Vertrauen ist gut, Kontrolle ist besser: Das Least-Privilege-Prinzip hilft Unternehmen, sich bestmöglich vor den Auswirkungen von Cyberangriffen und Insider Threats zu schützen.
Anfang Mai verschaffte sich die Hackergruppe DarkSide Zugang zu den Systemen der Colonial Pipeline im Osten der USA und legt diese für rund eine Woche lahm. Das Lösegeld, das der Konzern den Cyberkriminellen überwies, beträgt knapp 4,5 Millionen Dollar. Der Gesamtschaden, der durch Panikkäufe und Engpässe an Tankstellen entstanden ist, lässt sich hingegen kaum abschätzen. Wie Analysten von Mandiant nach ihrer Untersuchung berichten, war es ein ungenutzter VPN-Account ohne Multi-Faktor-Authentifizierung, über den die Hacker das Firmennetz infiltrieren konnten.
Der Angriff auf die Colonial Pipeline belegt eindrucksvoll, welche zentrale Rolle die Verwaltung von Benutzerkonten und Zugriffsrechten für die IT-Security von Unternehmen spielt. Die Schadenswerte durch Ransomware-Attacken und ähnliche Vorfälle erreichen Jahr für Jahr neue Rekordwerte. Dabei gehören insbesondere Angriffe auf Basis von gestohlenen oder geleakten Zugangsdaten, sei es Phishing, Credential Stuffing oder Social Engineering, zu den beliebtesten Methoden von Cyberkriminellen.
Für Organisationen stellt sich inzwischen weniger die Frage, ob sie einem Angriff zum Opfer fallen werden, sondern wann und in welchem Ausmaß. Selbstverständlich muss das eigene Unternehmensnetzwerk auch weiterhin bestmöglich nach außen abgesichert werden. Gleichzeitig gilt es aber auch, die Auswirkungen im Fall einer erfolgreichen Attacke zu minimieren. Und da sich nicht vorhersagen lässt, auf welchem Weg bzw. über welchen Account Angreifer in das eigene System eindringen, stellt jedes Benutzerkonto ein potenzielles Sicherheitsrisiko dar.
Zum Schutz vor Missbrauch sollten User daher nur mit jenen Berechtigungen ausgestattet werden, die auch wirklich notwendig sind. Dieser Ansatz, auch als Least-Privilege-Prinzip oder Principle of Least Privilege (POLP) bezeichnet, zählt zu den Best Practices im Bereich der Cybersecurity und trägt maßgeblich dazu bei, Unternehmen vor Cyberangriffen ebenso wie Datendiebstahl zu schützen. Es ist ein wesentlicher Bestandteil der Zero Trust Architektur und findet sich in zahlreichen Sicherheitsstandards wie ISO 27001 oder dem BSI-IT Grundschutz wieder.
Das Least-Privilege-Prinzip verhindert die Ausbreitung von Schadsoftware (Bild: beeboys)
Schaden und Risiko durch Least Privilege minimieren
Selbst bei der bestmöglichen Absicherung des eigenen Netzwerks kann niemals ausgeschlossen werden, dass ein Angreifer Zugang zu Firmensystemen erlangt. Etwa aufgrund einer neuen Zero-Day-Sicherheitslücke, eines unvorsichtigen Mitarbeiters oder weil ein verärgerter Angestellter selbst zum Insider Threat wird.
Egal wie es zu der Attacke kommt: Ist ein Account erstmal kompromittiert, werden die Berechtigungen des Kontos plötzlich zur Gefahr. Mit je mehr Privilegien ein Benutzer ausgestattet ist, desto größer ist das Risiko, dass Schadsoftware von diesem Account aus weitere Systeme infizieren und sich lateral ausbreiten kann. Ebenso steigt der mögliche Schaden durch Datendiebstahl, auf je mehr Dateien ein Angestellter Zugriff hat. Und Gelegenheit macht bekanntlich Diebe.
