M. Johannes, Norbert Pohlmann (Institut für Internet-Sicherheit): “Maßnahmen zur Vermeidung von Überberechtigungen – Wie Unternehmen die Angriffsfläche reduzieren können”, IT-Sicherheit-Mittelstandsmagazin für Informationssicherheit und Datenschutz, DATAKONTEXT-Fachverlag, 1/2024 Maßnahmen zur Vermeidung von Überberechtigungen: Die Existenz überberechtigter Konten gefährdet die IT-Sicherheit von Unternehmen. Unsere Autoren erklären, was überberechtigte Konten sind, wie diese entstehen und welche Gegenmaßnahmen IT-Verantwortliche umsetzen können, um die Angriffsfläche zu reduzieren. Ein weltweit bekannter Angriff, bei dem übermäßige Berechtigungen ausgenutzt wurden, war der Datendiebstahl bei der NSA durch Edward Snowden im Jahr 2013 [1]. Snowden nutzte Administratorrechte und eine ständig wachsende Berechtigungsansammlung aus. Über sein selbst entwickeltes „Heartbeat“-System erhielt er Zugang zu vielen Geheimdienstinformationen der NSA sowie zu weiteren Daten der CIA, des FBI und dem „Joint Worldwide Intelligence Communications System“. Die Menge an Berechtigungen, über die Snowden zuletzt verfügte, war deutlich höher, als er für die Erfüllung seiner Aufgaben bei der NSA benötigte.
Der Softwarehersteller Fortra gibt in seinem „Zero Trust Security Report 2023“ an, dass bei 10 Prozent der befragten Unternehmen alle Benutzer überberechtigt sind [2]. Bei 46 Prozent waren einige Nutzer überberechtigt und bei 33 Prozent einige wenige. Lediglich 9 Prozent antworteten, dass keine überberechtigten Konten existieren. Trotz des hohen Anteils von 89 Prozent, bei dem es laut Report mindestens einige wenige Überberechtigungen gibt, meinten 47 Prozent, dass überberechtigte Konten ein Problem darstellen.
Eine Umfrage vom Institut für Internet-Sicherheit – if(is) mit fünf relevanten Unternehmen bestätigt, dass die Risikowahrnehmung dem bestehenden Risiko von Überberechtigungen nicht gerecht wird. Obwohl in allen fünf befragten Unternehmen überberechtigte Konten vorlagen, existierte bei vier der Unternehmen kein Risikobewusstsein. Drei der fünf Unternehmen waren mindestens von einem IT-Sicherheitsvorfall betroffen. Diese drei Unternehmen gaben an, dass die IT-Sicherheitsvorfälle auf Überberechtigungen zurückzuführen waren.
Die Zahlen zeigen, dass Unternehmen die Ursache von Sicherheitsvorfällen nicht ausreichend ernst nehmen und das Risiko von überberechtigten Konten keine bewusste Wahrnehmung erfährt. Was sind Überberechtigungen in der Unternehmens-IT? Über Nutzerkonten wird Mitarbeitern der Zugriff auf notwenige IT-Systeme ermöglicht, um entsprechende Aufgaben in einem Unternehmen bearbeiten zu können [2]. Hierbei existieren verschiedene Berechtigungsgranularitäten. Unprivilegierte oder normale Berechtigungen, wie beispielsweise bei Standard-Nutzerkonten, verfügen über eine begrenzte Anzahl von Berechtigungen. Somit können die Mitarbeiter ihre Aufgaben im Unternehmen erfüllen. Dazu zählen zum Beispiel das Ausführen und Beenden bestimmter und für die Aufgabe notwendiger Programme sowie die Nutzung des Unternehmensnetzes.
Privilegierte Nutzerkonten haben hingegen mehr Rechte als andere. Root- oder Administratorkonten mit uneingeschränkten Berechtigungen fallen hierunter ebenso wie Konten mit der Befugnis auf IT-Systemen sensible Daten einzusehen, Software zu installieren oder Einstellungen zu verändern. Je mehr Berechtigungen ein Konto besitzt, desto kritischer ist das IT-Sicherheitsrisiko einzustufen.
