EU-DSGVO Tipps
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Gastartikel - Michael Kleist, CyberArk

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht unmittelbar vor der Tür. Für den Start umfassender Sicherheitsprojekte ist es längst zu spät, aber einige proaktive Sofortmaßnahmen mindern das Risiko der Vorgabenverletzung erheblich.

Ab Ende Mai 2018 gilt in allen EU-Mitgliedsstaaten die neue Datenschutz-Grundverordnung. Nur die wenigsten Unternehmen sind vermutlich optimal aufgestellt, um alle Anforderungen abzudecken. Die Verordnung beinhaltet etliche konkrete Maßnahmen, die auf den Schutz personenbezogener Daten abzielen; sie umfasst etwa die Datenminimierung, die Pseudonymisierung oder auch die Begrenzung von Zugriffsberechtigungen. Und dieser letzte Punkt ist von erheblicher Relevanz, wie ein Blick auf die aktuelle Bedrohungslandschaft schnell zeigt.

Zwei Schwachstellen dominieren

Zwei zentrale IT-Schwachstellen kristallisieren sich heraus. Erstens belegen zahlreiche Untersuchungen, dass vor allem privilegierte Benutzerkonten, wie sie etwa Administratoren besitzen, ein zentrales Einfallstor für Insider- und Cyber-Attacken darstellen. Ein Großteil aller Fälle von Datenmissbrauch und -diebstahl ist darauf zurückzuführen, dass Angreifer nach Überwindung der Firewall einen weitreichenden Administrations-Zugriff auf IT-Systeme erbeuten; gerade die Zugangsdaten von Windows-Domain-Administratoren sind ein beliebtes Ziel. Mit ihnen können Angreifer im Unternehmensnetzwerk wie Administratoren agieren und auf jede Datei zugreifen und sich selbst beliebige Berechtigungen erstellen. Zweitens erlauben immer mehr Unternehmen externen Dienstleistern einen privilegierten Remote-Zugriff auf das interne Netzwerk, etwa zu Wartungszwecken. Dieser Punkt ist vor allem deshalb relevant, weil nach Schätzungen 40 bis 60 Prozent der Cyber-Sicherheitsvorfälle auf Schwachstellen zurückzuführen sind, für die Dritte verantwortlich sind.

Die Verwaltung und Überwachung privilegierter Benutzerkonten sollte somit im Zentrum jeder Sicherheitsinitiative stehen. Es handelt sich dabei prinzipiell um keine triviale Aufgabe, da eine typische IT-Umgebung aus zahlreichen Servern, Datenbanken und Netzwerkgeräten besteht, die über persönliche, häufig aber auch über generische, manchmal sogar lokale Administrator-Konten gesteuert und verwaltet werden.

Schnell zum Ziel

Ein Großteil der Gefahren kann aber bereits mit geringem Aufwand und in kürzester Zeit abgewehrt werden. In einem ersten Schritt sollte die IT Sicherungsmaßnahmen für den Schutz privilegierter Zugangsdaten der Windows-Domäne implementieren. Ganz allgemein charakterisieren drei zentrale Aufgaben diese Implementierungsphase. Erstens sind die Accounts zu identifizieren; ohne großen Zeitaufwand können die Administrator-Accounts in Windows mithilfe des Active Directory und der lokalen Administrator-Gruppen ermittelt werden. Zweitens sollte zunächst vor allem auf die Accounts mit dem größten Risiko fokussiert werden. Es geht dabei um die Verwaltung und Sicherung der Accounts mit den umfangreichsten Rechten, etwa Domain-Administrator-Accounts und Administrator-Accounts. Drittens sollte die IT als Sofortmaßnahme nur initiale Kontrollmechanismen implementieren, die dann erst im Laufe der Zeit erweitert werden; ein möglicher Startpunkt ist, den Accounts für Workstation-Nutzer administrative Privilegien zu entziehen.

Proaktive Sofortmaßnahmen zur Verbesserung des Schutzes privilegierter Zugangsdaten und schnellen Risikoreduzierung beinhalten konkret folgende Punkte:

  • die Ablage und automatisierte Verwaltung und Rotation von Ad-ministrator-Passwörtern in einem sicheren Speicher, einem so genannten Vault
  • die Multifaktor-Authentifizierung für den Zugriff auf Anmeldeinformationen
  • die Verwaltung von Konten nach dem "Least-Privilege"-Prinzip, das heißt Verwendung von Administrator-Konten ausschließlich für
administrative Tätigkeiten und restriktive Vergabe von Berechtigungen, die Endanwender für ihre Tätigkeit maximal benötigen
  • die Implementierung einer Lösung zur Detektion verdächtiger privilegierter Aktivitäten in Echtzeit.

Bereits mit diesen ersten Maßnahmen realisieren Unternehmen ein deutlich höheres Sicherheitsniveau – ganz im Sinne der kommenden Datenschutz-Grundverordnung. Und der damit verbundene Zeit- und Kostenaufwand sprengt keineswegs den Rahmen.

* Michael Kleist ist Regional Director DACH bei CyberArk in Düsseldorf

Übrigens: Weitere Informationen zur EU-DSGVO haben wir hier für Sie gesammelt.

Mehr Artikel zum Thema: EU-DSGVO Tipps

Österreichischer DSGVO-Spezialist eröffnet Niederlassung in Deutschland

Das junge österreichische Unternehmen Intervalid hat sich...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

Datensilos werden zum Problem

Ein schneller Zugriff auf konsistente Datenbestände ist für...

Weiterlesen

DSGVO aus Sicht der Informatiker

Die Informatik-Experten Michael Sonntag und Reinhard Posch...

Weiterlesen

85% verpassen DSGVO-Deadline

Obwohl die Regulierung in einer Woche anwendbar wird,...

Weiterlesen

nic.at beschränkt Whois-Abfragen

In Hinblick auf die DSGVO hat die Domain-Registry nic.at...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Überlegen, was Kunden interessiert

Ein Suchmaschinen-Treffer steht heute zumeist am Anfang...

Weiterlesen

Kein Freibrief für Datenschutzverstöße

Wir haben den Rechtsanwalt Gerald Ganzger gefragt, welche...

Weiterlesen

DSGVO: Ein zahnloser Löwe?

Knapp einen Monat vor dem Stichtag der EU-DSGVO am 25. Mai...

Weiterlesen

DSAG löst Datenschutz-Fragezeichen

Es soll immer noch Unternehmen geben, die im freien Fall auf...

Weiterlesen

"Das ist ein Wahnsinn"

"Wir brauchen drei bis sechs Monate, um gute Leute auf...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

Keine Angst vor digitaler Transformation mit VDI

Virtual Desktop Infrastructure bzw. Desktop-Virtualisierung...

Weiterlesen

Vorsicht, Open-Source-Falle!

Die Euphorie rund um das 20-jährige Open-Source-Jubiläum ist...

Weiterlesen

Datenschutz bei der DSAG

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) macht auch vor...

Weiterlesen

DRACOON ist EU-DSGVO-ready

DRACOON, Experte im Bereich Enterprise Filesharing, erhält...

Weiterlesen

Best Architecture Practices für Kettle und IoT

Was müssen Verantwortliche von Pentaho Data Integration...

Weiterlesen

66 Prozent schützen Office-365-Umgebung nicht!

Barracuda hat kürzlich eine Umfrage unter seinen...

Weiterlesen