Privilegierte Benutzer haben zusätzlichen Zugriff auf Unternehmensressourcen und IT-Systeme. Diese Konten können missbraucht, missbraucht und ausgenutzt werden und stellen eine Art von Insider-Bedrohung dar.

Diese zusätzlichen Zugriffsrechte haben dazu geführt, dass die jüngste Bitglass-Studie „Spies in the Enterprise“ privilegierte Benutzer als die größte Risikoquelle innerhalb eines Unternehmens identifiziert hat.

Ein Bericht von Gurucul kommt zu dem Schluss, dass 63% der Unternehmen glauben, dass privilegierte IT-Benutzer die größte Bedrohung durch Insider darstellen.

Diese beiden Berichte sind nicht die ersten, in denen festgestellt wird, dass privilegierte Benutzer eine Quelle von Sicherheitsrisiken sind, und sie werden sicherlich nicht die letzten sein. Aber warum lässt diese Benutzergruppe ein Unternehmen für Sicherheitsbedrohungen offen und was kann man tun, um das Risiko eines privilegierten Benutzers zu mindern?

Der privilegierte Benutzer in der Maschine

Der Hinweis auf die Sicherheitsbedrohungen, die von privilegierten Benutzern ausgehen, steckt schon im Namen – privilegiert.

Privilegierter Zugriff wird bestimmten Rollentypen oder Gruppen innerhalb einer Organisation gewährt. Personen, die privilegierten Zugriff haben, benötigen zusätzliche Zugriffsrechte im Vergleich zu Standardbenutzern, weil sie die IT-Infrastruktur verwalten oder Zugang zu sensiblen Unternehmensressourcen benötigen, usw.

Aber leider haben diese Benutzer, sobald ihnen ein privilegierter Zugang zugewiesen wurde, die Schlüssel zu Ihrem Firmenreich.

Das Problem mit den Privilegien ist, dass sie ein zweischneidiges Schwert darstellen. Einerseits benötigen diese Benutzer zusätzliche Rechte, um auf sichere und sensible Bereiche zugreifen zu können, aber diese Rechte können auch missbraucht oder gekapert werden.

Die Lösung dieses Problems ist einer der schwierigsten Bereiche, mit denen sich eine IT-Abteilung befassen muss. Einige der Probleme mit Benutzern mit privilegiertem Zugang sind:

Benutzer mit privilegiertem Zugang sind ein Ziel für Cyberkriminelle

Diejenigen, die den Schlüssel zu den Daten haben, sind die Hauptziele. Cyberkriminelle konzentrieren sich auf bestimmte Rollen und Gruppen innerhalb einer Organisation, um deren Zugriffsrechte auszunutzen. Wenn ein Cyberkrimineller in den Besitz dieser Zugriffsrechte gelangt, kann er sich unbemerkt in einem Unternehmen bewegen und in sensible Bereiche eines Netzwerks eindringen.

Aus diesem Grund werden privilegierte Benutzer zur Zielscheibe von Spearphishing-Angriffen. Hacker, die Spearphishing-Kampagnen erstellen, kennen ihr Ziel gut. Sie verbringen Zeit damit, zu verstehen, wer sie sind und auf welche Auslöser sie reagieren werden.

Abteilungen wie z.B. die Kreditorenbuchhaltung sind häufig Opfer von Spearphishing-Angriffen, da sie potenziell auf Finanzkonten zugreifen und Geld überweisen können. Um dies in die richtige Perspektive zu rücken, hat ein Bericht von Symantec aus dem Jahr 2019 ergeben, dass Spearphishing-E-Mails von 65 % aller bekannten Gruppen verwendet werden, die gezielte Cyberangriffe durchführen.

Compliance Management und Kontrolle

Privilegierte Benutzer haben oft Zugriff auf Berechtigungen und Sicherheitskontrollen. Mit dem Zugriff kommt die Kontrolle. Wenn ein privilegierter Benutzer auch nur versehentlich eine Änderung an einer Berechtigung oder Sicherheitseinstellung vornimmt, kann dies dazu führen, dass ein Unternehmen die Vorschriften wie UK GDPR, DPA2018, PCI usw. nicht einhält.

Privilegien ändern und entwickeln sich

Privilegierte Benutzer ziehen oft innerhalb einer Organisation um. Dabei kann es vorkommen, dass sie ihre Zugriffsrechte ändern müssen. Eine solche Änderung kann jedoch kompliziert sein, wenn sie nicht sorgfältig überwacht wird.

