EU-DSGVO Tipps
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Gastartikel - Michael Kleist, CyberArk

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht unmittelbar vor der Tür. Für den Start umfassender Sicherheitsprojekte ist es längst zu spät, aber einige proaktive Sofortmaßnahmen mindern das Risiko der Vorgabenverletzung erheblich.

Ab Ende Mai 2018 gilt in allen EU-Mitgliedsstaaten die neue Datenschutz-Grundverordnung. Nur die wenigsten Unternehmen sind vermutlich optimal aufgestellt, um alle Anforderungen abzudecken. Die Verordnung beinhaltet etliche konkrete Maßnahmen, die auf den Schutz personenbezogener Daten abzielen; sie umfasst etwa die Datenminimierung, die Pseudonymisierung oder auch die Begrenzung von Zugriffsberechtigungen. Und dieser letzte Punkt ist von erheblicher Relevanz, wie ein Blick auf die aktuelle Bedrohungslandschaft schnell zeigt.

Zwei Schwachstellen dominieren

Zwei zentrale IT-Schwachstellen kristallisieren sich heraus. Erstens belegen zahlreiche Untersuchungen, dass vor allem privilegierte Benutzerkonten, wie sie etwa Administratoren besitzen, ein zentrales Einfallstor für Insider- und Cyber-Attacken darstellen. Ein Großteil aller Fälle von Datenmissbrauch und -diebstahl ist darauf zurückzuführen, dass Angreifer nach Überwindung der Firewall einen weitreichenden Administrations-Zugriff auf IT-Systeme erbeuten; gerade die Zugangsdaten von Windows-Domain-Administratoren sind ein beliebtes Ziel. Mit ihnen können Angreifer im Unternehmensnetzwerk wie Administratoren agieren und auf jede Datei zugreifen und sich selbst beliebige Berechtigungen erstellen. Zweitens erlauben immer mehr Unternehmen externen Dienstleistern einen privilegierten Remote-Zugriff auf das interne Netzwerk, etwa zu Wartungszwecken. Dieser Punkt ist vor allem deshalb relevant, weil nach Schätzungen 40 bis 60 Prozent der Cyber-Sicherheitsvorfälle auf Schwachstellen zurückzuführen sind, für die Dritte verantwortlich sind.

Die Verwaltung und Überwachung privilegierter Benutzerkonten sollte somit im Zentrum jeder Sicherheitsinitiative stehen. Es handelt sich dabei prinzipiell um keine triviale Aufgabe, da eine typische IT-Umgebung aus zahlreichen Servern, Datenbanken und Netzwerkgeräten besteht, die über persönliche, häufig aber auch über generische, manchmal sogar lokale Administrator-Konten gesteuert und verwaltet werden.

Schnell zum Ziel

Ein Großteil der Gefahren kann aber bereits mit geringem Aufwand und in kürzester Zeit abgewehrt werden. In einem ersten Schritt sollte die IT Sicherungsmaßnahmen für den Schutz privilegierter Zugangsdaten der Windows-Domäne implementieren. Ganz allgemein charakterisieren drei zentrale Aufgaben diese Implementierungsphase. Erstens sind die Accounts zu identifizieren; ohne großen Zeitaufwand können die Administrator-Accounts in Windows mithilfe des Active Directory und der lokalen Administrator-Gruppen ermittelt werden. Zweitens sollte zunächst vor allem auf die Accounts mit dem größten Risiko fokussiert werden. Es geht dabei um die Verwaltung und Sicherung der Accounts mit den umfangreichsten Rechten, etwa Domain-Administrator-Accounts und Administrator-Accounts. Drittens sollte die IT als Sofortmaßnahme nur initiale Kontrollmechanismen implementieren, die dann erst im Laufe der Zeit erweitert werden; ein möglicher Startpunkt ist, den Accounts für Workstation-Nutzer administrative Privilegien zu entziehen.

