slider

Maßnahmen zur Vermeidung von Überberechtigungen – Wie Unternehmen die Angriffsflächen - Prof. Dr. Norbert Pohlmann

Maßnahmen zur Vermeidung von Überberechtigungen – Wie Unternehmen die Angriffsflächen reduzieren können

Maßnahmen zur Vermeidung von Überberechtigungen

M. Johannes, Norbert Pohlmann (Institut für Internet-Sicherheit): “Maßnahmen zur Vermeidung von Überberechtigungen – Wie Unternehmen die Angriffsfläche reduzieren können”, IT-Sicherheit-Mittelstandsmagazin für Informationssicherheit und Datenschutz, DATAKONTEXT-Fachverlag, 1/2024

Maßnahmen zur Vermeidung von Überberechtigungen: Die Existenz überberechtigter Konten gefährdet die IT-Sicherheit von Unternehmen. Unsere Autoren erklären, was überberechtigte Konten sind, wie diese entstehen und welche Gegenmaßnahmen IT-Verantwortliche umsetzen können, um die Angriffsfläche zu reduzieren.

Ein weltweit bekannter Angriff, bei dem übermäßige Berechtigungen ausgenutzt wurden, war der Datendiebstahl bei der NSA durch Edward Snowden im Jahr 2013 [1]. Snowden nutzte Administratorrechte und eine ständig wachsende Berechtigungsansammlung aus. Über sein selbst entwickeltes „Heartbeat“-System erhielt er Zugang zu vielen Geheimdienstinformationen der NSA sowie zu weiteren Daten der CIA, des FBI und dem „Joint Worldwide Intelligence Communications System“. Die Menge an Berechtigungen, über die Snowden zuletzt verfügte, war deutlich höher, als er für die Erfüllung seiner Aufgaben bei der NSA benötigte.
Der Softwarehersteller Fortra gibt in seinem „Zero Trust Security Report 2023“ an, dass bei 10 Prozent der befragten Unternehmen alle Benutzer überberechtigt sind [2]. Bei 46 Prozent waren einige Nutzer überberechtigt und bei 33 Prozent einige wenige. Lediglich 9 Prozent antworteten, dass keine überberechtigten Konten existieren. Trotz des hohen Anteils von 89 Prozent, bei dem es laut Report mindestens einige wenige Überberechtigungen gibt, meinten 47 Prozent, dass überberechtigte Konten ein Problem darstellen.
Eine Umfrage vom Institut für Internet-Sicherheit – if(is) mit fünf relevanten Unternehmen bestätigt, dass die Risikowahrnehmung dem bestehenden Risiko von Überberechtigungen nicht gerecht wird. Obwohl in allen fünf befragten Unternehmen überberechtigte Konten vorlagen, existierte bei vier der Unternehmen kein Risikobewusstsein. Drei der fünf Unternehmen waren mindestens von einem IT-Sicherheitsvorfall betroffen. Diese drei Unternehmen gaben an, dass die IT-Sicherheitsvorfälle auf Überberechtigungen zurückzuführen waren.
Die Zahlen zeigen, dass Unternehmen die Ursache von Sicherheitsvorfällen nicht ausreichend ernst nehmen und das Risiko von überberechtigten Konten keine bewusste Wahrnehmung erfährt.

Was sind Überberechtigungen in der Unternehmens-IT?

Über Nutzerkonten wird Mitarbeitern der Zugriff auf notwenige IT-Systeme ermöglicht, um entsprechende Aufgaben in einem Unternehmen bearbeiten zu können [2]. Hierbei existieren verschiedene Berechtigungsgranularitäten. Unprivilegierte oder normale Berechtigungen, wie beispielsweise bei Standard-Nutzerkonten, verfügen über eine begrenzte Anzahl von Berechtigungen. Somit können die Mitarbeiter ihre Aufgaben im Unternehmen erfüllen. Dazu zählen zum Beispiel das Ausführen und Beenden bestimmter und für die Aufgabe notwendiger Programme sowie die
Nutzung des Unternehmensnetzes.
Privilegierte Nutzerkonten haben hingegen mehr Rechte als andere. Root- oder Administratorkonten mit uneingeschränkten Berechtigungen fallen hierunter ebenso wie Konten mit der Befugnis auf IT-Systemen sensible Daten einzusehen, Software zu installieren oder Einstellungen zu verändern. Je mehr Berechtigungen ein Konto besitzt, desto kritischer ist das IT-Sicherheitsrisiko einzustufen.
Wird die Berechtigungsgranularität eines Nutzerkontos verändert, so erhält ein unprivilegiertes Standard Nutzerkonto möglicherweise dieselben Berechtigungen wie ein erweitertes Nutzerkonto. Dem Nutzer stehen dadurch mehr Berechtigungen zur Verfügung, als dieser für die Bewältigung der Aufgaben benötigt. Das Konto ist somit überberechtigt und erhöht das Risiko für die Unternehmens-IT.

Die Berechtigungsvergabe findet häufig über Systemadministratoren statt. Mithilfe ihrer Erfahrungen und Analysemöglichkeiten sollen angestrebte IT-Sicherheitsrichtlinien in der Unternehmens-IT umgesetzt werden. Über ein Rechte- und Rollenkonzept werden die Berechtigungsgranularitäten jedes Nutzerkontos so festgelegt, dass nur die benötigte Menge an Berechtigungen vergeben ist, die für die anfallenden Aufgaben notwendig ist.
Allerdings kommt es in der Unternehmens-IT im Laufe der Zeit zu Veränderungen. Mitarbeiter treten karrierebedingt eine neue Rolle an oder erhalten temporär eine organisatorische Rolle dazu. Vergebene Berechtigungen werden aufgrund der Informationsmenge und des Zeitaufwandes häufig nicht als aktuelle Notwendigkeiten geprüft, Dokumentationen zur Nachverfolgung nicht erstellt und IT-Sicherheitsrichtlinien keinen strengen Prozessen unterzogen.
Das Resultat sind IT-Sicherheitsrichtlinien, die nicht richtig umgesetzt sind. Es entstehen Fehlkonfigurationen, weil zu viele Berechtigungen vergeben werden. Diese Überberechtigungen verstoßen gegen die angestrebten IT-Sicherheitsziele und Sicherheitserwartungen der Unternehmens-IT.




kostenlos downloaden

Maßnahmen zur Vermeidung von Überberechtigungen
Maßnahmen zur Vermeidung von Überberechtigungen – Wie Unternehmen die Angriffsflächen reduzieren können Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten