11/10/2021

IT-Benutzerrechteverwaltung – Fluch oder Segen?

Ein wichtiger Baustein, um die IT-Sicherheit in Unternehmen zu gewährleisten, ist die Benutzerrechte- und Administrationsverwaltung.
Von
Annika Gamerad
Marketing Specialist
und
Jochen Meyer
Senior SOC Analyst

Im Rahmen des ECSM, veranstaltet von BSI (Bundesamt für Sicherheit in der Informationstechnik) und ENISA (European Union Agency for Cybersecurity), befassen wir uns mit dem Thema Endpoint Security. Mit unserem Thema „Ying und Yang - Home-Office und Endpoint Security im Einklang“ möchten wir die Verantwortungsbereiche der zwei Seiten durchleuchten - das arbeitgebende Unternehmen und die Beschäftigten.

IT-Benutzerrechteverwaltung – Fluch oder Segen?

Stellen Sie sich einen Bankdirektor vor, welcher selbst alle Schlüssel für die Bank verwaltet. Diese vielen Schlüssel ermöglichen ihm den Zutritt zu allen Räumen -> Tresor, Schließfächer, Server-/Aktenraum sowie aller Ein- und Ausgänge. Wer würde bei einem Überfall der Bank wohl gekidnappt werden? Genau, der Bankdirektor. So hätten die Einbrecher freien Zugang zu allen Bereichen. Sinnvoller wäre es doch den Schlüsselbund aufzuteilen. Je Bereich bekommt die verantwortliche Person nur den entsprechenden Schüssel für den jeweiligen Verantwortungsbereich. Bei einem Banküberfall müssten die Diebe also erst alle Schlüssel in die Finger bekommen, um in jeden Bereich Zutritt zu erhalten.

Ähnlich kann man es sich in den IT-Systemen vorstellen. Je mehr Befugnisse, desto mehr Verantwortung, umso mehr Schaden kann entstehen.

Warum ist ein strukturiertes Konzept notwendig?

Um die Gefahr von Missbrauch zu reduzieren und die Angriffsziele zu minimieren, sollte jeder Benutzer nur die Rechte erhalten, die für die Ausübung der Tätigkeit benötigt werden. Im wahren Leben verfügen die User häufig über deutlich mehr Berechtigungen, als sie für ihr Tagesgeschäft benötigen. Wenn z. B. alle Beschäftigten die Berechtigung haben, jegliche Software auf den Arbeitsgeräten zu installieren, kann das schnell zu einem Sicherheitsrisiko durch sogenannte Schatten-IT führen. Je mehr Software oder Programme auf einem Endgerät von dem User installiert werden, desto schwieriger ist es für die IT-Abteilung den Durchblick zu erhalten sowie eine gute Endpoint-Security aufzubauen und aufrecht zu erhalten. Näheres zum Thema Schatten-IT, die Gefahren und Tipps für den Durchblick, können Sie in unserem Beitrag „Sicherheitsrisiko: Schatten-IT“ nachlesen".

Was sind Benutzerrechte im IT-System?

In IT-Systemen werden mittels Berechtigungen die Zugriffe auf Objekte oder Objekteigenschaften der Benutzer festgelegt. Das können z. B. Dateien, Active Directory-Objekte oder Registrierungsobjekte sein. Es wird empfohlen, Benutzer-Gruppen, statt einzelne Benutzer mit entsprechenden Berechtigungen zu versehen. Dies erleichtert die Administration und Nachvollziehbarkeit.

Benutzer:innen erhalten nicht administrative Privilegien wie:

  • Ausführen allgemeiner Aufgaben
  • Arbeiten in zugewiesenen Programmen
  • Verwenden von lokalen und Netzwerkdruckern
  • Sperren des PCs

Administrator:innen erhalten meist folgende Privilegien:

  • Vollzugriff auf das gesamte System
  • Schreibzugriff auf Datenbestände
  • Können Benutzern Benutzerrechte und Zugriffssteuerungsberechtigungen zuweisen
  • Installieren von Software (entsprechend der Zuständigkeit)
  • Ausführung von cmd
  • Ausführung von reg.exe/regedit
  • Starten von Powershell/Powershell ISE
  • Herunterladen von ausführbaren Dateien

Für jedes System sollte also ein individuelles Konzept erarbeitet werden, wer welche Rechte erhalten muss.

Was ist bei der Administrationsverwaltung zu beachten?