Darüber hinaus kann es vorkommen, dass Mitarbeiter, die aus dem Unternehmen ausscheiden und über privilegierte Zugangsrechte verfügen, durch das Sicherheitsnetz fallen und das Unternehmen verlassen, während sie noch über privilegierte Zugangsrechte verfügen. In einem Bericht von Hague Delta wurde festgestellt, dass diejenigen, die ein Unternehmen verlassen, die größte Insider-Bedrohung für Daten darstellen. Außerdem stellte der Bericht fest, dass 89% der Mitarbeiter, die das Unternehmen verlassen haben, immer noch Zugang zu Daten hatten.

Wege zur Verhinderung von Missbrauch und Pannen durch privilegierte Benutzer

Es gibt mehrere Möglichkeiten, die mit privilegierten Benutzern verbundenen Insider-Bedrohungen zu entschärfen. Hier sind einige der effektivsten:

Privilegien verwalten

Es gibt ein Prinzip, das als „geringstmögliches Privileg“ bekannt ist und ein Grundprinzip der Kontrolle in einem Unternehmen darstellt. Er lautet in etwa so: Geben Sie Ihren Mitarbeitern nur die Berechtigungen, die sie für ihre Arbeit benötigen, und nicht mehr.

Eine Möglichkeit, dies zu erreichen, ist die granulare Vergabe von Berechtigungen. Beantragen Sie z.B. Berechtigungen pro Anwendung statt global und legen Sie Zugriffsrechte auf der Basis eines Benutzers statt einer ganzen Benutzergruppe fest. Je mehr Rechte Sie jemandem erteilen, desto höher ist das Risiko.

Schulung privilegierter Benutzer über Social Engineering

Da privilegierte Benutzer im Rampenlicht der Cyberkriminellen stehen, werden sie häufig mit Social Engineering angegriffen. Cyberkriminelle nutzen in der Regel das Sammeln von Informationen und die Überwachung privilegierter Benutzer, um einen Angriff oder Betrug vorzubereiten oder um eine Spearphishing-Kampagne zu starten.

Klären Sie Ihre privilegierten Benutzer über das erhöhte Risiko auf, das mit ihren Zugriffsrechten verbunden ist, und darüber, wie Sie die verräterischen Anzeichen von Social Engineering erkennen können, das auf privilegierte Benutzer abzielt.

Informieren Sie privilegierte Benutzer über Phishing-Tricks und -Taktiken

Spear-Phishing-Kampagnen, die auf privilegierte Benutzer abzielen, können extrem schwer zu erkennen sein. Wenn Sie jedoch Phishing-Simulationsvorlagen so anpassen, dass sie die subtileren Anzeichen einer Spear-Phishing-Nachricht widerspiegeln, können Sie Ihren privilegierten Benutzern die Werkzeuge an die Hand geben, mit denen sie verdächtige Nachrichten erkennen können.

Diese Spear-Phishing-Simulationen sollten in Kombination mit Social-Engineering-Schulungen eingesetzt werden.

Prozess und Politik

Erstellen Sie formale Richtlinien für die Vergabe von Konten mit privilegiertem Zugriff. Diese Richtlinien sollten so gestaltet sein, dass die Verantwortlichkeit durchgesetzt wird. Sie sollten auch das Prinzip der geringsten Privilegien widerspiegeln und Anhaltspunkte dafür bieten, wie die Kontrolle über privilegierte Konten festgelegt wird, indem formale Überprüfungen und Genehmigungen durch eine Hierarchie von Interessengruppen vorgenommen werden.

Richtlinien und Prozesse zur Verwaltung, Schulung und Kontrolle privilegierter Benutzer sollten ein wesentlicher Bestandteil Ihrer Sicherheitsstrategie sein.

Zuverlässige Referenzen

Setzen Sie eine robuste, mehrstufige und risikobasierte Authentifizierung in Ihrer allgemeinen Sicherheitsstrategie durch. Dies hilft als Teil einer Gesamtstrategie bei der Eindämmung externer Bedrohungen, die auf der Übernahme von privilegierten Insiderkonten beruhen.

Privilegierte Benutzer sind ein schwaches Glied in einer Organisation, da sie Zugang zu sensiblen Daten und IT-Systemen haben. Aber privilegierte Benutzer sind für das reibungslose Funktionieren eines Unternehmens notwendig. Durch die Anwendung von Best Practices für privilegierte Benutzer, einschließlich Schulungen, Prozessen und der Durchsetzung von Richtlinien, kann ein Unternehmen das Risiko für diesen wichtigen Kontotyp verringern.

Ultimativer Leitfaden für Cyber-Sicherheit eLearning