Der IT-Blog für KMU.
Stets aktuell.
Immer.

Erweiterte IT-Zugriffsrechte in KMU: Wie sich Risiken vermeiden lassen

Erweiterte Zugriffsrechte und Priviledged Account: Schlüsselsymbol

Um die Zugriffsrechte auf die IT-Infrastruktur eines KMU zu steuern, kommen Benutzerkonten zum Einsatz. Die autorisierten Mitarbeitenden greifen für ihre tägliche Arbeit über diese Konten mit ihren Login-Daten auf die IT und damit auf die Unternehmensdaten zu. Hinzu kommen die sogenannten privilegierten Benutzerkonten. Sie ermöglichen erweiterte Zugriffsrechte (Administratorenrechte) auf die IT. Diese stellen ein besonderes Risiko für KMU dar.


Wozu benötigt ein KMU privilegierte Benutzerkonten?

Privilegierte Benutzerkonten (Privileged Accounts) sind Konten mit erweiterten Zugriffsrechten (Administratorenrechte) auf die IT-Infrastruktur eines Unternehmens. Sie kommen für Nutzer mit besonderen Zugriffsrechten zum Einsatz. Dazu gehören etwa IT-Administratoren, externe IT-Mitarbeitende und Führungskräfte des KMU. Je nachdem taucht für diese Nutzer auch der Begriff Super User auf.

IT-Administratoren oder externe IT-Mitarbeitende benötigen diese erweiterten Zugriffsrechte, um Passwörter von anderen Nutzern zurückzusetzen, die IT-Infrastruktur zu warten, Neukonfigurationen vorzunehmen oder um Software-Updates zu installieren. Treten neue Mitarbeitende in das Unternehmen ein oder scheiden sie aus, so sind diese Super User dank ihren Zugriffsrechten in der Lage, neue Benutzerkonten anzulegen oder diese zu deaktivieren. Dabei spielt es keine Rolle, ob die IT-Infrastruktur lokal mit physischen Servern (on Premise), in der Cloud oder mit einer hybriden Lösung aufgesetzt ist. Fehlen diese erweiterten Zugriffsrechte, lässt sich die Unternehmens-IT nicht steuern oder anpassen.

Da die privilegierten Benutzerkonten Zugang zu sensiblen Daten und unbegrenzten Zugriff auf die IT-Systeme ermöglichen, geht von diesen Privileged Accounts ein erhöhtes Risiko für die Cyber Security des KMU aus. Setzt jemand diese Zugriffsrechte unbefugt ein oder geraten sie in falsche Hände, kann dies zu verheerenden Folgen für das KMU führen. Dazu gehören Datendiebstahl, Datenmanipulation, Industriespionage oder das Blockieren der gesamten IT-Infrastruktur.  


Weshalb können privilegierte Benutzerkonten ein Sicherheitsrisiko sein?

  • Kontrolle über privilegierte Nutzerkonten ist ungenügend oder fehlt
    Oft fehlt es an einer systematischen Kontrolle über die Zuordnung dieser erweiterten Zugriffsrechte an die jeweiligen Personen. Es fehlen Prozesse, um einen Privileged Account zu sichern, anzupassen oder zu deaktivieren, wenn ein Super User aus dem Unternehmen ausscheidet. Auf diese Weise können diese erweiterten Zugriffsrechte leicht in falsche Hände geraten.

  • Fehlende Richtlinien
    Gemäss einer Studie1 verfügen nur 33% der Unternehmen über interne Richtlinien für Privileged Accounts und den dabei verwendeten Passwörtern. Auch fehlen oft zusätzliche Sicherheitsmassnahmen für das Login.

  • Fehlendes Know-how
    Ganze 70% der Unternehmen sind nicht in der Lage die eingerichteten privilegierten Benutzerkonten zu identifizieren. In solchen Fällen fehlt in der Folge auch eine Übersicht darüber, ob ehemalige Mitarbeitende immer noch erweiterten Zugriff auf das Netzwerk haben.

  • Fehlende Differenzierung der privilegierten Benutzerkonten
    In zahlreichen KMU ist zu beobachten, dass nur eine einzige Kategorie von privilegierten Benutzerkonten besteht. In diesen Fällen hat etwa ein IT-Administrator oder ein externer IT-Mitarbeitender die gleichen erweiterten Zugriffsrechte auf die Unternehmensdaten wie der Geschäftsführer oder der Personalleiter. Das IT-Personal kann auf diese Weise auf sensible Personaldaten oder auf vertrauliche Unternehmensdaten zugreifen.

 

Wie lässt sich das Risiko von Privileged Accounts reduzieren?

Da die Benutzerkonten mit erweiterten Zugriffsrechten der Schlüssel zur gesamten IT und zu sensitiven Daten sind, muss die KMU-Geschäftsleitung diesen Privileged Accounts eine hohe Aufmerksamkeit zukommen lassen und besondere Schutzmassnahmen vorsehen.

1. Richtlinien für den Umgang mit Privileged Accounts

Es genügt nicht, nur klare Richtlinien für die Nutzung der Standard-Benutzerkonten (ohne erweiterte Zugriffsrechte) festzulegen und gleichzeitig die Privileged Accounts aufgrund ihres besonderen Status nicht darin einzuschliessen. IT-Zugriffsrichtlinien im KMU sollen den Umgang mit Passwörtern für diese Konten festlegen. 