Wird die Berechtigungsgranularität eines Nutzerkontos verändert, so erhält ein unprivilegiertes Standard Nutzerkonto möglicherweise dieselben Berechtigungen wie ein erweitertes Nutzerkonto. Dem Nutzer stehen dadurch mehr Berechtigungen zur Verfügung, als dieser für die Bewältigung der Aufgaben benötigt. Das Konto ist somit überberechtigt und erhöht das Risiko für die Unternehmens-IT. Die Berechtigungsvergabe findet häufig über Systemadministratoren statt. Mithilfe ihrer Erfahrungen und Analysemöglichkeiten sollen angestrebte IT-Sicherheitsrichtlinien in der Unternehmens-IT umgesetzt werden. Über ein Rechte- und Rollenkonzept werden die Berechtigungsgranularitäten jedes Nutzerkontos so festgelegt, dass nur die benötigte Menge an Berechtigungen vergeben ist, die für die anfallenden Aufgaben notwendig ist.
Allerdings kommt es in der Unternehmens-IT im Laufe der Zeit zu Veränderungen. Mitarbeiter treten karrierebedingt eine neue Rolle an oder erhalten temporär eine organisatorische Rolle dazu. Vergebene Berechtigungen werden aufgrund der Informationsmenge und des Zeitaufwandes häufig nicht als aktuelle Notwendigkeiten geprüft, Dokumentationen zur Nachverfolgung nicht erstellt und IT-Sicherheitsrichtlinien keinen strengen Prozessen unterzogen.
Das Resultat sind IT-Sicherheitsrichtlinien, die nicht richtig umgesetzt sind. Es entstehen Fehlkonfigurationen, weil zu viele Berechtigungen vergeben werden. Diese Überberechtigungen verstoßen gegen die angestrebten IT-Sicherheitsziele und Sicherheitserwartungen der Unternehmens-IT.
…
kostenlos downloaden
Weitere Informationen zum Thema “Maßnahmen zur Vermeidung von Überberechtigungen”
„Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln – Sicher, vertrauenswürdig und dezentral“
„Sharing is Caring: Towards Analyzing Attack Surfaces on Shared Hosting Providers“ „Angriffe auf die Künstliche Intelligenz – Bedrohungen und Schutzmaßnahmen“ „Dreiklang der IT-Sicherheit: Menschen, Prozesse, Technologie“ „Modern Endpoint Security – Mehr Schutz vor Angriffen“ „Die Notwendigkeit von neuen IT-Sicherheitskonzepten“
„Lehrbuch Cyber-Sicherheit“
„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“ „Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“ „Trusted Computing – Ein Weg zu neuen IT-Sicherheitsarchitekturen“
„Vorlesungen zum Lehrbuch Cyber-Sicherheit“
„Die Notwendigkeit von neuen IT Sicherheitskonzepten – Zero Trust“ „Cyber-Sicherheit braucht Künstliche Intelligenz“ „Vortrag: Cyber-Sicherheitsstrategien“ „Internet Security Survey 2024“ „Neue IT-Sicherheitskonzepte“
„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“
„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“ „Marktplatz IT-Sicherheit“ „Marktplatz IT-Sicherheit: IT-Notfall“ „Marktplatz IT-Sicherheit: IT-Sicherheitstools“ „Marktplatz IT-Sicherheit: Selbstlernangebot“ „Marktplatz IT-Sicherheit: Köpfe der IT-Sicherheit“ „Vertrauenswürdigkeits-Plattform“
„SecAware.nrw ist online“
„Auch Studierende sind ein Angriffspunkt“ „Was wir in der Cybersicherheit angehen müssen“ „IT-Sicherheitstag 2022 – Der Weg zu einem guten Schutz“
„The German Smart City Market 2021-2026“
„Internetwirtschaft 2020–2025: Der Start in eine digitale Dekade der Superlative“ „Gaia-X-sichere und vertrauenswürdige Ökosysteme mit souveränen Identitäten“
„Cyber-Sicherheit braucht mehr Fokus“
„Das Manifest zur IT-Sicherheit“
„IT-Sicherheitsstrategie für Deutschland“ „IT-Sicherheit für NRW 4.0 – Gemeinsam ins digitale Zeitalter. Aber sicher.“
„IT-Sicherheit“
„Cyber-Sicherheit“ „Cyber-Sicherheitstrategien“ „Informationssicherheit“ „Angriffsfläche“ „Datenschutz“ | 