Der Überschuss an Zugriffsrechten, der in vielen Firmen besteht, kommt dabei meist nicht bewusst zustande. Überforderte IT-Abteilungen und kein klares Konzept für die Berechtigungsvergabe sorgen dafür, dass sich im Laufe der Zeit sowohl überflüssige Berechtigungen als auch technisch fragwürdige Zugriffstrukturen entwickeln. Bei der manuellen Verwaltung von Benutzern werden etwa nicht mehr benötigte Zugänge (Stichwort VPN) leicht vergessen.
Least Privilege in 3 Schritten umsetzen
Um Ordnung in das Chaos aus organisch gewachsenen Zugriffsrechten zu bringen, sind im Wesentlichen drei Schritte nötig. Allerdings ist die Implementierung von Least Privilege mit einem erheblichen organisatorischen Aufwand verbunden, der insbesondere mittelständische Organisationen vor eine große Herausforderung stellt. In diesem Segment haben sich schnell einsatzbereite Identity Access Management (IAM-) Lösungen wie tenfold bewährt.
Unabhängig davon, für welche Lösung Sie sich entscheiden: Ohne passende Tools für Identity & Access Management, die dabei helfen Berechtigungsprozesse langfristig zu automatisieren, ist das Risiko groß, dass die Zugriffsrechte im Unternehmen nach einem aufwändigen Frühjahrsputz bald wieder im Chaos versinken.
1. Berechtigungen überprüfen und nicht notwendige Privilegien entfernen
Im Alltag benötigen Angestellte laufend neue Berechtigungen, um zusätzliche Aufgaben erledigen zu können. Allerdings wird meist kein Ablaufdatum für diese erweiterten Rechte festgelegt, wodurch es zum Privilege Creep, also der ständigen Ansammlung von neuen Privilegien, kommt. Gerade bei vorhersehbaren Abwesenheiten (Urlaub, Karenz, Fortbildung) hilft ein Werkzeug für das Festlegen von temporären Rechten dabei, Privilege Creep gar nicht erst entstehen zu lassen.
Um auch die vorhandenen Zugriffsrechte auf das Mindestmaß zu reduzieren, muss zudem überprüft werden, welche Berechtigungen noch gebraucht werden. Admin-Rechte verdienen dabei besondere Aufmerksamkeit, da privilegierte Benutzerkonten im Fall eines Angriffs ein größeres Sicherheitsrisiko darstellen. Ein passendes Audit- oder Reporting-Tool verschafft Ihnen Überblick über den Status Quo an Zugriffsrechten, indem effektive Berechtigungen aus sämtlichen Systemen an einem Ort zusammengefasst werden.
2. Berechtigungen technisch korrekt umsetzen
Auch die Frage, wie Berechtigungen vergeben werden, ist für das Least Privilege Prinzip relevant. Direkte Berechtigungen auf Verzeichnisse sorgen etwa für Probleme, da diese nach Ablauf einzeln wieder entfernt werden müssen. Dabei werden veraltete Berechtigungen leicht übersehen. Um die Anpassung von Benutzerkonten einfacher und sicherer zu gestalten, hat sich die rollenbasierte Berechtigungsvergabe als Best Practice etabliert: Durch das Festlegen von Profilen werden Zugriffsrechte automatisch vergeben oder entzogen, wenn ein User zu einer Gruppe hinzugefügt oder daraus entfernt wird.
3. Regelmäßige Überprüfung von Zugriffsrechten
Sind die bestehenden Berechtigungen inhaltlich und technisch korrekt, gilt es durch regelmäßige Kontrollen dafür zu sorgen, dass es auch weiterhin dabei bleibt. Diese Rezertifizierung dient dazu, nicht mehr benötigte Rechte und Zugänge zeitnah zu entfernen, um keine Sicherheitslücken entstehen zu lassen. Ähnlich wie bei Updates hilft eine automatische Erinnerung dabei, dass keine Berechtigungen mehr vergessen werden.