IT-Sicherheit ist vielfach rein Compliancegetrieben. Schwachstellenbeseitigung und Maßnahmen zur Verhinderung von Sicherheitsvorfällen bleiben so vielfach auf der Strecke – vor allem hinsichtlich des elementaren Schutzes privilegierter Benutzerkonten und Zugangsdaten.
In der IT-Sicherheit steht für viele Unternehmen die Erfüllung von Compliance-Anforderungen im Vordergrund. Dabei geht es in erster Linie um Aspekte wie Reporting und Schaffung von Nachweisen, dass Regularien erfüllt sind. Zu begrüßen ist, dass Compliance-Regularien einen positiven Anstoß zur Erhöhung der Sicherheit geben, vielfach bleiben sie aber zu unbestimmt und zielen vor allem auf die Dokumentationspflicht ab.
Ein Beispiel liefert etwa das auch für den Gesundheitssektor gültige IT-Sicherheitsgesetz, das zwar auch eine Verbesserung der IT-Sicherheit im Sinne hat, aber primär die Verfügbarkeit und Sicherheit von IT-Systemen thematisiert und Vorgaben zur Überwachung und Dokumentation macht. Eine höhere Sicherheit ist damit aber keineswegs gewährleistet und Sicherheitsvorfälle werden so nicht unbedingt verhindert.
Das Thema Compliance muss weiter gefasst und um eigentliche Sicherheitsaspekte ergänzt werden. Und hier zeigt sich auch ein klarer Markttrend: die zunehmende Verbindung von Compliance und Sicherheit bei Anbietern von Security-Lösungen. Diese Entwicklung zeichnet sich gerade bei Lösungen im Umfeld einer zentralen IT-Schwachstelle ab, den privilegierten Benutzerkonten, wie sie etwa Administratoren besitzen. Sie stellen ein zentrales Einfallstor für Insider- und Cyber-Attacken dar. Ein Großteil aller Fälle von Datenmissbrauch und -diebstahl ist darauf zurückzuführen, dass Angreifer nach Überwindung der Firewall einen weitreichenden Administrations-Zugriff auf IT-Systeme erbeuten; gerade die Zugangsdaten von Windows-Domain-Administratoren sind ein beliebtes Ziel. Dadurch können sie im Unternehmensnetzwerk wie Administratoren agieren, auf jede Datei zugreifen und sich selbst beliebige Berechtigungen erstellen.
Nahezu alle Anbieter im Umfeld von Privileged Identity Management beziehungsweise Privileged Access Security haben im Hinblick auf die Sicherung und Überwachung von privilegierten Konten in der Vergangenheit entweder den Compliance-Aspekt mit Recording-Lösungen oder den Sicherheitsaspekt mit der Zugriffskontrolle adressiert. Vor Kurzem gab es hier allerdings zwei Akquisitionen – die Übernahme von Balabit durch Quest One Identity und von Lieberman durch Bomgar –, mit denen die Hersteller die Begrenztheit ihres Lösungsangebots beseitigen möchten. CyberArk hingegen hat bereits von Anfang an mit seinem integrierten Lösungsportfolio die gesamte Compliance- und Sicherheitsthematik abgedeckt.
Leistungsspektrum einer Privileged-Access-Security-Lösung
Doch was sollte eine integrierte Lösung im Bereich Privileged Access Security konkret bieten? Klar ist, dass privilegierte und administrative Benutzerkonten zunächst identifiziert werden müssen, bevor sie entsprechend gesichert werden können. Dies ist prinzipiell keine einfache Aufgabe, da eine typische IT-Umgebung etwa in einem Krankenhaus aus einer Vielzahl von Servern, Datenbanken und Netzwerkgeräten besteht, die über persönliche, häufig aber auch über generische, manchmal sogar lokale Admin-Konten gesteuert und verwaltet werden.
Eine Lösung im Bereich Privileged Access Security sollte somit zunächst einmal die Möglichkeit bieten, diese Konten automatisch zu erkennen und zu analysieren – mit einer detaillierten Auswertung hinsichtlich Anzahl, System und Status. Dabei sind insbesondere diejenigen Konten zu ermitteln, von denen die größten Gefahren ausgehen. Dies sind eindeutig die von mehreren Personen genutzten sogenannten Shared Accounts, zum Beispiel Administratoren- und Dienste-Konten in Windows, Root-Konten in Unix/Linux oder Administrator-Konten für Datenbanksysteme. Bei ihnen kann nicht kontrolliert werden, welcher Mitarbeiter ein Konto wann und wozu verwendet hat, das heißt, eine revisionssichere Überprüfung der Verwendung eines generischen Kontos bis auf die Personenebene ist nicht möglich. Ebenso risikoreich und eine Einladung an Angreifer sind nicht benutzte – sog. verwaiste- Konten, die unbeobachtet sind und daher von Sicherheitsregeln oft nicht erfasst werden.
Bei der Auswahl einer Lösung zur Sicherung von Benutzerkonten sollte auf jeden Fall darauf geachtet werden, dass die Applikation neben einer regelmäßigen, automatischen Änderung aller Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit sämtlicher Aktivitäten bietet. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer Zugang zu vertraulichen Informationen hat, sondern auch, auf welche er zugreift und was er mit diesen Informationen macht. Dieser Punkt ist vor allem auch deshalb von Bedeutung, da viele Krankenhäuser nur über kleinere IT-Abteilungen verfügen und auf die Unterstützung externer IT-Provider angewiesen sind. Und auch auf die einzelnen medizinischen Geräte erfolgt in der Regel ein Remote-Zugriff durch die jeweiligen Hersteller.
Konkret muss eine Sicherheitsapplikation drei Leistungsmerkmale bieten: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Grundvoraussetzung ist, dass sie eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff damit auf Zielsysteme enthält. Zudem muss eine vollständige Überwachung der Nutzung privilegierter Konten gewährleistet sein. Nicht zuletzt sollte eine Privileged-Access-Security-Applikation natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen ermöglichen. Diese könnte auch den Entzug von privilegierten Zugriffsberechtigungen oder das Beenden einer aktiven Verbindung beinhalten.