Superuser-Accounts bedrohen Unternehmens-IT Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


05.07.2011 pi

Superuser-Accounts bedrohen Unternehmens-IT

Administratoren-Accounts bergen bei Missbrauch durch ihre weitreichenden Rechte eine große Bedrohung für Unternehmen. Dieses Risiko vermeiden Privileged Identity Management-Lösungen.

User-Accounts von Administratoren und sogenannten Superusern verfügen über weitreichende Rechte, die in falschen Händen ein Unternehmen gefährden können. Aus diesem Grund befassen sich neben der internen IT-Revision auch verschiedene Compliance-Richtlinien mit solchen Accounts. Unternehmen werden gemäß Basel II, SAS70, ISO 27001, PCI-DSS und dem Sarbanes-Oxley-Act dazu angehalten, den Zugriff auf solche Nutzerkennungen genau zu überwachen. Kontrollorgane wie Wirtschaftsprüfer überprüfen, ob ausreichende Maßnahmen dafür getroffen werden.

Diese Überwachung wird durch die schiere Menge an Superuser-Accounts erschwert. Jede Anwendung und jedes System verfügt über Admin-Accounts – davon kann ein einzelner kompromittierter Account als Einfallstor in die Unternehmens-IT dienen. Begünstigt wird das, wenn die Aktivitäten von Superusern nicht dokumentiert werden oder wenn die Accounts gleich mehreren Personen zur Verfügung stehen. Zudem führt der regelmäßige Wechsel der Passwörter bei vielen zu überwachenden Superuser-Accounts zu einem erheblichen administrativen Aufwand und unterbleibt daher häufig ganz.

GEFAHR DURCH SOCIAL ENGINEERING Verschiedene Situationen begünstigen die missbräuchliche Nutzung von privilegierten Accounts. Vor allem in wirtschaftlich flauen Zeiten versuchen skrupellose Unternehmen, Kosten etwa in der Produktentwicklung einzusparen, und sich durch Wirtschaftsspionage einen Wettbewerbsvorteil zu verschaffen. Beliebt ist dann die Ausspähung von Mitarbeiterpasswörtern durch Social Engineering. Hier nutzt ein Angreifer Informationen über sein Opfer und manipuliert es, um an Geschäftsgeheimnisse zu gelangen.

Die Gefahr geht aber nicht nur von proaktiven Versuchen des Wettbewerbs aus: Bei einer schlechten Motivationslage der Mitarbeiter oder einer daraus resultierenden verstärkten Mitarbeiterfluktuation – ob aus Sorge um die finanzielle Zukunft oder auch aus Rache – werden Angestellte vor allem bei Kündigungen empfänglich für Wirtschaftsspionage. Manche Experten schätzen, dass über die Hälfte der scheidenden Angestellten vertrauliche Daten ihres Arbeitgebers mitgehen lassen. Hinzu kommt, dass ein Großteil auch nach Verlassen des Unternehmens immer noch Zugang zu internen Daten hat – damit ist dem Missbrauch Tür und Tor geöffnet. Meistens geschieht das unbemerkt, wenn keine Tracking-Software zur Überwachung von Dateizugriffen im Einsatz ist. Bemerkbar hingegen sind Sabotage-Akte, die neben der reinen Datenspionage auftreten können. In diesem Fall sind ungewöhnliche Veränderungen am Datenbestand ein Indiz für unbefugten Zugriff.

EXTERNE ADMINISTRATOREN Neben den eigenen Mitarbeitern sollten externe Administratoren bei der Risikoabschätzung nicht vergessen werden. Wenn eine Beratungsfirma die Administration übernimmt, ist die Gefahr dort zwar geringer, doch kann bei Beschäftigung vieler unabhängiger externer Administratoren ohne Festsetzung von Kontrollmechanismen oder strikten Regeln zum Datenschutz ein potentieller Missbrauch von Account-Informationen nicht ausgeschlossen werden.

Um IT-Verantwortlichen die sichere Verwendung von Superuser-Kennungen zu erleichtern, bietet beispielsweise Cyber-Ark eine Privileged Identity Management Suite (PIM) an. Die Suite wird zwischen Anwender und Account geschaltet und stellt die Zugriffskontrolle für privilegierte Accounts durch Einweg-IDs sicher, überwacht die Aktivitäten und verwaltet die Zugriffsdaten von Administratoren.

Die Lösung von Cyber-Ark deckt außer dem Shared Account/Software Account Password Management (SAPM) auch das Superuser Privilege Management (SUPM) ab und eignet sich damit als zentrales Tool für die Verwaltung sämtlicher privilegierter User-Accounts eines Unternehmens. PIM besteht aus vier Komponenten. Der Enterprise Password Vault fungiert als "Tresor für Passwörter", in dem Zugriffskennungen sicher hinterlegt und einem policy-gesteuerten, permanenten Wechsel unterzogen werden. Der Privileged Session Manager steuert und überwacht sämtliche Zugriffe und Vorgänge von privilegierten Usern. Mit dem On-Demand Privileges Manager ist die Überwachung und individuelle, granulare Steuerung der Rechte von Superusern auf Unix-Systemen möglich. Der Application Identity Manager übernimmt bei automatisierten Zugriffen durch Anwendungen die Aufgabe, Anwendungen den Umgang mit dynamischen Passwörtern, beispielsweise in Datenbanken, zu ermöglichen. (pi)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Service

Acceptance Testing: Trotz knapper Ressourcen

Zum Thema

  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr
  • DBConcepts GmbH. Die Oracle Experten.

    DBConcepts GmbH. Die Oracle Experten. Enterprise Application Integration, Datenbanken, Business Intelligence und Knowledge Management, Tools, Server-Betriebssysteme, Middleware, Betriebssysteme für PCs,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr

Hosted by:    Security Monitoring by: