- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

Mangelhafte Verwaltung von Administratorrechten


CyberArk nennt Best Practices für die Benutzerrechte-Verwaltung und Applikationskontrolle
Auf Basis von Best Practices können Unternehmen ihre Angriffsfläche verkleinern und sich zuverlässig vor internen wie externen Bedrohungen schützen



Die mangelhafte Verwaltung von Administratorrechten und unzureichende Überwachung von Applikationen stellen für jedes Unternehmen erhebliche Sicherheitsrisiken dar. CyberArk stellt in einem neuen E-Book Best Practices für die Entwicklung eines mehrstufigen Sicherheitsmodells vor, das hohen Schutz bietet und IT-Teams entscheidend entlastet.

Admins dürfen in vielen Unternehmen alles, sie verfügen häufig über uneingeschränkte Privilegien. Das ist zwar bequem, aber nicht ohne Risiko. Denn einige Administratoren besitzen weitaus mehr Privilegien, als sie für ihre tatsächliche Arbeit benötigen. Solche "Superuser-Accounts" sind allein schon deshalb problematisch, da sie zu den interessantesten Hacker-Zielen gehören. Wer erst einmal einen privilegierten Account erobert hat, kann beliebigen Schaden im Unternehmen anrichten. Doch auch normale Anwender erhalten in vielen Unternehmen Admin-Privilegien oder zumindest zusätzliche Benutzerrechte, oft nur aus einem Grund: um die IT-Teams zu entlasten. Auch hier ist die Gefahr groß, dass solche Konten missbräuchlich genutzt werden – oft nicht bewusst vom autorisierten Anwender, sondern im Rahmen einer Cyber-Attacke von außen.

Zudem stellen Applikationen, die nicht ausreichend überwacht werden, eine Gefahr für die IT-Sicherheit dar. So ist es zum Beispiel möglich, dass eine schädliche Anwendung mit Malware auch ohne erhöhte Berechtigung ausgeführt wird und ein Netzwerk kompromittiert.

CyberArk empfiehlt Unternehmen angesichts dieser Herausforderungen die Umsetzung eines mehrstufigen Sicherheitsmodells. Voraussetzung dafür ist eine anpassbare Lösung, mit der die Verwaltung von Administratorrechten und die Kontrolle von Anwendungen automatisiert werden können.

Im Einzelnen empfiehlt CyberArk, bei der Lösungsauswahl die folgenden Best Practices zu beachten:

1. Automatische Richtlinienerstellung zur Privilegien- und Anwendungskontrolle
Die Lösung sollte automatisch vertrauenswürdige Anwendungen bestimmen, die für ihre Ausführung nötigen Rechte ermitteln und darauf aufbauend Richtlinien erstellen, um IT-Teams wertvolle Zeit zu sparen.

2. Bedarfsorientierte Erweiterung von Benutzerrechten
Die Lösung sollte die Möglichkeit bieten, Rechte basierend auf Richtlinien bedarfsorientiert zu vergeben, um die Produktivität von Fachanwendern zu gewährleisten, ohne die Angriffsfläche zu vergrößern.

3. Festlegung granularer Least-Privilege-Richtlinien für Windows-Administratoren
Mithilfe der Lösung sollte sich granular kontrollieren lassen, welche Befehle und Aufgaben ein IT-Administrator abhängig von seiner Rolle ausführen darf, um eine effektive Funktionstrennung umzusetzen und das Risiko von Insider- und zielgerichteten Attacken zu verringern.

4. Überwachte Ausführung von Anwendungen
Die Lösung sollte die nahtlose Ausführung vertrauenswürdiger Anwendungen in der IT-Umgebung erlauben sowie automatisch schädliche Anwendungen blockieren und Rechte bei unbekannten Anwendungen einschränken. Optional sollten sich zudem strikte Whitelist-Richtlinien durchsetzen lassen.

5. Zentrales Repository für Zugangsdaten der Administratoren
Mit der Lösung sollte sich der Zugriff auf lokale Administrator- und Domänen-Administratorkonten kontrollieren lassen, die administrativen Zugriff auf Windows-Endgeräte und -Server gestatten. Die Zugangsdaten sollten in einem sicheren, zentralen Repository gespeichert werden, das starke Zugriffskontrollen unterstützt und Revisionssicherheit bietet.

6. Automatische Änderung von Passwörtern nach jeder Nutzung
Passwörter von Administratoren sollten nach jeder Verwendung automatisch geändert werden können, um möglicherweise von Keyloggern ausgelesene Anmeldedaten ungültig zu machen und das Risiko von Pass-the-Hash-Angriffen zu reduzieren.

7. Überwachung aller Administratorkonten
Die Lösung muss sämtliche Aktivitäten in Verbindung mit Administratorkonten überwachen können, um schnell Unregelmäßigkeiten zu erkennen und zu melden. Damit kann unter Umständen auch ein laufender Angriff unterbunden werden.

"Auf Basis dieser Best Practices können Unternehmen ihre Angriffsfläche verkleinern und sich zuverlässig vor internen wie externen Bedrohungen schützen, und zwar ohne die Produktivität von Nutzern zu beeinträchtigen oder IT-Teams zu überlasten", erklärt Michael Kleist, Regional Director DACH bei CyberArk in Düsseldorf. (CyberArk: ra)

eingetragen: 07.06.16
Home & Newsletterlauf: 23.06.16


CyberArk: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.