Sofortmaßnahmen zur Sicherung privilegierter Accounts
Auch wenn die Verwaltung und Überwachung privilegierter Benut-zerkonten auf den ersten Blick komplex erscheint, so kann doch ein Großteil der Gefahren bereits mit geringem Aufwand und in kürzester Zeit abgewehrt werden. In einem ersten Schritt sollte die IT Sicherungsmaßnahmen für den Schutz privilegierter Zugangsdaten der Windows-Domäne implementieren. Ganz allgemein charakterisieren drei zentrale Aufgaben diese Implementierungsphase.
Erstens sind die Accounts zu identifizieren; ohne großen Zeitaufwand können die Administrator-Accounts in Windows mithilfe des Active Directory und der lokalen Administrator-Gruppen ermittelt werden. Hierbei dürfen manuell vergeben Rechte nicht übersehen werden. Zweitens sollte zunächst vor allem auf die Accounts mit dem größten Risiko fokussiert werden. Es geht dabei um die Verwaltung und Si-cherung der Accounts mit den umfangreichsten Rechten, etwa Domain-Administrator-Accounts und Administrator-Accounts. Drittens sollte die IT als Sofortmaßnahme nur initiale Kontrollmechanismen implementieren, die dann erst im Laufe der Zeit erweitert werden; ein möglicher Startpunkt ist, den Accounts für Workstation-Nutzer administrative Privilegien zu entziehen.
Proaktive Sofortmaßnahmen zur Verbesserung des Schutzes privilegierter Zugangsdaten und schnellen Risikoreduzierung beinhalten konkret folgende Punkte:
- die Ablage und automatisierte Verwaltung sowie Rotation von Administrator-Passwörtern in einem sicheren Speicher, einem sogenannten Vault;
- die Multifaktor-Authentifizierung für den Zugriff auf Anmeldeinformationen;
- die Verwaltung von Konten nach dem „Least-Privilege“-Prinzip, das heißt Verwendung von Administrator-Konten ausschließlich für administrative Tätigkeiten und restriktive Vergabe von Berechtigungen, die Endanwender für ihre Tätigkeit maximal benötigen;
- die Implementierung einer Lösung zur Detektion verdächtiger privilegierter Aktivitäten in Echtzeit.
Bereits mit diesen ersten Maßnahmen realisieren Unternehmen ein deutlich höheres Sicherheitsniveau. Und der damit verbundene Zeit- und Kostenaufwand sprengt keineswegs den Rahmen, sondern kann einen Return-on-Invest über die verbesserte Sicherheit hinaus erzielen.
Compliance-Regelungen geben zwar die Richtung vor, aber erst die richtigen Lösungen schaffen auch die erwünschte hohe Sicherheit. Diese Erkenntnis setzt sich langsam durch. Der Anfang ist gemacht, aber auch noch nicht mehr. Dass Sicherheit das Maß aller Dinge ist – etwa auch im Sinne des vielfach strapazierten „Security-by-Design“-Ansatzes –, ist bei Weitem noch mehr Vision als Realität.