Überberechtigungen - Prof. Dr. Norbert Pohlmann

Was sind Überberechtigungen?

Es wird von einer Überberechtigung von Nutzerkonten gesprochen, wenn ein Mitarbeiter mehr Rechte hat, als er für seine Aufgabe benötigt. Da die Existenz überberechtigter Konten die IT-Sicherheit von Unternehmen gefährdet, sollte diese vermieden werden.
Aufgrund der erhöhten Angriffsfläche durch überberechtigte Konten steigt der Angriffserfolg. Angriffe auf die Unternehmens-IT werden begünstigt und lösen dadurch mehr IT-Sicherheitsvorfälle mit enormen Schäden aus.

Über Nutzerkonten wird Mitarbeitern der Zugriff auf notwenige IT-Systeme ermöglicht, um entsprechende Aufgaben in einem Unternehmen bearbeiten zu können. Hierbei existieren verschiedene Berechtigungsgranularitäten. Unprivilegierte oder normale Berechtigungen, wie beispielsweise bei Standard-Nutzerkonten, verfügen über eine begrenzte Anzahl von Berechtigungen. Grundlegende und notwenige Aufgaben können damit im Unternehmen erfüllt werden. Dazu zählen das Ausführen und Beenden bestimmter und für die Aufgabe notwenige Programme, sowie die Nutzung des Unternehmensnetzes.

Privilegierte Nutzerkonten haben hingegen mehr Rechte als andere. Root- oder Administratorkonten mit uneingeschränkten Berechtigungen fallen hierunter, ebenso wie Konten mit der Befugnis auf IT-Systemen, sensible Daten einzusehen, Software zu installieren, oder Einstellungen zu verändern. Je mehr Berechtigungen ein Konto besitzt desto kritischer ist das Cyber-Sicherheitsrisiko einzustufen.

Wird die Berechtigungsgranularität eines Nutzerkontos verändert, so erhält ein unprivilegiertes Standard-Nutzerkonto möglicherweise dieselben Berechtigungen wie ein erweitertes Nutzerkonto (siehe Abbildung – angesammelte Berechtigungen). Dem Nutzer stehen dadurch mehr Berechtigungen zur Verfügung, als dieser für die Bewältigung der Aufgaben benötigt. Das Konto ist somit überberechtigt und erhöht das Risiko für die Unternehmens-IT.

Die Berechtigungsvergabe findet häufig über Systemadministratoren statt. Mithilfe ihrer Erfahrungen und Analysemöglichkeiten sollen angestrebte IT-Sicherheitsrichtlinien in der Unternehmens-IT umgesetzt werden. Über ein Rechte- und Rollenkonzept werden die Berechtigungsgranularitäten jedes Nutzerkontos so festgelegt, dass nur die benötigte Menge an Berechtigungen vergeben ist, die für die anfallenden Aufgaben notwendig ist.

Allerdings kommt es in der Unternehmens-IT im Laufe der Zeit zu Veränderungen. Mitarbeiter treten karrierebedingt eine neue Rolle an oder erhalten temporär eine organisatorische Rolle dazu. Vergebene Berechtigungen werden aufgrund der Informationsmenge und des Zeitaufwandes häufig nicht als aktuelle Notwendigkeiten geprüft, Dokumentationen zur Nachverfolgung nicht erstellt und IT-Sicherheitsrichtlinien keinen strengen Prozessen unterzogen.

Das Resultat sind IT-Sicherheitsrichtlinien, die nicht richtig umgesetzt sind. Es entstehen Fehlkonfigurationen, weil zu viele Berechtigungen vergeben werden. Diese Überberechtigungen verstoßen gegen die angestrebten Cyber-Sicherheitsziele und Sicherheitserwartungen der Unternehmens-IT.

Der Missstand überberechtigter Konten ist für den Systemadministrator schwierig zu erkennen und bleibt daher oft unbemerkt. Der überberechtigte Nutzer bemerkt dies ebenfalls nicht, da sich der Zugriff auf die jeweiligen IT-Systeme unscheinbar verhält. Ebenso stellen verwaiste Konten ehemaliger Mitarbeiter ein Problem dar, falls diese nicht gelöscht werden und dadurch ihre Berechtigungen behalten, die durch Angreifer genutzt werden können.

Weitere Informationen zum Begriff “Überberechtigungen“:

„Maßnahmen zur Vermeidung von Überberechtigungen – Wie Unternehmen die Angriffsflächen reduzieren können“

„Rüstzeug für mehr Security-Awareness – SecAware.nrw – das kostenlose Selbstlernangebot, nicht nur für Hochschulen“

„Vertrauen ist gut Reputationssysteme sind besser – Kollektive Intelligenz für die Bewertung von IT-Sicherheitslösungen“

„Warum auf lange Sicht IT die OT managen muss – Unterschiedliche Schutzziele unter einem Dach“

„A Large-Scale Study of Cookie Banner Interaction Tools and Their Impact on Users’ Privacy“

„Sharing is Caring: Towards Analyzing Attack Surfaces on Shared Hosting Providers“

„Artikel Confidential Computing – IT-Sicherheit und Datenschutz in der Cloud“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„Diskussion über die aktuelle Cyber-Sicherheitslage – politisch, technisch, rechtlich“

„Fakes, Malware, Security: Können die Sicherheitslücken geschlossen werden?“

„Marktplatz IT-Sicherheit – Gemeinsam für mehr IT-Sicherheit“

„Advanced Attacks – Übersicht und Handlungsmöglichkeiten“

„Vorstellung der eco Umfrage IT-Sicherheit 2024“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„Marktplatz IT-Sicherheit: IT-Notfall“

„Marktplatz IT-Sicherheit: IT-Sicherheitstools“

„Marktplatz IT-Sicherheit: Selbstlernangebot“

„Marktplatz IT-Sicherheit: Köpfe der IT-Sicherheit“

„Vertrauenswürdigkeits-Plattform“

Summary

Article Name

Überberechtigungen

Description

Wenn ein Mitarbeiter mehr IT-Rechte hat, als er für seine Aufgabe benötigt, wird von einer Überberechtigung gesprochen. Die Existenz überberechtigter Konten gefährdet die IT-Sicherheit von Unternehmen.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo