Last Privilege Prinzip

Das Least Privilege Prinzip, auch Principle of Least Privilege (PoLP) oder Prinzip der geringsten Privilegien genannt, gilt als Best Practice in Sachen IT-Security und Cyber-Sicherheit. Konsequent angewendet sorgt es dafür, dass jeder einzelne Benutzer im Unternehmen grundsätzlich nur über jene Zugriffsberechtigungen verfügt, die er für seine Arbeit tatsächlich benötigt.

Wir schauen uns an, welche Gefahren Unternehmen drohen, die das Least-Privilege-Prinzip nicht anwenden, und wie Sie vorgehen sollten, wenn Sie Ihre Berechtigungsstruktur nach dem PoLP aufbauen bzw. umgestalten möchten.

Inhalte (verbergen)

Least Privilege Prinzip – PoLP

Unternehmen, die nach dem Least-Privilege-Prinzip (PoLP) arbeiten, beschränken die Zugriffsrechte Ihrer Mitarbeiter für Daten und Ressourcen auf jene Rechte, die unbedingt notwendig sind. Ohne Prinzip der geringsten Privilegien besteht nicht nur die Gefahr, dass Mitarbeiter Datendiebstahl begehen, sondern veraltete und/oder überflüssige Berechtigungen begünstigen auch die Verbreitung von Malware im gesamten Unternehmensnetz.

Was ist das Least Privilege Prinzip?

Das Least-Privilege-Prinzip (PoLP) ist ein Konzept, das der Datensicherheit und dem Schutz von  Informationen dient. Es sieht vor, dass einem Benutzer ausschließlich die für seine Tätigkeit notwendige Zugriffs- bzw. Berechtigungsebene eingeräumt wird. Das PoLP geht, im Gegensatz zum Need-to-Know-Prinzip, über menschliche Benutzer hinaus.

Least Privilege vs. Need to Know

Das Priciple of Least Privilege wird häufig synonym verwendet mit dem Need-to-know-Prinzip. Beide Konzepte sind wichtige Elemente von Cybersecurity-Strategien. Der Unterschied zwischen den Prinzipen ist weniger inhaltlicher als vielmehr technischer Natur.

Denn um die Datensicherheit zu gewährleisten, muss der Admin nicht nur die Zugriffsrechte menschlicher Mitarbeiter, sondern auch die Berechtigungen nicht-menschlicher Benutzer genauestens prüfen und sinnvoll beschränken.


Während das Need-to-Know-Prinzip sich ausschließlich auf menschliche Benutzer bezieht, und insbesondere in Unternehmen mit strengen Sicherheitsebenen zum Tragen kommt, umfasst das PoLP auch Systeme, Anwendungen und vernetzte Geräte. 

Privilege Creep: Wenn Mitarbeiter Rechte sammeln

Idealerweise erhält jedes Benutzerkonto in einem Unternehmen exakt auf den Tätigkeitbereich des Users zugeschnittene Zugriffsrechte und Berechtigungen. In Unternehmen, die ohne automatisiertes Berechtigungsmanagement arbeiten, müssen diese Zugriffsrechte von der IT bzw. vom jeweiligen Data Owner händisch zugeteilt werden.

Dieser Workflow (d.i. die initiale Zuteilung von Rechten) funktioniert normalerweise sehr gut. Immerhin kann der Mitarbeiter nicht produktiv arbeiten, wenn ihm wichtige Berechtigungen fehlen. Das Problem entsteht erst, wenn Rechte eigentlich wieder entzogen werden müssten.

In den meisten Firmen erhalten Mitarbeiter zwar laufend neue Rechte (z.B. wenn sie die Abteilung wechseln, zu einem Projekt hinzugezogen werden oder eine Aufgabe bekommen). Aber es denkt niemand daran, jene Rechte zu entziehen, die nicht mehr benötigt werden. Diese schleichende Ausweitung von Privilegien nennt sich im Englischen auch Privilege Creep.

