ANZEIGE

EN
BeyondTrust
Heise The Register
Angriff auf die Passwörter

Angriff auf die Passwörter

Passwort-Management für privilegierte Nutzerkonten - warum das wichtig ist, welcher Schaden droht und mehr

Privilegierte Nutzerkonten managen ohne Paranoia

Jeder hasst Passwörter - außer diejenigen, die sie missbrauchen

Der Missbrauch privilegierter Nutzerkonten ist das Pulverfass im Herzen der Netzwerke, das jederzeit hochgehen kann. Die Beispiele der letzten Zeit reichen vom NSA-Insider Edward Snowden, über das Pwning der Handelsketten Target und Home Depot, bis hin zu den ungezählten APT-Hacks (Advanced Persistent Threat, „fortgeschrittene, andauernde Bedrohung“), denen sich Unternehmen im ganzen uns bekannten Universum ausgesetzt sehen. Bei jedem dieser Vorfälle waren irgendwann ungeschützte Passwörter im Spiel, die Legitimation, mit der sich die Götter der Netzwerke - auch als Admins bekannt - ausweisen. In den falschen Händen stellt ein einfaches Passwort für eine kritische Ressource einen Freibrief dar; in den richtigen Händen ist es immer noch ein Risiko, das ein Unternehmen letztlich im Vertrauen eingeht. Kaum zu glauben, dass Passwörter einmal als simple Schlüssel gesehen wurden. Heute lassen sie sich leicht gegen ihre Besitzer wenden und öffnen die Türen ins Herz eines Unternehmens. Es ist zu befürchten, dass die IT-Abteilungen jede Menge dieser Schlüssel in verschiedenen privilegierten Nutzerkonten verpackt haben, die jetzt an allen Ecken hochpoppen. Zu diesen Konten/Anmeldedaten zählen:

  • Wartungskonten
  • A2A-Konten (Application-to-Application)
  • Standardkonten auf Geräten
  • Konten von privilegierten Netzwerk-Admins („root“ in Linux)
  • Konten von Domänen-Admins
  • Externe und Web-Konten
  • „Fest verdrahtete“ Passwörter
  • Passwörter/Anmeldedaten für Cloud-Anwendungen

Auf einige davon haben auch Drittanbieter über spezielle Systeme Zugang, ebenso Dienstleister und Zeitarbeiter, die privilegierten Zugang benötigen, um ihre Arbeit via RDP, SSH oder Telnet erledigen zu können. Wenn Passwörter so viele Probleme bereiten: Warum um alles in der Welt setzen Unternehmen weiterhin so sehr auf sie? Eine Antwort ist, dass das Passwort ein universelles und - meistens - kostengünstiges Mittel ist. Die Mitarbeiter wissen, wie man damit umgeht, und die Anwendungen sind auf die Nutzung von Passwörtern vorbereitet. Passwörter lassen sich mit zusätzlichen Sicherheitsvorkehrungen stärken, beispielsweise mit Zwei-Faktor-Authentisierung und Single-Sign-on (SSO, damit erlaubt ein Login den Zugriff auf mehrere Dienste). Was aber so verführerisch bleibt, ist die konzeptionelle Reinheit des Passworts. Das Problem ist, dass manche Passwörter mehr Macht verleihen und mehr Risiko in sich bergen als andere. Eine zunehmend orthodoxe Antwort sind Passwort-Managementsysteme, die immer mehr Unternehmen zum Schutz der Anmeldedaten einsetzen. Vor gar nicht so langer Zeit wäre diese Funktion kaum mehr als ein statisches System gewesen, wahrscheinlich so simpel wie eine per Passwort geschützte Tabelle, in der die Admins und ihre jeweiligen Passwörter aufgeführt sind. Angesichts heutiger Cyberangriffe ist ein solcher Ansatz von vornherein zum Scheitern verurteilt. Die zeitgemäße Lösung ist ein Managementsystem, das die zunehmend komplexen Prozesse rund um Passwörter und Anmeldedaten automatisiert. Die Bandbreite solcher Systeme reicht von abgesicherten digitalen Passwort-Tresoren bis hin zu umfassenden Anmelde- und Überwachungssystemen, die auch Ressourcen wie SSH-Schlüssel und digitale Zertifikate verwalten. Dabei gilt es zu unterscheiden zwischen Tools, die Passwort-Regelungen für sämtliche Nutzer durchsetzen (komplexe Passwörter erfordern und Passwort-Änderungen managen), und solchen, die das für privilegierte Nutzer tun. Letzteres ist anspruchsvoller, da die betroffenen Konten zum Umgehen der Kontrollen missbraucht werden können. Die Implementierungen variieren von Anbieter zu Anbieter. Gute Systeme sollten ein oder mehrere Features aus einer Liste empfohlener Funktionen bieten.

