Marriott-Hotelkette zu einer erneuten schweren IT-Sicherheitspanne. Dabei wurden auf Daten von rund 5.2 Millionen Kunden unerlaubterweise zugegriffen.

Andreas Müller, Director DACH bei Vectra, sieht in diesem erneuten schweren Vorfall einen weiteren Beleg dafür, wie riskant es für Unternehmen ist, wenn die Nutzung privilegierter Accounts nicht aufmerksam überwacht wird. Er erklärt in diesem Zusammenhang:

„Es wird vermutet, dass ein unbekannter Dritter unter Verwendung der Zugangsdaten von zwei Mitarbeitern eines als Franchise betriebenen Hotels der Gruppe auf die Daten zugegriffen hat. Wir verweisen hier auf unseren aktuellen Spotlight Report zum Thema „Privileged Access Analytics“ (PAA), in dem es genau um diese Art von Missbrauch von Zugangsprivilegien geht. Das einleitende Statement dort verdeutlicht sehr gut das Problem. Unsere Forschung zeigt, dass die missbräuchliche Nutzung privilegierter Zugriffsrechte ausgehend von unbekannten Hosts mittlerweile in jeder Branche vorkommt. Dies führt zu einer unbeabsichtigten Bloßstellung kritischer Systeme. Dennoch findet nur selten eine direkte Kontrolle oder eine technische Überwachung der Nutzung dieser privilegierten Konten statt, selbst wenn Tools zur Verwaltung des privilegierten Zugangs vorhanden sind. Es ist dieser Mangel an Aufsicht oder Verständnis für die Nutzung privilegierter Nutzerkonten, woraus sich das hohe Sicherheitsrisiko für Unternehmen ergibt. Bei unsachgemäßer Verwendung kann von privilegierten Accounts großen Schaden ausgehen, einschließlich Datendiebstahl, Spionage, Sabotage oder Lösegeldforderungen.“

Foto: Vectra

Andreas Müller, Director DACH bei Vectra

Weitere Informationen zum Thema:

datensicherheit.de, 08.01.2020
Datenlecks: Kosten in Millionenhöhe

datensicherheit.de, 26.03.2019
Risiko privilegierte Konten: Fünf Schritte zur Vorbeugung von Datenschutzverletzungen

datensicherheit.de, 30.11.2018
Marriott: Erster Mega-Datendiebstahl der DSGVO-Ära

datensicherheit.de, 30.11.2018
Hotelkette Marriott: Riesiges Datenleck gemeldet

Von unserem Gastautor Jochen Koehler

[datensicherheit.de, 12.07.2013] IT-Umgebungen bestehen in der Regel aus Hunderten oder sogar Tausenden von Servern, Datenbanken, Netzwerkgeräten und Anwendungen, die alle über verschiedene privilegierte und von mehreren Mitarbeitern genutzte Konten mit weitreichenden Berechtigungen verwaltet werden. Eine manuelle Änderung dieser privilegierten Benutzerkonten ist extrem zeitaufwändig und fehlerbehaftet – und somit kaum realisierbar. Gefragt ist hier eine Lösung zur automatischen Verwaltung von Passwörtern. Bei der Auswahl und Implementierung einer solchen Lösung sind jedoch einige elementare Aspekte zu berücksichtigen:

1. Identifizierung der privilegierten Accounts
   Alle unternehmenskritischen Systeme, Applikationen und Datenbanken sollten identifiziert werden, einschließlich der vorhandenen Zugänge von Administratoren. Es ist konkret zu ermitteln, wer aktuell Zugang zu Passwörtern von privilegierten Benutzerkonten hat und tatsächlich Zugang haben sollte.
2. Entwicklung von Rollenmodellen
   Im Hinblick auf privilegierte Administratoren-Accounts mit erweiterten Rechten müssen Prozesse für IT-Berechtigungsvergaben definiert werden. Damit kann sichergestellt werden, dass die Mitarbeiter nur die Rechte besitzen, die für ihren Tätigkeitsbereich erforderlich sind. Unerlässlich für die Verwaltung privilegierter Benutzerkennungen ist zudem auch die Implementierung einer rollenbasierten Zugriffskontrolle.
3. Zentrale Speicherung der Passwörter
   Es sollte eine Lösung zur zentralen Speicherung aller Passwörter und privilegierten Aktivitäten gewählt werden. Dies ermöglicht eine zentrale Administration und Überwachung des gesamten Passwortmanagements. Mögliche Sicherheitslücken durch Insellösungen, die in der Vergangenheit installiert wurden, werden damit geschlossen.
4. Eliminierung von Application Accounts
   Ein zentrales Sicherheitsproblem besteht generell auch bei Software oder Application Accounts, das heißt bei Passwörtern, die in Anwendungen, Skripten oder Konfigurationsdateien gespeichert sind und einen automatischen Zugriff auf Backend-Systeme ermöglichen. Dies ist mit einer Vielzahl von Risiken verbunden, da die Passwörter in der Regel nie geändert werden, oft im Klartext vorliegen und einer großen Anzahl an Usern wie Systemadministratoren und Entwicklern zugänglich sind. Die eingebetteten statischen Passwörter sollten folglich in den Applikationen und Skripten eliminiert werden. Es empfiehlt sich, auch diese Zugangsdaten zentral abzulegen und zu überprüfen sowie regelmäßig zu ändern.
5. Einführung eines automatischen Passwort-Managements
   Eine Passwortmanagement-Lösung sollte auf jeden Fall eine automatische Verwaltung und Änderung privilegierter Accounts ermöglichen. Der Anwender muss dabei die Komplexität und den Änderungszyklus – abhängig von den Vorgaben der jeweiligen Security-Policy – beliebig festlegen können. Keinesfalls ausreichend ist der Einsatz eines Tools zur Erstellung von Passwort-Datenbanken, das zwar eine Speicherung der Kennwörter ermöglicht, aber keine automatische Änderung.
6. Berücksichtigung von Remote-Zugriffen
   Im Hinblick auf die unternehmensinterne Datenintegrität und -sicherheit sollten externe Zugriffe auf IT-Systeme zuverlässig überwacht werden. Dabei sollte eine Lösung implementiert werden, die es ermöglicht, dass externe Dienstleister oder Administratoren Passwörter nie einsehen können. Realisierbar ist das zum Beispiel durch die Implementierung eines Jump-Servers für die administrativen Verbindungen. Nur er „kennt“ die Passwörter der Zielsysteme und nur er darf sich mit diesen verbinden – so verlässt ein Passwort das Unternehmensnetzwerk auch dann nicht, wenn der Zugriff von außen erfolgt.
7. Hohe Sicherheitsstandards
   Die zentrale Speicherung von Passwörtern erfordert die Implementierung einer Lösung, die mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet. Mit Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP muss sichergestellt werden, dass nur autorisierte Anwender Zugang zu den Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein.
8. Protokollierung privilegierter Sessions
   Die Passwortnutzung sollte revisionssicher protokolliert werden. Dabei sollten privilegierte Zugänge nicht nur im Hinblick auf das „Wer“, sondern auch auf das „Was“ gesichert und überwacht werden, das heißt, es ist eine komplette Protokollierung von Admin-Sessions empfehlenswert. Damit lässt sich jederzeit nachvollziehen, wer wann was getan hat. Idealerweise bietet die eingesetzte Passwortmanagement-Lösung auch eine Realtime-Überwachung, die es ermöglicht, bei verdächtigen Aktivitäten direkt einzugreifen und einzelne Sessions zu beenden.

Um die mit privilegierten Benutzerkonten verbundene Sicherheitsproblematik in den Griff zu bekommen, sollte man eine Lösung implementieren, mit der diese Accounts automatisch verwaltet und überwacht werden können. Wenn man bei der Lösungsauswahl und -implementierung die genannten Aspekte berücksichtigt, kann man die Gefahren des Datenmissbrauchs und -diebstahls zuverlässig ausschließen. Außerdem erfüllt man damit die Anforderungen im Hinblick auf Revisionssicherheit, gängige Compliance-Vorschriften und gesetzliche sowie aufsichtsrechtliche Bestimmungen effizient und ohne hohen Administrationsaufwand.