Least Privilege

Chaos statt Access Control

Manche Admins versuchen außerdem, Zeit und Arbeit zu sparen, indem sie bestehende Berechtigungsprofile kopieren, um einen neuen User anzulegen. Diese Praxis nennt man Referenz User. Die Idee ist eigentlich clever: Ich kopiere den Account von jemandem, der die gleiche Arbeit macht wie der neue Kollege.

Das Problem: In diesem Moment werden nicht nur die aktuell benötigten Rechte kopiert, wie der Admin es eigentlich beabsichtigt hat. Stattdessen transferiert er die Gesamtheit aller Berechtigungen, die der Referenzbenutzer jemals gesammelt hat, auf den neuen User.

Dies schließt in vielen Fällen Berechtigungen in mehreren Abteilungen und verschiedenen Niederlassungen sowie Sonderrechte für Projekte ein. Spätestens in diesem Moment weiß im Unternehmen keiner mehr, wer worauf warum zugreifen darf, und wer diese Rechte initial eigentlich zugeteilt hat.

Warum ist das Least Privilege Prinzip wichtig?

1. Least Privilege stoppt die Maleware-Verbreitung

Das PoLP ist ein wichtiger Bestandteil der sog. Endpunktsicherheit, welche dafür sorgt, dass Schadsoftware wie Trojaner oder Keylogger sich nicht unbegrenzt im System ausbreiten können. Indem Sie die Zugriffsberechtigungen Ihrer Mitarbeiter auf das Notwendigste einschränken, beschränken Sie zugleich auch die Fortbewegungsmöglichkeit von Schadprogrammen. Diese dringen in der Regel durch Phishing-Mails, Zero-Day-Exploits oder Schwachstellen in Anwendungen, die Remote-Code-Ausführung erlauben, ins System ein.

Besonders wichtig sind in diesem Zusammenhang  Administrator- und Superuser-Konten (z.B. Datenbank-, Netzwerks- und Systemadministratoren ). Da Cyberattacken heute mehr und mehr auf der Ausnutzung privilegierter Anmeldedaten basieren, ist es essentiell, das PoLP auch dort einzusetzen.

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

2. Least Privilege verhindert Datenmissbrauch

Dass ein Mitarbeiter nur jene Daten stehlen kann, zu denen er Zugang hat, liegt auf der Hand. Eine Gefahr, die in diesem Zusammenhang aber häufig vergessen wird, sind gewährte Sonderrechte wie z.B. Home Office. Natürlich gehen Sie nicht davon aus, dass Ihre Mitarbeiter ihre Privilegien missbrauchen. Aber wer Home Office via VPN-Client erlaubt, tut gut daran, die DLP-Funktion (Data Loss Prevention) in der VPN-Software zur aktivieren. Just in Case.

Was passieren kann, wenn diese wichtige Sicherheitsvorkehrung ignoriert wird, erfahren Sie im Drama um Ronald und den vergessenen VPN-Zugang.

In diesem Zusammenhang gibt es noch eine andere Gefahr, der Sie mithilfe des PoLPs begegnen können: Ehemalige Mitarbeiter, die noch aktive Zugriffsberechtigungen haben. Bei konsequent umgesetztem Principle of Least Privilege endet der Offboarding-Prozess eines Mitarbeiters mit dem Entzug sämtlicher Berechtigungen und der Löschung aller vorhandenen Accounts.

3. Das PoLP spart Zeit und Kosten

In Unternehmen, in denen keine Software für Berechtigungsmanagement eingesetzt wird, vergeben IT-Admins bisweilen eingeschränkte Administratorreche an einzelne Mitarbeiter.

Die Idee dahinter: Ich gebe einem strukturell wichtigen Mitarbeiter (z.B. einem Abteilungsleiter) Adminrechte für einen beschränkten Bereich, damit er bestimmte Berechtigungen einfach selbst vergeben kann und diese nicht jedes Mal in der IT beantragen muss. Dadurch spare ich (als IT-Administrator) Zeit.

