CyberArk: Die Vielfalt privilegierter Benutzerkonten wird unterschätzt
Vor der Sicherung, Verwaltung und Überwachung privilegierter Benutzerkonten müssen sie zunächst zuverlässig identifiziert werden, und das betrifft alle Kontenarten mit erweiterten Rechten. „Bei vielen Unternehmen werden privilegierte Konten immer noch mit IT-Administrator- oder Superuser-Accounts gleichgesetzt, doch das greift eindeutig zu kurz“, erklärt Christian Götz, Regional Professional Services Manager DACH bei CyberArk in Heilbronn. „Zu den privilegierten Benutzerkonten gehören beispielsweise auch Application- und Service-Accounts. Sie stellen ebenfalls eine erhebliche Schwachstelle dar, wenn sie nicht gesichert und überwacht werden.“
Sicherheitssoftware-Anbieter CyberArk gibt einen Überblick über die wichtigsten Arten von privilegierten Konten:
- Privilegierte administrative Benutzerkonten
Sie sind die in Unternehmensnetzwerken am häufigsten vorkommenden Typen von privilegierten Konten. Über sie erfolgt die Verwaltung und Steuerung der gesamten IT-Infrastruktur, von Servern über Datenbanken bis hin zu den Netzwerkgeräten. Besonders problematisch sind dabei die so genannten Shared-Accounts, bei denen dasselbe Passwort durch mehrere Administratoren genutzt wird. Dadurch kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat, das heißt eine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene ist nicht möglich.
- Lokale Administrator-Konten
Sie ermöglichen einen administrativen Zugriff beispielsweise auf Windows-Arbeitsplatzrechner. Oft wird dabei ein identisches Passwort für alle Geräte der jeweiligen Plattform verwendet. Ein derart weit verbreitetes Passwort bietet ein einfaches Ziel für fortschrittliche Angriffe.
- Domain-Administrator-Accounts
Sie ermöglichen einen privilegierten administrativen Zugriff auf sämtliche Arbeitsplatzrechner und Server einer Domäne. In der Regel gibt es zwar nur eine begrenzte Anzahl dieser Konten, aber auch sie eröffnen weitreichende Zugriffsmöglichkeiten im Netzwerk und stellen deshalb ein hohes Sicherheitsrisiko dar.
- Notfall-Benutzerkonten
Über sie erhalten Anwender ohne besondere Berechtigungen bei Bedarf einen administrativen Zugriff auf Unternehmenssysteme. Die Nutzung solcher Konten erfordert aus Sicherheitsgründen meistens eine Genehmigung eines Vorgesetzten. Es handelt sich dabei um ein wenig effizientes manuelles Verfahren, das zudem nicht auditierbar ist.
- Application-Accounts
Sie werden von Anwendungen für die Ausführung von Batch-Jobs und Scripts oder den Zugriff auf Datenbanken und andere Anwendungen verwendet. Über diese privilegierten Benutzerkonten ist in der Regel ein umfassender Zugriff auf Unternehmensdaten und -anwendungen sowie Datenbanken möglich. Da die Passwörter häufig in Applikationen, Scripts, Windows-Services oder Batch-Jobs unverschlüsselt in Klartext eingebettet sind, bilden diese Accounts ebenfalls eine gravierende Lücke der Unternehmens-IT.
- Service-Accounts
Auch Konten für Systemdienste, die als privilegierte lokale oder Domain-Accounts vorhanden sein können, sind zu berücksichtigen. Normalerweise werden bei ihnen die Zugangsdaten nur selten geändert, da Passwort-Änderungen bei Active-Directory- oder Domain-Service-Accounts zusätzlich eine systemübergreifende Koordination erfordern. Damit steigt aber auch das Sicherheitsrisiko für Unternehmen.
„Dass viele Unternehmen oft nicht genau wissen, welche Arten von privilegierten Benutzerkonten es überhaupt gibt, ist aber nur eine Seite der Medaille“, ergänzt Christian Götz. „Ebenso problematisch ist, dass sie vielfach auch die Anzahl dieser Benutzerkonten deutlich unterschätzen. So belegen beispielsweise unsere Erfahrungswerte mit rund 1.800 Kunden weltweit, dass in Unternehmen oft dreimal mehr privilegierte Konten als Mitarbeiter vorhanden sind. Und dessen sind sich immer noch die wenigsten IT-Verantwortlichen bewusst.“
Weitere Informationen zu zentralen Fragen der IT wie „Was sind privilegierte Accounts?“, „Wo befinden sie sich?“ und „Wie können sie gesichert und verwaltet werden?“ gibt der Best-Practice-Ratgeber „Privileged Account Security – Ein Leitfaden für die erfolgreiche Implementierung“ von CyberArk. Er steht zum Download zur Verfügung unter www.cyberark.de/resource/privileged-account-security-ein-leitfaden-fuer-die-erfolgreiche-implementierung.
Über CyberArk
CyberArk (NASDAQ: CYBR) ist auf den Schutz vor fortschrittlichen Cyber-Attacken spezialisiert, die Schwächen in der Berechtigungs-vergabe für privilegierte Zugriffe auf IT-Systeme ausnutzen und damit das Unternehmen direkt ins Herz treffen. Rund ein Drittel der DAX-30- und 20 der Euro-Stoxx-50-Unternehmen sowie 17 der weltweit führenden Banken nutzen die Lösungen von CyberArk zum Schutz ihrer kritischen Daten, Infrastrukturen und Anwendungen. Das Unternehmen hat seinen Hauptsitz in Petach Tikvah (Israel) und Newton (Massachusetts, USA) und verfügt über weltweite Niederlassungen. In Deutschland ist CyberArk mit einem Standort in Heilbronn vertreten. Weitere Informationen unter www.cyberark.de, im Unternehmens-Blog unter www.cyberark.com/blog, auf Twitter unter @CyberArk, auf Facebook unter www.facebook.com/CyberArk sowie auf Xing unter www.xing.com/companies/cyberarksoftwaregmbh.
Weitere Informationen
CyberArk Software GmbH
Patricia Buchholz
Marketing Manager DACH & ME
Tel. +49-7131-88735319
patricia.buchholz@cyberark.com
www.cyberark.de
PR-COM GmbH
Sandra Hofer
Account Director
Tel. +49-89-59997-800
Fax +49-89-59997-999
sandra.hofer@pr-com.de
www.pr-com.de