CyberArk: Die Vielfalt privilegierter Benutzerkonten wird unterschätzt

Password Image – Hi Res

Welche unterschiedlichen privilegierten Benutzerkonten gibt es überhaupt und wo befinden sie sich in unserem Unternehmen? Nach wie vor herrscht bei vielen Unternehmen hinsichtlich dieser Fragen Unklarheit. Ein Ratgeber von CyberArk bringt Licht ins Dunkel.

Vor der Sicherung, Verwaltung und Überwachung privilegierter Benutzerkonten müssen sie zunächst zuverlässig identifiziert werden, und das betrifft alle Kontenarten mit erweiterten Rechten. „Bei vielen Unternehmen werden privilegierte Konten immer noch mit IT-Administrator- oder Superuser-Accounts gleichgesetzt, doch das greift eindeutig zu kurz“, erklärt Christian Götz, Regional Professional Services Manager DACH bei CyberArk in Heilbronn. „Zu den privilegierten Benutzerkonten gehören beispielsweise auch Application- und Service-Accounts. Sie stellen ebenfalls eine erhebliche Schwachstelle dar, wenn sie nicht gesichert und überwacht werden.“

Sicherheitssoftware-Anbieter CyberArk gibt einen Überblick über die wichtigsten Arten von privilegierten Konten:

  • Privilegierte administrative Benutzerkonten

Sie sind die in Unternehmensnetzwerken am häufigsten vorkommenden Typen von privilegierten Konten. Über sie erfolgt die Verwaltung und Steuerung der gesamten IT-Infrastruktur, von Servern über Datenbanken bis hin zu den Netzwerkgeräten. Besonders problematisch sind dabei die so genannten Shared-Accounts, bei denen dasselbe Passwort durch mehrere Administratoren genutzt wird. Dadurch kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat, das heißt eine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene ist nicht möglich.

  • Lokale Administrator-Konten

Sie ermöglichen einen administrativen Zugriff beispielsweise auf Windows-Arbeitsplatzrechner. Oft wird dabei ein identisches Passwort für alle Geräte der jeweiligen Plattform verwendet. Ein derart weit verbreitetes Passwort bietet ein einfaches Ziel für fortschrittliche Angriffe.

  • Domain-Administrator-Accounts

Sie ermöglichen einen privilegierten administrativen Zugriff auf sämtliche Arbeitsplatzrechner und Server einer Domäne. In der Regel gibt es zwar nur eine begrenzte Anzahl dieser Konten, aber auch sie eröffnen weitreichende Zugriffsmöglichkeiten im Netzwerk und stellen deshalb ein hohes Sicherheitsrisiko dar.

  • Notfall-Benutzerkonten

Über sie erhalten Anwender ohne besondere Berechtigungen bei Bedarf einen administrativen Zugriff auf Unternehmenssysteme. Die Nutzung solcher Konten erfordert aus Sicherheitsgründen meistens eine Genehmigung eines Vorgesetzten. Es handelt sich dabei um ein wenig effizientes manuelles Verfahren, das zudem nicht auditierbar ist.

  • Application-Accounts

Sie werden von Anwendungen für die Ausführung von Batch-Jobs und Scripts oder den Zugriff auf Datenbanken und andere Anwendungen verwendet. Über diese privilegierten Benutzerkonten ist in der Regel ein umfassender Zugriff auf Unternehmensdaten und -anwendungen sowie Datenbanken möglich. Da die Passwörter häufig in Applikationen, Scripts, Windows-Services oder Batch-Jobs unverschlüsselt in Klartext eingebettet sind, bilden diese Accounts ebenfalls eine gravierende Lücke der Unternehmens-IT.

  • Service-Accounts

Auch Konten für Systemdienste, die als privilegierte lokale oder Domain-Accounts vorhanden sein können, sind zu berücksichtigen. Normalerweise werden bei ihnen die Zugangsdaten nur selten geändert, da Passwort-Änderungen bei Active-Directory- oder Domain-Service-Accounts zusätzlich eine systemübergreifende Koordination erfordern. Damit steigt aber auch das Sicherheitsrisiko für Unternehmen.

„Dass viele Unternehmen oft nicht genau wissen, welche Arten von privilegierten Benutzerkonten es überhaupt gibt, ist aber nur eine Seite der Medaille“, ergänzt Christian Götz. „Ebenso problematisch ist, dass sie vielfach auch die Anzahl dieser Benutzerkonten deutlich unterschätzen. So belegen beispielsweise unsere Erfahrungswerte mit rund 1.800 Kunden weltweit, dass in Unternehmen oft dreimal mehr privilegierte Konten als Mitarbeiter vorhanden sind. Und dessen sind sich immer noch die wenigsten IT-Verantwortlichen bewusst.“

Weitere Informationen zu zentralen Fragen der IT wie „Was sind privilegierte Accounts?“, „Wo befinden sie sich?“ und „Wie können sie gesichert und verwaltet werden?“ gibt der Best-Practice-Ratgeber „Privileged Account Security – Ein Leitfaden für die erfolgreiche Implementierung“ von CyberArk. Er steht zum Download zur Verfügung unter http://www.cyberark.de/resource/privileged-account-security-ein-leitfaden-fuer-die-erfolgreiche-implementierung.