Richtig? Falsch. Es ist genau das Gegenteil der Fall. Je mehr Zugriffe Benutzer akkumulieren, und je mehr die Verantwortlichen die Kontrolle aus der Hand geben, desto schwieriger wird es später, die Strukturen wieder zu bereinigen. Wer vor Weihnachten jemals eine Lichterkette entwirrt hat, weiß, wovon wir sprechen.


Nehmen wir an, einem Unternehmen mit diesem Problem steht eine Compliance-Prüfung ins Haus. Das manuelle Reporting für dieses Event beschäftigt wahrscheinlich nicht nur den IT-Helpdesk für mehrere Wochen, sondern involviert auch diverse andere Mitarbeiter bis hin zum Management. Sie sehen: Eine verdammt teure Lichterkette!

4. Compliance einhalten und Audits optimieren

Jedes Unternehmen muss die Erfüllung von unternehmenseigenen und externen Compliance-Richtlinien sicherstellen. Hierzu zählen u.a. die EU-DSGVO und die Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik). Das BSI fordert von Unternehmen die Umsetzung von IT-Sicherheitsmaßnahmen, die sich, wenn auch in abweichender Formulierung, alle auf das Prinzip der geringsten Privilegien berufen.

So heißt es in Baustein ORP.4 des BSI z.B., dass der “Zugang zu schützenswerten Ressourcen einer Institution” immer “auf berechtigte Benutzer und berechtigte IT-Komponenten einzuschränken“ ist. Darüber hinaus “MUSS dokumentiert werden, welche Benutzerkennungen, angelegte Benutzergruppen und Rechteprofile zugelassen und angelegt wurden“.

Least Privilege Prinzip implementieren

Um das Principle of Least Privilege in Ihrem Unternehmen zu etablieren, müssen Sie Ihre aktuelle Berechtigungsstruktur zunächst aufräumen und die verwundbaren Punkte Ihres Netzwerks identifizieren. In diesem Zusammenhang sind folgende Maßnahmen sinnvoll:

  • Lokalisieren Sie sämtliche privilegierte Accounts im Unternehmen (lokal, in der Cloud, in DevOps-Umgebungen und auf Endpunkten).

  • Entfernen Sie alle unnötigen lokalen Administratorrechte und überprüfen Sie in diesem Zusammenhang auch alle Super-User auf Admin-Rechte, die eigentlich nicht notwendig sind.

  • Steigen Sie auf die Just-in-Time-Ausweitung von Berechtigungen um, anstatt diese auf Vorrat zu verteilen.

  • Stellen Sie fixe Ablaufdaten ein, wenn Berechtigungen zusätzlich zu den Standardberechtigungen vergeben werden.

  • Trennen Sie Administratorkonten von Standardkonten und schützen Sie Erstere, indem Sie privilegierte Anmeldedaten z.B. ausschließlich in einem Digital Vault verwalten.

  • Sorgen Sie für eine lückenlose Dokumentation aller Aktivitäten im Zusammenhang mit Administratorkonten; auf diese Weise sind Sie schneller in Lage, ungewöhnliche Vorgänge zu identifizieren, und einen laufenden Angriff abzuwehren.

  • Benennen Sie konkrete Dateneigentümer (z.B. die jeweiligen Abteilungsleiter), und verpflichten Sie diese, regelmäßig zu kontrollieren, ob die bestehenden Zugriffe noch der betrieblichen Realität entsprechen.

PoLP realisieren durch Berechtigungsmanagement

Nachdem Sie Ihre Berechtigungsstruktur bereinigt haben, müssen Sie sicherstellen, dass das Prinzip zukünftig an allen relevanten Stellen konsequent angewendet wird. In Unternehmen mit wenigen Mitarbeitern lässt sich dies manuell realisieren, sofern der Administrator gewissenhaft arbeitet. Menschliche Fehler sind natürlich niemals ausgeschlossen.

