(PM) München, 26.09.2013 - Privilegierte Nutzer wie Administratoren verfügen über große Freiheiten und fast uneingeschränkte Rechte. In der Hektik des Tagesgeschäfts lassen sie jedoch Sicherheitsreglements des Öfteren außer Acht und setzen damit unbedacht die IT-Sicherheit der Firma aufs Spiel. Dieses Verhalten steigt mit der Exklusivität der Position und dem Zugangslevel. Compliance-Regelungen wie PCI-DSS, SOX, Basel II und III und ISO 2700x verlangen deshalb einen Nachweis, dass die Aktivitäten dieser Personengruppe überwacht werden. BalaBit IT Security, Anbieter von dedizierten Lösungen für die Absicherung von Zugriffen privilegierter IT-Nutzer, bietet mit seiner Shell Control Box eine Lösung. Folgende Checkliste beinhaltet zehn Tipps, die dabei helfen, diese Risikosituation zu entschärfen.

1. "Least Privilege“-Prinzip
Geben Sie User-Accounts nur die Rechte, die deren Benutzer wirklich für ihre Arbeit brauchen.

2. "Gott-Modus" nur im Notfall
Auch Systemadministratoren brauchen keine uneingeschränkten Rechte. Sperren Sie "Superuser-Accounts“ wie Root, Admin, System etc. und nutzen Sie sie nur, wenn es absolut unumgänglich ist.

3. Jeden einzelnen Account personalisieren
Machen Sie die privilegierten Nutzer persönlich verantwortlich. Dazu limitieren Sie erstens die Anzahl der "Shared Accounts“ soweit als möglich. Zweitens sollten die Passwörter für die "Shared Accounts“ nicht bekannt sein. Dann können Sie personenbezogene Funktionsbereiche schaffen, Inkompatibilitäten aufdecken und Aufgaben aufteilen.

4. Superuser-Rechte explizit nur für ausgewählte Systeme
Systemadministratoren sollten die Privilegien eines Superusers nur für die Systeme besitzen, für deren Verwaltung sie auch tatsächlich zuständig sind.

5. Zentrale Infrastruktur für das Nutzer-Monitoring
Log-Management- oder SIEM-Lösungen liefern nicht alle erforderlichen Informationen: Sie belegen zwar das Ergebnis einer Aktion, nicht aber, welche Aktionen ein User genau durchgeführt hat. Solche blinden Flecken eliminiert eine "Privileged Activity Monitoring“-Lösung. Sie ergänzt die bestehenden Logs um detaillierte Informationen, sodass nachvollzogen werden kann, was der Nutzer exakt getan hat.

6. Unabhängiges und transparentes Activity-Monitoring-Device
Implementieren Sie ein unabhängiges PAM-Tool (Privileged Activity Monitoring), das transparent arbeitet und sich die Informationen für das Audit aus der direkten Kommunikation zwischen Client und Server holt. Dies garantiert, dass die Daten nicht manipuliert werden können – und selbst der Administrator des PAM-Systems die verschlüsselten Audit-Trails nicht verändern kann. Die Integration erfordert keine Änderung an Ihrer IT-Umgebung und Ihre Mitarbeiter können wie gewohnt arbeiten.

7. Sichere Authentifizierung und Autorisierung für privilegierte Accounts
Personifizierte Accounts mit Superuser-Rechten müssen durch starke Authentifizierungsmethoden geschützt werden. Systemadministratoren sollten dabei Verfahren wie Authentifizierung über Public-Keys oder X.509 Smart-Tokens nutzen, die eine höhere Sicherheit gewährleisten. Zusätzlich unterstützen bestimmte PAMs das Vier-Augen-Prinzip um menschliche Fehler, z.B. durch Fehleingaben, zu vermeiden.

8. Detaillierte Kontrolle des Remote Access
Die Kontrolle, wer wann auf was zugreifen kann, ist am besten auf Ebene des Zugriffprotokolls selbst durchzuführen. Eine gute PAM-Lösung kann beispielsweise gezielt Protokollkanäle wie Disk Sharing, Port Forwarding oder Datei-Transfers anhand der Gruppenzugehörigkeit des Benutzers oder der Tageszeit erlauben oder unterbinden.

9. Schädliche Aktionen in Echtzeit verhindern
Erweiterte PAM-Lösungen überwachen den Verkehr von Remote-Verbindungen in Echtzeit und führen verschiedene Aktionen aus, wenn ein bestimmtes verdächtiges Muster in der Befehlszeile oder auf dem Bildschirm erkannt wird. Einige PAMs beherrschen sogar die Erkennung von Zahlenfolgen wie z.B. Kreditkartennummern. Scheint die User-Aktion riskant, sendet das Gerät einen Alert oder beendet die Aktion, bevor sie ausgeführt wird.

10. Bessere Forensik durch komfortable und intuitive Bedienung
Fortschrittliche PAM-Tools können aufgezeichnete Sessions wie einen Film wiedergeben, sodass alle Aktionen der Benutzer exakt nachvollzogen werden können. Ein schneller Vorlauf während der Wiedergabe sowie die effiziente Suche nach Ereignissen und Texten optimieren das Handling. Im Problemfall (Datenbankmanipulation, unerwartetes Herunterfahren etc.) lässt sich die Ursache des Vorfalls einfach identifizieren.

Mehr Informationen zu diesem Thema gibt es unter: balabit.com/itsa.