Privilegierte User kaum kontrolliert

Die Studie, kürzlich auf der RSA Conference Europe in London (siehe Kasten) vom britischen Marktforschungshaus Quocirca und Sponsor CA vorgestellt, hat gezeigt: Rund die Hälfte der befragten Unternehmen geht mit der Kontrolle privilegierter User - also etwa der Administratoren, die Root-Zugriffsrechte auf Server oder Geräte haben - viel zu nachlässig um. Dabei sind die Accounts privilegierter Anwender ein bevorzugtes Angriffsziel - und deren mangelnde Kontrolle verstärkt im Visier von Compliance-Auditoren.

Dave Hansen, Leiter der Division Sicherheitsprodukte beim IT-Management-Softwarekonzern CA, kann sich noch an Zeiten erinnern, als sich Rechenzentrums-Audits vor allem um Fragen drehten wie: Hängen die Feuerlöscher an der richtigen Stelle? Sind die Fluchtwege auch nicht versperrt? Doch nicht nur die IT hat in den letzten Jahren eine rasante Entwicklung erlebt, Gleiches gilt für die Prüfung von IT-Einrichtungen durch Sachverständige. Dass ein Unternehmen Firewalls, VPNs und Intrusion Detection installiert hat, wird heute ebenso vorausgesetzt wie die physische Kontrolle am Eingangstor.

Beflügelt durch einschlägige Gesetzgebung aus den USA und auf europäischer Ebene legen Compliance-Prüfer inzwischen schärfere Maßstäbe an: Heute interessieren sich Auditoren zum Beispiel dafür, welche Benutzer auf welche Informationen zugreifen können - sowie wer diese Zugriffe kontrolliert. Besonders schaut man da auf jene Anwender, deren Fehlverhalten den größten Schaden anrichten kann: Datenbank-, Server- und Netzwerkadministratoren sowie Anwender von Business-Applikationen mit umfänglichen Nutzungsrechten.

Status quo: die Grauzone

Gerade in diesem sensiblen Bereich haben zahlreiche Unternehmen bisher aber zu wenig Vorsorge getroffen und bewegen sich in einer rechtlichen Grauzone - sogar oft jene, die sich für eine ISO-27001-Prüfung gut gerüstet sehen. Auf diese prekäre Situation richtete die Quocirca-Studie "Privileged User Management: It's Time to Take Control" ein Schlaglicht: Etwa jedes zweite befragte Unternehmen bekäme in puncto Privileged User Management (PUM) bei einem Audit die Anweisung "Schleunigst nachbessern!"

Von den 207 befragten IT-Verantwortlichen erklärten rund 60 %, den ISO-27001-Standard als Referenzrahmen für den sicheren IT-Betrieb implementiert zu haben oder zumindest in der Implementierung begriffen zu sein. Dennoch gab rund die Hälfte der Befragten an, dass ihre Administratoren sich Applikationen oder das Netzwerk Passwörter teilen ("Password Sharing"). Pikant: Sogar 41 % derer, die für sich ISO-27001-Konformität reklamierten, dulden diese verbreitete Praxis - und sogar 36 % der ISO-zertifizierten Unternehmen.

Dabei schreiben Regelwerke wie ISO 27001 explizit vor, dass die Zuweisung von Privilegien beschränkt und kontrolliert zu erfolgen hat. "Beschränkt" heißt hier, nur jene Rechte zu vergeben, die der Anwender tatsächlich für seine Aufgabe benötigt - auch dies ein gerne vernachlässigtes, weil arbeitsaufwändiges Prinzip. Und "kontrolliert" bedeutet, dass die ausgeführten Aktionen nachprüfbar sein müssen. Beim Passwort-Sharing ist dies aber bestenfalls schwierig, im schlimmsten Fall unmöglich.

Hinzu kommt, dass gemeinsam genutzte Passwörter oft sehr schwach sind: Schließlich müssen sich mehrere Anwender an diese Passwörter erinnern können. Da muss es schon etwas Naheliegendes sein: wenn nicht gleich das Default-Passwort, dann doch wenigstens "Server" oder "Switch". Hacker wissen das.

Interne und externe Angreifer

Dass ein privilegierter Anwender seine Rechte für das Ausspionieren von Daten oder Sabotage missbraucht, ist nur das eine große Risiko; das zweite besteht in Hacker- oder Social-Engineer-Angriffen, die gerne auf privilegierte Accounts zielen: Warum das Konto eines normalen Anwenders knacken, wenn man mit dem gleichen Aufwand Root-Zugriff bekommen kann?

Ein professioneller Wirtschaftsspion wird einen Admin-Account kapern, sich die gewünschten Daten verschaffen und unauffällig wieder verschwinden. Hier kann man den entstehenden Schaden nur schätzen. In die Zeitungen schaffen es hingegen immer wieder Fälle privilegierter Benutzer, die aus Habgier oder Rachsucht übermütig wurden.

So ging zum Beispiel im Januar 2008 der Fall von Jérôme Kerviel durch die Presse, der seiner Bank Société Générale einen Verlust von 4,9 Mrd. Euro beschert hat. Kerviel soll dazu ohne Berechtigung Handelspositionen im Wert von 50 Mrd. Euro aufgebaut haben. Dazu hat er offenbar Privileged-User-Rechte benutzt, die er in einer IT-Position erhalten hatte, bevor er Broker wurde.

Ebenfalls für Schlagzeilen sorgte ein Unix-Administrator Anfang 2009: Er hatte nach Beendigung seines Vertrags bei der US-Bausparkasse Fannie Mae Schadcode installiert; wäre dieser nicht entdeckt worden, hätte er die Root-Passwörter von 4.000 Servern gelöscht. "Gerade Privileged-User-Konten, die nach Ende der Tätigkeit fortbestehen, bieten in zahlreichen Unternehmen ein scheunentorgroßes Angriffsziel", kommentierte Dave Hansen von CA auf der Londoner Konferenz den Fall.

Zwar gibt es heute PUM-Lösungen, die solche Accounts automatisiert monitoren und diese Lücken schließen. Allerdings sträuben sich viele IT-Abteilungen dagegen - haben sie sich diese Rechte schließlich einst selbst zugewiesen. Ein PUM-Projekt erfordert deshalb externe Berater für die Implementierung. Zugleich muss man aber die hauseigene IT-Truppe mit an den Tisch holen und Widerstände abbauen. Schließlich soll sich niemand bevormundet und ausspioniert fühlen.

Eine PUM-Lösung bringt der IT-Abteilung zwar ein gewisses, durch Richtlinien vorgegebenes Maß an Überwachung, aber zugleich auch Vorteile: Bei einem Sicherheitsvorfall will ein Administrator nachweisen können, dass er selbst nicht beteiligt war. Da ist dann eine PUM-Lösung Feuerlöscher und nicht versperrter Fluchtweg zugleich.