Quelle: Cyber-Ark

Jochen Koehler, Regional Director DACH & Middle East bei Cyber-Ark, hat in den vergangenen 14 Jahren für verschiedene IT-Sicherheitsberatungsunternehmen gearbeitet und dabei seine Konzentration auf die Einführung innovativer Lösungen in den deutschsprachigen Markt gelegt. Seit 2008 verantwortet er das Business Development für Cyber-Ark in Deutschland, Österreich, der Schweiz und Middle East.

[datensicherheit.de, 22.05.2013] Trotz des bekannt hohen Sicherheitsrisikos, das die missbräuchliche Nutzung privilegierter Benutzerkonten darstellt, verzichtet die Mehrheit der Unternehmen immer noch auf geeignete Schutzmaßnahmen. So lautet das Ergebnis einer neuen Untersuchung von Cyber-Ark. Nur 18 Prozent setzen eine Lösung im Bereich Privileged Identity Management ein, mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können.

Im Rahmen der „Privileged Account Security and Compliance Survey“ hat Cyber-Ark im vergangenen April 236 IT-Manager aus Unternehmen in der Region EMEA und in Nordamerika zum Thema Passwortmanagement befragt. Erschreckendes Ergebnis: 86 Prozent der Befragten kennen nicht einmal die Anzahl ihrer privilegierten Accounts beziehungsweise unterschätzen sie deutlich. So gehen beispielsweise 30 Prozent der Unternehmen mit mindestens 5.000 Mitarbeitern davon aus, dass sie maximal 250 privilegierte Accounts haben. Das steht aber eklatant im Widerspruch zur Realität. Cyber-Ark-Erfahrungswerte mit über 1.200 Kunden belegen, dass die Anzahl der privilegierten Konten in der Regel deutlich höher ist als die Beschäftigtenzahl.

Grund hierfür ist, dass zu den privilegierten Accounts nicht nur administrative Passwörter, sondern auch Default- oder in Skripten, Konfigurationsdateien und Applikationen eingebettete Passwörter zählen. Auch darüber sind sich viele der in der Untersuchung Befragten nicht im Klaren. So konnten 37 Prozent die Frage „Wo sind überall privilegierte Accounts vorhanden?“ nicht richtig beantworten.

Bild: Cyber-Ark

Antworten auf die Frage: „Gibt es definierte Prozesse für die Änderung von Default-Passwörtern?“

Zentrale Untersuchungsergebnisse im Überblick:

• Nur 18 Prozent der Befragten nutzen eine Lösung im Bereich Privileged Identity Management (PIM), mit der eine zuverlässige Sicherung und Überwachung privilegierter Zugriffe erfolgen kann.
• 82 Prozent vertrauen auf fehlerbehaftete beziehungsweise unzureichende Lösungsansätze wie manuelles Passwortmanagement oder Security-Tools in den Bereichen Identitätsmanagement (IdM), Database Activity Monitoring (DAM) oder Security Information and Event Management (SIEM), mit denen ein sicheres Passwortmanagement nicht realisierbar ist.
• Fast ein Drittel der Befragten (28 Prozent) nutzt keine Lösung zur Überwachung und Aufzeichnung privilegierter Aktivitäten.
• Über die Hälfte der Befragten gibt privilegierte und administrative Account-Passwörter auch intern an „verlässliche“ Mitarbeiter weiter.
• 22 Prozent der Befragten haben keine durchgängigen Prozesse für das Ändern von Default-Passwörtern definiert.
• 49 Prozent der Unternehmen ändern privilegierte Passwörter frühestens nach 90 Tagen.

„Dass nur 18 Prozent der Befragten eine Lösung im Bereich Privileged Identity Management nutzen, ist in der heutigen Zeit mehr als überraschend“, sagt Jochen Koehler, Regional Director DACH & Middle East bei Cyber-Ark in Heilbronn. „Gerade die zunehmende Anzahl von Attacken, die über privilegierte Benutzerkonten erfolgen, macht ein striktes Passwortmanagement zwingend erforderlich. Automatisiert – und damit völlig unkompliziert und ohne jeglichen manuellen Aufwand – kann das nur mit einer Lösung im Bereich Privileged Identity Management erfolgen, die darüber hinaus auch eine Überwachung der konkreten Aktivitäten in privilegierten Sessions ermöglicht.“

Weitere Informationen zum Thema:

Cyber-Ark
Cyber-Ark’s Privileged Account Security & Compliance Survey