Worum geht es?
Dass es gewisse Unterschiede zwischen normalen Benutzern und Administratoren gibt, dürfte allgemein bekannt sein. Dass es nicht sinnvoll ist, permanent mit erhöhten Rechten unterwegs zu sein oder solche Privilegien jedem Mitarbeiter zu gewähren, haben die meisten schon einmal gehört.
In der Praxis aber hapert es mit der korrekten und konsequenten Umsetzung dann doch schnell. Typisch ist beispielsweise, dass die überlastete IT-Abteilung den einfachen Ausweg sucht, um Benutzern nicht bei jedem Druckerproblem oder der Installation einer gewünschten App zur Hilfe eilen zu müssen. Nicht selten wird auch schlicht angeordnet, dem Management und anderen Führungskräften maximale Rechte zu geben, da sich die betroffenen Personen ansonsten auf den Schlips getreten fühlen.
Der Informationssicherheit zuträglich ist all dies nicht. Wie es besser geht, wird im hier behandelten Kapitel 8.2 der ISO 27002 dargestellt.
Was empfiehlt die ISO 27002?
Zusammenfassend geht es um die Etablierung eines kontrollierten Prozesses zur Vergabe von Berechtigungen, der sich – wie üblich – am Prinzip Need-to-know bzw. Need-to-do orientiert. Gleichzeitig muss sichergestellt sein, dass nur geeignete Personen die entsprechenden Befugnisse erhalten.
- An erster Stelle steht die Ermittlung, wer, wo und für was überhaupt privilegierte Rechte benötigt. Also: Welche Benutzer? Welche Systeme? Welche Anwendungen? Hinsichtlich der letzten beiden Fragen muss auch an mobile Geräte und Anwendungen in der Cloud gedacht werden. Der Blick nur auf die eigene lokale Umgebung ist zu eng.
- Es sollte ein Genehmigungsprozess aufgebaut werden, üblicherweise mit Antragsteller, Genehmiger, Umsetzenden und einer neutralen Kontrolle. Zumindest die letzten drei Rollen sollten durch verschiedene Personen besetzt sein. Genehmigung, Umsetzung und Kontrolle sollten dokumentiert werden. Dies gilt selbstverständlich auch bei Änderungen und Entzug. Dass sich die Rechte auch im Livesystem nachsehen lassen, wird in der Praxis oft vorgebracht, ersetzt die Dokumentation aber nicht. Nur eine vom produktiven System gelöste Dokumentation von Berechtigungen erlaubt einen schnellen Abgleich von Soll und Ist-Zustand.
- Wer privilegierte Zugangsrechte erhält, ist jeweils im Einzelfall zu beurteilen. Wem sind im Einzelfall Aufgaben übertragen, die sich nur mit erhöhten Rechten erledigen lassen? Wie privilegiert müssen diese Rechte tatsächlich zur Erfüllung dieser Aufgabe sein? Dass Aufgabe und damit die erhöhte Berechtigung nur an Personen vergeben werden dürfen, die fachlich und persönlich geeignet sind, sollte selbstverständlich sein, muss aber dennoch stets betont werden.
- Soweit möglich, sollten privilegierte Rechte bereits bei der Einrichtung mit einem möglichst frühzeitigen Ablaufdatum versehen werden. Beispielsweise gerade externem Personal können Berechtigungen erteilt werden, die erst mit Beginn der Tätigkeit benutzbar sind und automatisch am letzten Tag der Tätigkeit auslaufen. Andernfalls ist eine regelmäßige Kontrolle aller vergebenen privilegierten Berechtigungen erforderlich, die in angemessen kurzen Abständen erfolgen sollte. Organisationen sollten nicht erst Monate später bemerken, dass insbesondere ehemalige oder mittlerweile umgesetzte Mitarbeiter noch Rechte besitzen, die längst nicht mehr benötigt werden. Ein relativ einfacher Weg dies sicherzustellen, wäre, administrative Kennungen pauschal mit einem Ablaufdatum zu versehen damit weitere Benutzung von einer aktiven Verlängerung abhängig zu machen.
- Die Verwendung von privilegierten Zugangsrechten sollte immer an die Nutzung eines extra hierfür eingerichteten personalisierten Kontos geknüpft sein. Ohne wirklich wichtigen Grund sollte niemals das zur täglichen Arbeit verwendete Benutzerkonto mit erweiterten Rechten ausgestattet werden. Die gemeinsame Verwendung eines privilegierten Kontos durch mehrere Personen sollte keinesfalls erfolgen – auch und gerade zum Schutz der beteiligten Personen. Mit Blick auf die Praxis hier der ausdrückliche Rat, dies auch bei eingesetzten IT-Dienstleistern konsequent umzusetzen, insbesondere wenn diese Remotezugang haben.
- Die Nutzung eines Kontos mit privilegierten Rechten kann an weitere Voraussetzungen geknüpft werden. So ist beispielsweise denkbar, dass Anmeldungen nur von bestimmten Geräten oder bestimmten Netzwerken aus möglich sind, die keine Berührungspunkte zu den sonst eingesetzten produktiven Umgebungen haben. Wie auch sonst zunehmend üblich, kann eine Multifaktor Authentifizierung vorgesehen werden. Mit etwas Fantasie lassen sich auch andere kreative Hürden aufstellen, beispielsweise eine Kennung, die nur von zwei Personen gleichzeitig verwendet werden kann, die jeweils nur die Hälfte des notwendigen Passwortes kennen und dieses folglich gemeinsam eingeben müssen.
- Abschließend sollte jede Verwendung privilegierter Rechte protokolliert und überwacht werden.
Fazit
Betrachtet man die größeren und presseträchtigen IT-Sicherheitsvorfälle der jüngeren Zeit, ist evident, wie oft diese durch den erbeuteten Zugang zu einer Kennung mit erhöhten Rechten ermöglicht oder erleichtert wurden. Dementsprechend ist auch die Masse an Versuchen erschlagend, durch Phishing-E-Mails und andere immer ausgefeilter Methoden an Zugangsdaten zu gelangen.
Die in jeder Hinsicht restriktive Handhabung von privilegierten Zugangsrechten sollte damit in Organisationen jeder Größe eine Selbstverständlichkeit sein. Wie eingangs angedeutet, ist dem allerdings häufig nicht so. Keine oder schlechte Prozesse, die durch überlastetes Personal dann auch nicht korrekt umgesetzt werden, sind regelmäßig zu findende Ursachen. Zeitdruck, mangelnde Akzeptanz und persönliche Befindlichkeiten kommen dazu.
Das Thema ist im Gesamtzusammenhang der Informationssicherheit fast eines der wichtigsten und sollte dementsprechend ernst genommen werden.