Proaktive Sofortmaßnahmen zur Verbesserung des Schutzes privilegierter Zugangsdaten und schnellen Risikoreduzierung beinhalten konkret folgende Punkte:

  • die Ablage und automatisierte Verwaltung und Rotation von Ad-ministrator-Passwörtern in einem sicheren Speicher, einem so genannten Vault
  • die Multifaktor-Authentifizierung für den Zugriff auf Anmeldeinformationen
  • die Verwaltung von Konten nach dem "Least-Privilege"-Prinzip, das heißt Verwendung von Administrator-Konten ausschließlich für
administrative Tätigkeiten und restriktive Vergabe von Berechtigungen, die Endanwender für ihre Tätigkeit maximal benötigen
  • die Implementierung einer Lösung zur Detektion verdächtiger privilegierter Aktivitäten in Echtzeit.

Bereits mit diesen ersten Maßnahmen realisieren Unternehmen ein deutlich höheres Sicherheitsniveau – ganz im Sinne der kommenden Datenschutz-Grundverordnung. Und der damit verbundene Zeit- und Kostenaufwand sprengt keineswegs den Rahmen.

* Michael Kleist ist Regional Director DACH bei CyberArk in Düsseldorf

Übrigens: Weitere Informationen zur EU-DSGVO haben wir hier für Sie gesammelt.

Mehr Artikel zum Thema: EU-DSGVO Tipps

Wenn Firmengeräte auf Reisen gehen

Immer öfter landen auch Firmen-Handy oder -Laptop im...

Weiterlesen

SEO Sommerfrische Woche 5 – interne Links

Links sind ein wichtiger Rankingfaktor für Google. Wenn sie...

Weiterlesen

SEO Sommerfrische Woche 4 – Bilder auf SEO-Hochglanz optimieren

Bilder sind Blickfang und Informationsträger zur gleichen...

Weiterlesen

Sicherheits-Container für Datenschutz unterwegs

Führungskräfte und Mitarbeiter, die viel unterwegs sind,...

Weiterlesen

Wachsende IT-Komplexität: 6 Strategien für CIOs

Die Zukunft erschien nie komplexer. IT-Führungskräfte sollen...

Weiterlesen

SEO Sommerfrische Woche 3 – Content optimieren

Nach dem letzten Teil der SEO-Sommerfrische haben Sie sicher...

Weiterlesen

SEO Sommerfrische Woche 2 – Care for your Keywords

Mit der "SEO Sommerfrische" bringen wir heuer praktische...

Weiterlesen

Die Wärme muss weg

Moderne datenzentrierte Geschäftsmodelle führen dazu, dass...

Weiterlesen

DSGVO: Fünf nach Zwölf

Obwohl die Übergangsfrist der Datenschutzgrundverordnung...

Weiterlesen

SEO Sommerfrische Woche 1 – Snippet optimieren

Mit der "SEO Sommerfrische" bringen wir heuer praktische...

Weiterlesen

Entscheidung für Windows 10: The Day After

Viele Unternehmen zögern noch, von Windows 7 oder 8/8.1 auf...

Weiterlesen

Österreichischer DSGVO-Spezialist eröffnet Niederlassung in Deutschland

Das junge österreichische Unternehmen Intervalid hat sich...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

Datensilos werden zum Problem

Ein schneller Zugriff auf konsistente Datenbestände ist für...

Weiterlesen

DSGVO aus Sicht der Informatiker

Die Informatik-Experten Michael Sonntag und Reinhard Posch...

Weiterlesen

85% verpassen DSGVO-Deadline

Obwohl die Regulierung in einer Woche anwendbar wird,...

Weiterlesen

nic.at beschränkt Whois-Abfragen

In Hinblick auf die DSGVO hat die Domain-Registry nic.at...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Überlegen, was Kunden interessiert

Ein Suchmaschinen-Treffer steht heute zumeist am Anfang...

Weiterlesen