Die administrativen Zuständigkeiten müssen klar geregelt sein und mit den beteiligten Mitarbeitenden kommuniziert werden. Hierzu gehört ebenso eine Vertretungsregelung, falls die zuständige Person längerfristig ausfällt. Es ist sinnvoll, die Berechtigungen und somit auch die Verantwortung im Bereich der Administration, auf mehrere IT-Administratoren aufzuteilen.

Beispiel für die Aufteilung der Berechtigungen für IT-Administratoren, eigene Darstellung

Die Aufgaben und Zuständigkeiten der einzelnen Administratoren müssen klar geregelt, schriftlich festgehalten und regelmäßig kontrolliert werden. Überschneidungen der Berechtigungen der jeweiligen Aufgabengebiete sind vorprogrammiert, jedoch sollten die Accounts technisch streng separat gehalten werden. Zu vermeiden sind z. B. das Installieren mit Admin-Accounts auf Clients Software. Was auf keinen Fall passieren darf, sind Lücken in den Bereichen der Administration.

Das höchste und gefährlichste Gut im IT-System?

Ein besonders kritischer Bereich ist die Domain-Administration eines Windows-Domänennetzwerks. Domain Administratoren haben mit den Adminrechten Zugriff auf alle Systeme und auf alle sensiblen Daten. Wird ein Domain Admin Account gekapert, können nicht nur sensible Daten gestohlen, Prozesse verändert oder Audit-Daten zerstört werden, sondern die gesamte Landschaft kann damit kompromittiert werden. Die Folge kann die Lahmlegung der Systeme sein, sodass z. B. Produktionsstraßen zum Stillstand gezwungen werden und die Beschäftigten nicht mehr arbeiten und Lieferketten nicht eingehalten werden können.

Passwortsicherheit

Neben der Abstufung der Berechtigungen nach diesem Konzept, ist an dieser Stelle die Passwortsicherheit unverzichtbar. Höherprivilegierte Accounts sollten zwingend bessere und längere Passwörter erhalten. Weiterhin sollten eindeutige, einer natürlichen Person zuordbare Accounts genutzt werden, die zwecks Nachvollziehbarkeit und Aufdecken von auffälligen Tätigkeiten auditiert und protokolliert werden.

„Auf einem System, auf dem ein Domain-Admin angemeldet ist, kann der Hash des Passworts ausgelesen werden, um sich anschließend mit diesem Benutzer auf anderen Systemen zu authentifizieren -> und das, ohne das das tatsächliche Passwort bekannt ist!“

Jochen Meyer, Senior SOC Analyst, suresecure GmbH

Handlungsempfehlungen

Um die Endpoint Security in Unternehmen zu gewährleisten sind die Unternehmen genauso in der Verantwortung wie die Personen, die mit den Endgeräten umgehen. Die Verschriftlichung des Rechte- und Administrationskonzepts ist hier nur der erste Schritt. Wichtig an dieser Stelle sind die Aufklärung und Einweisung in den Umgang mit den Endpoints für die Benutzer. Zusätzliche regelmäßige Security Awareness Trainings helfen zusätzlich, für dieses Thema zu sensibilisieren und im Umgang sicherer zu werden.

Weitere empfohlene Maßnahmen sind:

  • Regelmäßige Reviews bestimmter Berechtigungsgruppen
  • Erhöhung von Rechten (z. B. auf Admin) muss beantragt und mittels Bedarfsanalysen überprüft werden
  • Vergebene Berechtigungen zeitlich begrenzen. Bei Bedarf müssen sie erneut beantragt werden (z. B. für lokale Administratoren)
  • Nutzer nur über Gruppenrichtlinien verwalten
  • Manuell hinzugefügte Nutzer per GPO entfernen bzw. überschreiben
  • Verwendung von Admin-Jumphosts, um Admin-Kennwörter vor Diebstahl zu schützen
  • Keine Admin-Tools auf Endgeräten einsetzen, sondern Jumphosts per RDP

Ein gut durchdachtes Rechte- und Administrationskonzept in Unternehmen ist unverzichtbar und benötigt genügend Ressourcen mit entsprechender Expertise, um die Sicherheit der Systeme zu gewährleisten. Bei Fragen zum Thema Endpoint Security stehen unserer Expert:innen mit Rat und Tat zur Seite.

ECSM auf Social Media:

  • #endpointsecurity
  • #CyberSecMonth
  • #ThinkB4UClick

Ying und Yang - Home-Office und Endpoint Security im Einklang

Im Rahmen des ECSM beleuchten wir die Endpoint Security. Verpassen Sie auch nicht unser Gewinnspiel!
Mehr Infos gibt es hier!

Lesen sie Weitere Artikel passend zum thema