Firmen, in denen die Zugriffsrechte von hundert, mehreren Hundert oder noch mehr Benutzern verwaltet werden müssen, sollten diesen Vorgang Ihrer IT-Security zur Liebe jedoch automatisieren.


Eine Automatisierung kann auch dann sinnvoll sein, wenn Sie zwar nicht Tausende von Mitarbeitern haben, aber die internen Abläufe und/oder Prozesse in Ihrem Unternehmen sehr komplex sind und eine entsprechend vielschichtige und flexible Berechtigungsstruktur erfordern. In beiden Fällen ist eine Software für Berechtigungsmanagement bzw. Identity und Access Management eine sinnvolle Investition.

So setzt tenfold das PoLP um

Es gibt viele Services und Tools, mit deren Hilfe Sie das PoLP umsetzen und einen hohen Grad an Datensicherheit erreichen können. Die Frage ist, wie viel Zeit Sie für den manuellen Aufwand investieren wollen/können, und wie hoch sie die operationelle Disziplin in Ihrem Unternehmen einschätzen, die für die Umsetzung erforderlich ist.

Die Berechtigungsmanagement-Software tenfold teilt die Berechtigungen in Ihrem Unternehmen nicht nur automatisch nach dem PoL-Prinzip zu, sondern sie unterstützt Sie auch bei der Bereinigung Ihrer Berechtigungsstruktur. Die Implementierung der Software wird durch professionellen Support begleitet.

Least Privilege Principle mit tenfold

tenfold baut Ihre Berechtigungsstruktur automatisch nach dem Least Privilege Prinzip auf. Der tenfold Profilassistent analysiert, welche Berechtigungen in den einzelnen Abteilungen zum Standardset gehören. Anschließend teilt die Software diese Standardrechte vollautomatisch und quer durch alle Systeme (u.a. Active Directory und SAP) zu.

Der entscheidende Unterschied zur händischen Administration liegt darin, dass die Automatisierung auch andersherum funktioniert: Bei einem Abteilungswechsel entzieht die Software nach Ablauf eines definierten Übergangszeitraums (z.B. zu Einarbeitungszwecken) automatisch die alten Berechtigungen und erteilt jene für die neue Abteilung.

Tritt ein Mitarbeiter aus dem Unternehmen aus, löscht tenfold sämtliche Konten und Zugangsrechte. Ein erneuter Creep of Privileges ist mit tenfold daher ausgeschlossen.

Maßnahmenempfehlung Lösung in tenfold
Entfernen aller veralteten und/oder überflüssigen Berechtigungen Nachdem die Profile definiert wurden, gleicht tenfold diesen Datensatz mit der aktuellen Berechtigungsstruktur ab. Dabei entfernt die Software automatisch alle Berechtigungen, die laut Profilen nicht unbedingt erforderlich sind.
Just-in-Time-Ausweitung von Zugriffen In tenfold kann der User im Self Service Zugriffsrechte beantragen und der Dateneigentümer kann diese in einem Workflow freigeben oder ablehnen. Es ist nicht möglich, Berechtigungen “auf Vorrat” zu beantragen oder diese freizugeben.
fixe Ablaufdaten für on-top-Berechtigungen Bei Berechtigungen, die zusätzlich zum Standardset einer Abteilung vergeben werden und aus Sicherheitsgründen ein Ablaufdatum benötigen, kann die Software diesen Workflow automatisiert abbilden. Für den Data Owner besteht dabei immer auch die Möglichkeit, die Frist zu verlängern.
lückenlose Dokumentation aller Aktivitäten im Zusammenhang mit Administratorkonten tenfold sorgt für eine lockenlose Dokumentation ALLER Vorgänge und Aktivitäten und gibt auf Knopfdruck revisionssichere Reports aus.
Dateneigentümer zur regelmäßigen Kontrolle verpflichten Die sog. Rezertifizierung von Berechtigungen ist ein integraler Bestandteil von tenfold.


Quellen:

cyberark.com/de/

https://www.itwissen.info/PoLP-principle-of-least-privilege-Prinzip-der-geringsten-Privilegien.html