Privilegierte Nutzerkonten als grosse Gefahr
Privilegien für Anwendungen
Neben den internen Administratoren und Super-Usern verfügen auch externe IT-Dienstleister, Service Provider, Entwickler oder externe Partner (zum Beispiel Zulieferer, Vertriebspartner, Kunden) über Konten, mit denen sie die Integrität von Daten, Systemen oder kompletten Prozessen beeinflussen können. Da privilegierte Accounts häufig auch anonymisiert (Benutzername: Admin) sind, nutzen mehrere Personen denselben Account. So lässt sich nicht nachvollziehen, wer welche Aktion ausgeführt hat. Zudem gibt es in den meisten Unternehmen mehr Anwendungen, die einen privilegierten Zugriff für die Ausführung von Aufgaben benötigen, als Mitarbeiter mit privilegierten Zugriffsrechten.
„Damit sind nicht nur die Passwörter von Administratoren und anderen Super-Usern relevant für die Sicherheit, sondern auch Software- und System-Accounts, also auch in Anwendungen, Skripten oder Konfigurationsdateien gespeicherte Passwörter. Diese liegen oft im Klartext vor und werden nur selten geändert“, sagt Pascal Jacober. Hinzu kommt, dass immer mehr IT-Systeme, IoT-Geräte oder auch Steuerungs-Software etwa für Industrieanlagen über offene Schnittstellen automatisiert miteinander kommunizieren, Geschäftsprozesse ausführen und Daten austauschen. Für den Zugriff auf Business-Applikationen oder geschäftskritische Daten benötigen die Maschinen oder Software-Roboter Zugangsdaten, oft sogar privilegierte Rechte. Auch diese Zugangsdaten sind für Hacker ein attraktives Ziel.
Das Problem: Vielen Unternehmen ist nur unzureichend bekannt, in welchen IT-Bereichen sich privilegierte Accounts und Zugangsdaten überhaupt befinden. Das zeigt der aktuelle „CyberArk Global Advanced Threat Landscape 2019 Report“, der schwerpunktmässig die Themen Privileged-Access-Management-Strategien und -Lösungen im Unternehmenseinsatz untersucht. Nur 40 Prozent nannten Desktops, Notebooks und mobile Geräte, 37 Prozent IoT, 36 Prozent geschäftskritische Applikationen wie ERP- oder CRM-Systeme und 34 Prozent IaaS- und PaaS-Umgebungen. Nur 28 Prozent ordnen RPA privilegierte Konten zu, 22 Prozent Containern. Allerdings finden sich privilegierte Accounts und Zugangsdaten in allen genannten Bereichen.
Unterschätzte Gefahren
„Diese Unkenntnis hinsichtlich des Verbreitungsgrades privilegierter Benutzerkonten und Zugangsdaten ist besorgniserregend. Nach wie vor unterschätzen Unternehmen die mit Cloud, IoT, RPA oder DevOps verbundenen Sicherheitsgefahren. Für Angreifer besteht dadurch oft ein leichtes Spiel, denn sie kennen diese Schwachstellen offenbar besser als die Unternehmen“, erklärt Michael Kleist, Regional Director DACH bei CyberArk. „Ohne eine durchgängige Privileged-Access-Management-Strategie, die zentrale Einfallstore für Angriffe schliesst, bleibt ein Unternehmen hochgradig gefährdet.“
“"Ohne eine durchgängie Privileged-Access-Management-Strategie, die zentrale Einfallstore für Angriffe schließt, bleibt ein Unternehmen hochgradig gefährdet"„
Der Umfrage von CyberArk zufolge nutzen immerhin rund 60 Prozent der befragten deutschen Unternehmen eine Privileged-Access-Management-Lösung. Die restlichen 40 Prozent setzen hingegen auf Verfahren wie die Speicherung von Passwörtern in Word- oder Excel-Dokumenten auf Shared-Servern, Notebooks oder auf USB-Sticks. Ein regelmässiger, manueller Wechsel der Passwörter ist damit nahezu unmöglich, da in Unternehmen oft Hunderte von Systemen existieren, auf die mit privilegierten Zugangsdaten zugegriffen wird. Und manuelle Prozesse sind zeitaufwändig und oft fehlerhaft.
Ein weiteres interessantes Ergebnis des Threat Landscape Reports von CyberArk: Obwohl 96 Prozent der Befragten erklären, dass die IT-Infrastruktur und kritische Daten erst dann vollständig geschützt sind, wenn privilegierte Konten und Zugangsdaten gesichert sind, verfolgen viele Firmen keine durchgängige PAM-Strategie. Nur 47 Prozent haben eine entsprechende Strategie für geschäftskritische Applikationen, 42 Prozent für Cloud-Infrastrukturen. Noch schlechter sieht es beim Thema IoT aus (33 Prozent).
Risiko lokale Admin-Rechte
Darüber hinaus unterschätzen viele Unternehmen auch das Risiko von lokalen Administratorrechten auf dem PC, der immer noch das Einfallstor Nummer 1 für Hacker darstellt. Jeder Rechner in einer Firma enthält standardmässig integrierte Administratorkonten. Oft werden Hunderte von Rechnern mit einem identischen Passwort verwaltet, das nicht regelmässig geändert wird. Zudem ist das Passwort oft auch dem Endanwender bekannt. „Jeder Nutzer mit lokalen Windows-Administratorrechten kann praktisch uneingeschränkt agieren. Er kann nicht-lizenzierte Software herunterladen, jedes mögliche Programm verwenden oder Systemkonfigurationen ändern“, sagt Michael Kleist.
Brandgefährlich wird es, wenn Angreifer in den Besitz lokaler Administratorrechte gelangen. Denn dann können sie weitere Zugangsdaten entwenden und sich sukzessive durch das Firmennetz bewegen, bis sie etwa in den Besitz von Domain-Administrator-Accounts oder anderen privilegierten Benutzerkonten gelangen. Dadurch erhalten Angreifer Zugriff auf die gesamte IT-Infrastruktur.
„Firmen sollten diese lokalen Administratorrechte entziehen, um grossangelegte Cyber-Angriffe bereits im Keim zu ersticken“, so Kleist. „Diese Massnahme ist ein erster Schritt bei der Reduzierung der potenziellen Angriffsfläche. Zudem sollten Unternehmen als Teil jeder Security-Initiative eine umfassende Lösung zum Verwalten, Überwachen und Sichern von privilegierten Konten und Zugangsdaten implementieren.“