2. Least Privileged Access

Für die privilegierten Benutzerkonten muss das KMU je nach Art des notwendigen erweiterten Benutzerzugriffs eine Differenzierung der Zugriffsrechte vornehmen. Dabei soll das Prinzip des Least Privileged Access zum Einsatz kommen. Dieses besagt, dass ein Benutzer nur maximal so viele Zugriffsrechte auf seinem Nutzerkonto erhält, wie sie für die Ausübung seiner Aufgabe gemäss Verantwortlichkeit auch wirklich notwendig sind. Für Tätigkeiten, die nicht die vollen Administratorenrechte erfordern, lassen sich die erweiterten Zugriffsrechte entsprechend reduzieren. Einem IT-Mitarbeiter, der etwa für Routinetätigkeiten wie das Zurücksetzen von Passwörtern, das Aufsetzen neuer Nutzer oder für das Deaktivieren von Nutzerkonten zuständig ist, benötigt nicht den gesamten privilegierten Zugriff. Es genügt, ihm ausschliesslich die für seine Rolle relevanten Zugriffsrechte zuzuweisen. IT-Spezialisten, die beispielsweise die Aufgabe haben, neue Datenbanken neu aufzusetzen, sollen über entsprechend mehr oder andere Zugriffsrechte verfügen.

Mit dem Least Privileged Access lässt sich der Nutzerkreis von privilegierten Benutzerkonten mit sämtlichen Zugriffsrechten deutlich einschränken und der Zugang somit besser kontrollieren. Dies schränkt potentielle schädliche Aktivitäten bereits erheblich ein – unabhängig davon ob sie fahrlässig oder mit Absicht erfolgen.

3. Eindeutige Identität je Nutzerkonto

Jedes Benutzerkonto mit erweiterten Zugriffsrechten soll einer existierenden Person zugeordnet sein. Geteilte Nutzerkonten (Shared Accounts) sind zu vermeiden, damit sich Zugriffe über ein privilegiertes Benutzerkonto stets identifizieren lassen. Greifen mehrere Mitarbeitende über dasselbe Konto auf das System zu, so lässt sich dieses nur unter erschwerten Bedingungen verwalten oder kontrollieren (z.B. beim Ausscheiden eines Mitarbeitenden aus dem Unternehmen).

4. Laufende Anpassung der Zugriffsrechte

KMU müssen erteilte Zugriffsrechte für die Privileged Accounts laufend überprüfen und regelmässig anpassen. Dies gilt von der Übernahme einer Rolle durch den jeweiligen Mitarbeitenden oder externen Dienstleister bis zu seinem Austritt oder einem Wechsel seines Verantwortungsgebiets.

5. Einsatz von Software-Tools

Für Privileged Accounts ist zumindest eine Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) einzusetzen. Diese Authentifizierungsmethode kombiniert die Login-Daten des Nutzers mit einem zusätzlichen einmaligen Code, der sich bei jedem Login ändert und zur erhöhten Sicherheit via SMS oder über eine App wie Google Authenticator auf das Mobiltelefon des Nutzers übermittelt wird – danach muss dieser den erhaltenen Code zusätzlich zum bereits erfassten Passwort eingeben. Bei gestohlenen Login-Daten von privilegierten Nutzerkonten lässt sich das Risiko dadurch deutlich reduzieren.

Ergänzend lässt sich eine hohe Sicherheit in KMU mit dem Einsatz von PAM-Lösungen (Privileged Access Management) erzielen. Diese Software-Lösungen identifizieren, sichern, verwalten und kontrollieren Zugriffe über diese privilegierten Konten auf die Unternehmens-IT. Je nach Ereignis benachrichtigen sie die definierten Schlüsselpersonen im Unternehmen. Diese Lösungen sind auch in der Lage Zugriffe in vollem Umfang aufzuzeichnen, um allfällige Unregelmässigkeiten eines Zugriffs nachverfolgen zu können.

 

Fazit

Privilegierte Benutzerkonten gewähren ausgewählten IT-Administratoren Zugang zu sensiblen Daten und unbegrenzten Zugriff auf die IT-Systeme. Wenn ein Unternehmen diese Benutzerkonten nicht konsequent verwaltet und kontrolliert, gehen von diesen notwendigen Privileged Accounts hohe Risiken für KMU aus. Im Extremfall können solche Nutzerkonten in falsche Hände geraten und es drohen Datenverluste, Datenlecks, böswillige Manipulationen oder die IT-Infrastruktur fällt vollständig aus. Die Folge können wirtschaftliche Einbussen oder Reputationsschäden für das Unternehmen sein. Mit einer systematischen Vorgehensweise lassen sich die Risiken von privilegierten Benutzerkonten weitgehend ausschliessen. Dies bedingt organisatorische Massnahmen und technische Lösungen. Für KMU empfiehlt es sich für eine solche Aufgabenstellungen einen kompetenten IT-Partner beizuziehen.

Quellen:
1 Studie «2018 Global State of Privileged Account Management (PAM) Risk & Compliance»

Foto bFlorian Berger on Unsplash

 

Personal als IT-Risikofaktor: Mehr IT-Sicherheit durch risikobewusste Mitarbeitende

Themen: Cloud, Cyber Security, Cyber-Risiken
Autor: Philipp Hollerer | 06.03.2020 | 08:03
Philipp Hollerer
Besuchen Sie mich auf Social Media:

Jetzt IT-Blog für KMU als E-Mail abonnieren.