Kontenerkennung (Account Discovery)

Die Grundlage jedes Passwort-Managementsystems ist eine umfassende Übersicht über alle privilegierten Nutzerkonten für sämtliche Ressourcen im Unternehmen. Die Konten werden typischerweise nach der Umgebung unterteilt (z. B. Windows-Domäne, Linux- oder virtualisierte Server, spezielle Geräte). Außerdem werden die Konten nach der Kontenart unterteilt (z. B. privilegiert, gemeinsam genutzt, etc.). Dabei ist es entscheidend, dass nicht nur sämtliche Nutzerkonten aufgelistet werden, sondern auch eventuell vergessene Konten aufgespürt werden, die vielleicht sogar seit dem Jahre Null bestehen. Empfohlen werden auch regelmäßige Scans nach neuen Nutzerkonten, insbesondere nach solchen, die in einem Windows Active Directory versteckt sind.

Passwort-Lebensdauer (Password Lifecycle)

Privilegierte Passwörter sollten selbstverständlich regelmäßig geändert werden und sowohl komplex als auch ausreichend lang sein. Es gilt hier, eine Balance zu finden zwischen Komfort (nicht zu häufige Änderungen und nicht zu lange Passwörter) und Sicherheit (zweckmäßige Regelungen). Statische Passwörter für Servicekonten dürfen nicht erlaubt sein, außerdem sollten die Passwörter nur verschlüsselt übertragen und gespeichert werden.

Automatisierung

Manuelle Eingriffe sollten bei wichtigen Operationen untersagt sein, beispielsweise beim Überwachen, dass die Passwortregelungen eingehalten werden. Das gilt auch für die Durchsetzung zusätzlicher Sicherheitsprüfungen und für zeitliche Begrenzungen bei kritischen Kontoarten. Wenn Mitarbeiter Zugang zu speziellen Ressourcen benötigen, kann das auch durch das Passwort-Management vermittelt werden. Die Möglichkeit, „fest verdrahtete“ Passwörter zu ändern, ohne Prozesse zu unterbrechen, ist ebenfalls von Bedeutung.

Passwort- und Sitzungsmonitoring

Das hat mehrere Dimensionen: So muss überwacht werden, wann Passwörter durch privilegierte Nutzer geändert werden - also die Funktion „die Überwachenden überwachen“, sodass kein einzelner privilegierter Nutzer die Sicherheitsregelungen umgehen kann. Außerdem wird Sitzungsmonitoring zunehmend als wichtige neue Dimension des Passwort-Managements gesehen, da damit ein umfassenderes Bild gewonnen werden kann, wie privilegierte Anmeldedaten zur Echtzeiterkennung von Anomalien genutzt werden. Wie immer geht es um mehr als einfach nur die Beobachtung, wie die Nutzerkonten verwendet werden: Die Systeme müssen auch forensische Protokollierung unterstützen, für den Fall, dass später Untersuchungen notwendig sind. Das kann die Aufzeichnung von Tasteneingaben und sogar Videoaufzeichnungen umfassen. Das Monitoring erfolgt normalerweise agentenlos, die aufgezeichneten Sitzungen werden verschlüsselt gespeichert; einfache Suchfunktionen helfen beim Abruf der Protokolle. Eine Option ist die Integration mit SIEM-Plattformen zur automatisierten Benachrichtigung.

Reporting und Auditing

Eine zentrale Funktion einer jeden Plattform ist das Reporting, das eine Übersicht darüber liefert, wie die privilegierten Konten und ihre Passwörter genutzt werden, inklusive der Änderungen innerhalb eines bestimmten Zeitraums. Diese Daten müssen vor Manipulation geschützt werden, außerdem darf der Zugriff nur über festgelegte IP-Adressen erfolgen. Einige gesetzliche Regelungen verlangen, dass die Kennwörter bestimmte Kriterien erfüllen. So sind bei PCI DSS zwingend Passwörter mit einem Minimum von sieben Zeichen und bestimmten Komplexitätskriterien erforderlich, die Passwörter müssen innerhalb von 90 Tagen geändert werden.

Fazit

Privilegierte Passwörter bieten sehr weitgehende Berechtigungen, sind aber nur eine Erlaubnis auf Zeit - und nicht die gottgleichen Privilegien, die jemand im Unternehmen hat, weil er sie schon immer hatte. Die Administratoren, die diese Berechtigungen innehaben, sind mächtig, aber nicht unfehlbar - und sie müssen deshalb genauso behandelt werden wie alle anderen auch.

BeyondTrust PowerBroker

BeyondTrust PowerBroker

KuppingerCole Report

DOWNLOAD HERE