Cyber-Ark: Missbrauch von Superuser-Accounts bedroht Unternehmens-IT
User-Accounts von Administratoren und sogenannten Superusern verfügen über weitreichende Rechte, die in falschen Händen ein Unternehmen gefährden können. Aus diesem Grund befassen sich neben der internen IT-Revision auch verschiedene Compliance-Richtlinien mit solchen Accounts. Unternehmen werden gemäß Basel II, SAS70, ISO 27001, PCI-DSS und dem Sarbanes-Oxley-Act dazu angehalten, den Zugriff auf solche Nutzerkennungen genau zu überwachen. Kontrollorgane wie Wirtschaftsprüfer oder BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) überprüfen, ob ausreichende Maßnahmen dafür getroffen werden.
Diese Überwachung wird durch die schiere Menge an Superuser-Accounts erschwert. Jede Anwendung und jedes System verfügt über Admin-Accounts – davon kann ein einzelner kompromittierter Account als Einfallstor in die Unternehmens-IT dienen. Begünstigt wird das, wenn die Aktivitäten von Superusern nicht dokumentiert werden oder wenn die Accounts gleich mehreren Personen zur Verfügung stehen. Zudem führt der regelmäßige Wechsel der Passwörter bei vielen zu überwachenden Superuser-Accounts zu einem erheblichen administrativen Aufwand und unterbleibt daher häufig ganz.
Verschiedene Situationen begünstigen die missbräuchliche Nutzung von privilegierten Accounts. Vor allem in wirtschaftlich flauen Zeiten versuchen skrupellose Unternehmen, Kosten etwa in der Produktentwicklung einzusparen, und sich durch Wirtschaftsspionage einen Wettbewerbsvorteil zu verschaffen. Beliebt ist dann die Ausspähung von Mitarbeiterpasswörtern durch Social Engineering. Hier nutzt ein Angreifer Informationen über sein Opfer und manipuliert es, um an Geschäftsgeheimnisse zu gelangen.
Die Gefahr geht aber nicht nur von proaktiven Versuchen des Wettbewerbs aus: Bei einer schlechten Motivationslage der Mitarbeiter oder einer daraus resultierenden verstärkten Mitarbeiterfluktuation – ob aus Sorge um die finanzielle Zukunft oder auch aus Rache – werden Angestellte vor allem bei Kündigungen empfänglich für Wirtschaftsspionage. Manche Experten schätzen, dass über die Hälfte der scheidenden Angestellten vertrauliche Daten ihres Arbeitgebers mitgehen lassen. Hinzu kommt, dass ein Großteil auch nach Verlassen des Unternehmens immer noch Zugang zu internen Daten hat – damit ist dem Missbrauch Tür und Tor geöffnet. Meistens geschieht das unbemerkt, wenn keine Tracking-Software zur Überwachung von Dateizugriffen im Einsatz ist. Bemerkbar hingegen sind Sabotage-Akte, die neben der reinen Datenspionage auftreten können. In diesem Fall sind ungewöhnliche Veränderungen am Datenbestand ein Indiz für unbefugten Zugriff.
Neben den eigenen Mitarbeitern sollten externe Administratoren bei der Risikoabschätzung nicht vergessen werden. Wenn eine Beratungsfirma die Administration übernimmt, ist die Gefahr dort zwar geringer, doch kann bei Beschäftigung vieler unabhängiger externer Administratoren ohne Festsetzung von Kontrollmechanismen oder strikten Regeln zum Datenschutz ein potentieller Missbrauch von Account-Informationen nicht ausgeschlossen werden.
Um IT-Verantwortlichen die sichere Verwendung von Superuser-Kennungen zu erleichtern, bietet Cyber-Ark die Privileged Identity Management Suite (PIM) an. Die Suite wird zwischen Anwender und Account geschaltet und stellt die Zugriffskontrolle für privilegierte Accounts durch Einweg-IDs sicher, überwacht die Aktivitäten und verwaltet die Zugriffsdaten von Administratoren.
Die Lösung deckt außer dem Shared Account/Software Account Password Management (SAPM) auch das Superuser Privilege Management (SUPM) ab und eignet sich damit als zentrales Tool für die Verwaltung sämtlicher privilegierter User-Accounts eines Unternehmens. PIM besteht aus vier Komponenten. Der Enterprise Password Vault fungiert als „Tresor für Passwörter“, in dem Zugriffskennungen sicher hinterlegt und einem policy-gesteuerten, permanenten Wechsel unterzogen werden. Der Privileged Session Manager steuert und überwacht sämtliche Zugriffe und Vorgänge von privilegierten Usern. Mit dem On-Demand Privileges Manager ist die Überwachung und individuelle, granulare Steuerung der Rechte von Superusern auf Unix-Systemen möglich. Der Application Identity Manager übernimmt bei automatisierten Zugriffen durch Anwendungen die Aufgabe, Anwendungen den Umgang mit dynamischen Passwörtern, beispielsweise in Datenbanken, zu ermöglichen.
Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn, erläutert: ”Meistens entstehen Bedrohungen durch den Missbrauch privilegierter Nutzerkennungen allmählich. Unternehmen sollten dem vorbeugen und ihre Daten und somit ihren Unternehmenserfolg von Anfang an schützen.”
Über Cyber-Ark
Das 1999 gegründete Unternehmen Cyber-Ark ist Marktführer im Bereich „Privileged Identity Management“. Cyber-Ark entwickelt und vertreibt auf Basis der patentierten Vaulting-Technologie Software-Lösungen zur Sicherung von vertraulichen und geheimen Informationen wie zum Beispiel Forschungsergebnissen, Finanzdaten oder Passwörtern von IT-Administratoren. Der Hauptsitz des Unternehmens befindet sich in Newton (Massachusetts, USA). In Deutschland ist Cyber-Ark seit 2008 mit einer eigenen Niederlassung vertreten.
Weitere Informationen:
Cyber-Ark Software Ltd.
Jochen Koehler
Director of Sales DACH
Tel. +49-7131-6441095
Fax +49-7131-6441096
jochen.koehler@cyber-ark.com
www.cyber-ark.com
PR-COM GmbH
Arlett Lutz
Account Manager
Tel. +49-89-59997-813
Fax +49-89-59997-999
arlett.lutz@pr-com.de
www.pr-com.de