20091112m CA Privileged User Management

 Home | News | Hefte | Mediadaten | Online-Artikel | Kommentare | Trends | Wir-ueber-uns | Tipps | Impressum | CeBIT 2012

 

Home
News
Trends
Hefte
Online-Artikel
Kommentare
Service-Angebote
Feedback
Abonnement
Wir-ueber-uns
Tipps
Impressum
Veranstaltungen

»manage it« als

 E-Paper  5-6 2011
E-Paper  3-4 2011
E-Paper  1-2 2011
E-Paper  11-12 2010
 E-Paper  9-10 2010
 E-Paper  7-8 2010
 E-Paper  5-6 2010
 

 

 

 

 

 

 

 

 

Privileged User Management

Auch Kontrolleure müssen kontrolliert werden

Kein Unternehmen kommt ohne sie aus: Superuser, die mit privilegierten Rechten auf IT-Systeme zugreifen. Besondere Rechte erfordern aber auch besondere Schutzmaßnahmen. Denn ohne ein Privileged User Management öffnen Unternehmen Angriffen von innen und außen Tür und Tor.

 

V

ertrauen ist gut, Kontrolle ist besser: Nach diesem Motto regeln Unternehmen den Zugriff von Endanwendern auf IT-Systeme. Die Kontrolle über diese Zugriffe übernehmen Administratoren in der IT-Organisation. Sie warten und pflegen beispielsweise Systeme, Netzwerke, Applikationen, Datenbanken oder Sicherheitseinrichtungen und stellen sicher, dass Endanwender nur mit den ihnen zugewiesenen Berechtigungen auf den IT-Systemen arbeiten.

Auch die Administratoren sind letztlich nur User der IT-Systeme. Um ihre Arbeit erledigen zu können, erhalten sie jedoch umfangreiche und privilegierte Zugangsrechte. Diese gehen weit über die Rechte hinaus, die normale Endanwender besitzen. So können sie beispielsweise fast alle Verzeichnisse anlegen, lesen oder löschen, auf Rechner und Peripherie zugreifen oder Webzugänge festlegen und ändern. Letztlich können Administratoren sensible, unternehmenskritische Daten einsehen und manipulieren sowie Nutzerprofile anlegen und ändern.

Ziel für Angriffe von außen ...

Die Kehrseite der Medaille: Administratoren-Accounts sind bevorzugtes Ziel von Hacker-Angriffen, weil sie ihnen das Tor zur IT-Infrastruktur und zu kritischen Unternehmensdaten weit öffnen. Deswegen müsste die Arbeit dieser Superuser noch besser überwacht werden als die der Endanwender. Doch genau das Gegenteil ist der Fall. Für Superuser scheint zu gelten: Kontrolle wäre gut, Vertrauen ist besser.

Das belegt auch eine aktuelle Studie, die Quocirca im Auftrag von CA durchgeführt hat [1]. Danach gibt jedes zweite befragte Unternehmen zu, dass Superuser ihre Daten für den Zugang auch an andere Superuser weitergeben. Selbst bei Unternehmen, die Administrations-Standards nach ISO27001 implementiert haben, wissen 41 Prozent, dass in ihrem Unternehmen privilegierte Benutzerkonten gemeinsam benutzt werden.

Auch der fahrlässige Gebrauch von Standardnamen oder Passwörtern für die Superuser steht auf der Mängelliste. Werden Datenbanken oder Anwendungen neu implementiert, haben sie in der Regel standardisierte Accounts für Superuser, die wegen der Standardisierung natürlich weithin bekannt sind. Einige Unternehmen »öffnen« aus Fahrlässigkeit oder Bequemlichkeit dieses Hacker-Schlupfloch, indem sie diese Voreinstellungen nicht ändern.

Alles nur Theorie? Der englische Hacker Gary McKinnon konnte sich in die IT-Systeme des Pentagons einhacken, weil das Amerikanische Verteidigungsministerium seine Superuser-Accounts auf den Standardeinstellungen belassen hatte.

... und für Angriffe von innen

Der fahrlässige Umgang mit Superuser-Rechten ist die eine Seite. Die andere Seite ist die große Gefahr, die von Superusern ausgeht, wenn sie ihre Privilegien bewusst gegen das Unternehmen einsetzen. Hier einige Beispiele:

-          2007 hat ein Datenbank-Administrator des amerikanischen Finanzdienstleisters Fidelity National Information Services rund 2,3 Millionen Kreditkarten-Datensätze entwendet und an einen Daten-Broker verkauft.

-          Der Börsenhändler Jérôme Kerviel erleichterte die französische Bank Société Générale um 4,9 Milliarden Euro. Er konnte seine Manipulationen über einige Jahre verschleiern, weil er vorher als IT-Administrator mit Superuser-Rechten gearbeitet hatte und ihm diese Rechte nicht entzogen wurde, als er auf das Börsenparkett wechselte.

-          Roger Duronio, ehemaliger Systemadministrator der Schweizer Bank UBS, wurde 2006 wegen Sabotage gegen die IT-Systeme der Bank verurteilt. Er hatte sich vorher mit der Bank nicht über sein Gehalt einigen können.

-          Ein Unix-Spezialist der amerikanischen Hypothekenbank Fanny Mae wurde im Januar 2009 angeklagt, weil er versucht hatte, die Server der Bank außer Gefecht zu setzen. Seine Superuser-Rechte wurden nicht gelöscht, nachdem die Bank seinen Vertrag nicht verlängert hatte. So konnte er ein Script aufspielen. Wäre dieses Script mit dem Angriffscode nicht zufällig entdeckt worden, hätte es Alarmmeldungen und Logins außer Kraft gesetzt, die Root-Passwörter für 4.000 Server gelöscht und alle Daten sowie deren Backups mit Nullen überschrieben.

Automatisiertes Account Management

Die Beispiele zeigen, dass Unternehmen sich selbst gefährden, wenn sie keine Maßnahmen zur Überwachung und Kontrolle der privilegierten User einführen. Um sie und ihre Zugriffe zu kontrollieren und zu protokollieren, bieten sich IT-Lösungen an, die das Management der privilegierten Accounts (Privileged User Management – PUM) weitestgehend automatisieren. Mit PUM regeln Unternehmen, wer auf geschäftskritische Daten zugreift oder IT-Systeme verwaltet. Sie entscheiden aktiv und nehmen das Heft selbst in die Hand – bevor es Angreifer von innen oder außen tun können.

Bestandteil von PUM-Lösungen sind sehr fein justierbare Zugriffskontrollen. Sie sorgen beispielsweise dafür, dass

-          auch ein Superuser nur passgenau die Zugriffsrechte erhält, die er für seine Arbeit benötigt,

-          ein Mitarbeiter nicht zwei oder mehr Rollen erhalten kann,

-          ein Auditor nicht nur sehen kann, welcher Superuser sich wann eingeloggt hat, sondern auch, was er nach dem Login getan hat.

Richtlinienbasierte Kontrolle

Ein solch umfangreiches Privileged User Management ermöglicht die neue Version von CA Access Control 12.5 Sie unterstützt ein regelkonformes Compliance Management durch eine richtlinienbasierte Kontrolle der privilegierten User. Darüber hinaus prüft sie, auf welche Systemressourcen sie zugreifen und welche Operationen sie durchführen. Die neuen CA-Access-Control-Funktionen enthalten:

-          ein Passwort- Management für privilegierte Nutzer mit zeitlich befristeten Passwörtern,

-          einen Unix Authentication Broker, der die Berechtigungsnachweise von Unix-Nutzern mit Hilfe des Microsoft Active Directorys prüft sowie

-          eine zentralen Konsole, die alle Informationen über ein Web-Interface zusammen führt und damit die Richtlinien-Administration vereinfacht.

Einen Stolperstein aber muss jede PUM-Lösung noch aus dem Weg räumen: Sie wird von den Mitarbeitern implementiert, die durch die Lösung überwacht werden. Deswegen müssen die IT-Spezialisten motiviert werden, auch ihre eigenen Aktivitäten zu kontrollieren. Für diejenigen, die sich nie etwas zu Schulden kommen lassen würden, mag das kontraproduktiv und vielleicht sogar nach generellem Misstrauen klingen.

Ihnen muss jedoch verdeutlicht werden, das PUM die ‚schwarzen Schafe‘ unter den Administratoren herausfiltert. Und sie müssen erkennen, dass PUM nicht nur unternehmenskritische Daten, sondern auch die Superuser selbst schützt: Sie geraten nicht mehr ungerechtfertigt unter den Generalverdacht »Es könnte jeder gewesen sein...«, wenn etwas schief gelaufen ist.

Kurt Denk

____________________________________

Kurt Denk, Senior Customer Solutions Architect, CA Deutschland GmbH

____________________________________

[1] Privileged User Management The benefits for IT managers of controlling and monitoring their own activities (Read the full report)

 

 

 

Priviledged User Password Management

 

 

 

 

 

In welchen Bereichen werden in ihrem Unternehmen privilegierte Benutzerkonten gemeinsam benutzt?

(270 Befragte)

 

Folgen Sie »manage it«

auf Google+

 

 

 

 

 
Copyright © 2003-2012  ap Verlag GmbH