Privilegierte Konten sind bei Hackern beliebt. Cyber-Kriminelle haben bei einem Übergriff freien Zugriff auf sensible Unternehmensdaten. Mit Hilfe von Privileged-Access-Management-Lösungen lässt sich dieses Risiko zwar vermeiden – trotzdem kann ein korrumpiertes Endgerät zum Einfallstor für Angreifer werden.
In den meisten Unternehmen gibt es eine Vielzahl an privilegierten Accounts. Das sind zum Beispiel Administrator-, Service-, Root- oder Datenbank-Konten. IT-Profis nutzen diese Zugänge, um Daten im Netzwerk freizugeben, Software zu installieren und auszuführen oder kritische Netzwerkgeräte zu überwachen und zu verwalten. Auf jeden Fall gewähren privilegierte Konten Zugriff auf sensible und unternehmenskritische Ressourcen, bei Cyber-Kriminellen stehen sie deshalb hoch im Kurs.
Um ihnen Einhalt zu gebieten, setzen Unternehmen auf Privileged-Account-Management-Lösungen, kurz PAM genannt. Diese sorgen über dedizierte Sprungserver für einen zentralisierten Zugriff auf kritische Benutzerkonten inklusive Kontrolle und Überwachung. Was PAM-Produkte jedoch nicht verhindern können ist, dass der Angreifer sich bereits auf dem Endgerät des Anwenders oder Administrators eingenistet hat. Ist dies der Fall, kann er die Verbindungen mit Hilfe eines Keyloggers mitlesen und im schlimmsten Fall vertrauliche Informationen abgreifen oder sogar Schadcode über Trojaner bis auf die zu administrierenden Zielsysteme schleusen. Der Zugriff auf privilegierte Konten sollte deshalb niemals über einen normalen Arbeitsplatzrechner erfolgen.
Komplett abgeschottetes Arbeiten ist die Lösung
Microsoft schlägt seinen Kunden daher eine Trennung von Admin- und Arbeits-Rechner vor. Diese dedizierte Privileged Access Workstation (PAW) ist ein zweites physikalisches Gerät, das mit einem „sauberen“ Betriebssystem-Image und hochgradig restriktiven Sicherheitseinstellungen konfiguriert ist. Damit erlaubt die PAW keinen Zugriff auf das externe Internet und verfügt in der Regel nicht über klassische Arbeitswerkzeuge wie Office-, E-Mail- oder Chat-Clients, da sie bei Endgeräten als potenzielle Einfallstore für Cyber-Kriminelle gelten. Aus Unternehmenssicht zieht die Umsetzung eines PAW-Modells zusätzliche Hardware-Ausrüstung, Softwarelizenzierungen und vor allem höhere Betriebskosten nach sich. Aus Sicht der Benutzer von privilegierten Konten leidet der Komfort, wenn zwei verschiedene Systeme für das Arbeiten genutzt werden müssen. Bei einer alternativen Auslegung dieses Konzept, der Virtual PAW, braucht man zwar keine extra Hardware, diese ist allerdings auf die Sicherheit von HyperV angewiesen und muss massive Einschränkungen bei der Anbindung von Peripheriegeräten hinnehmen. Der deutlich erhöhte Betriebsaufwand bleibt zudem erhalten.
Bromium Protected App macht den Anwender-PC zur PAW
Die Protected App von Bromium ist eine Software-basierte PAW, die auf dem bestehenden Endgerät des Anwenders oder Administrators installiert wird. Der Vorteil ist, dass die erforderliche Abschottung immer nur temporär dann etabliert wird, wenn kritische Benutzerzugriffe erfolgen. Dann sichert Protected App beispielsweise die Verbindung zwischen Arbeitsplatz-PC und dem Sprungserver der PAM-Lösung. Das macht den Angreifer gewissermaßen „blind“, was die Privileged Session betrifft, selbst wenn das Endgerät auf Windows-Betriebssystemebene zuvor kompromittiert worden ist.
Technische Grundlage ist eine Hardware-isolierte Virtualisierung: Die Lösung wird auf den einzelnen Endgeräten installiert und erzeugt strikt getrennt vom Windows-Betriebssystem eine geschützte Umgebung für den Anwender, über die der Zugriff auf die entsprechenden Zielsysteme erfolgt. Die Protected App bietet damit einen weitreichenden Schutz vor den unterschiedlichsten Angriffsszenarien: Das fängt bei Keylogging an – in der Protected App sind Tastatureingaben für den Host unsichtbar –, geht über Man-in-the-Middle-Angriffe weiter – die Kommunikation vom Client zum Anwendungsserver erfolgt über eine gesicherte VPN-Verbindung – und reicht bis zu Kernel-, Download- oder Screen-Capture-Exploits. In diesem Fall haben die Exploits keine Auswirkungen, weil der Protected App Client völlig unabhängig vom Windows-Betriebssystem ist und der Root of Trust unterhalb des Betriebssystems liegt. Damit ist Protected App die optimale Ergänzung von PAM-Lösungen – zusammen implementiert schließen sie auch das Risiko eines kompromittierten Endgeräts aus und ermöglichen End-to-End-geschützte privilegierte Zugriffe.