Least Privilege Prinzip: Access managen, Daten schützen
Das Least Privilege Prinzip, auch als Principle of Least Privilege (POLP), sparsame Berechtigungsvergabe oder Prinzip der geringsten Privilegien bekannt, zählt zu den Best Practices in Sachen IT-Security. Konsequent angewendet sorgt es dafür, dass jeder einzelne Benutzer im Unternehmen grundsätzlich nur über jene Zugriffsberechtigungen verfügt, die er für seine Arbeit tatsächlich benötigt.
Wir schauen uns an, welche Gefahren Unternehmen drohen, die das Least-Privilege-Prinzip nicht anwenden, und wie Sie vorgehen sollten, wenn Sie Ihre Berechtigungsstruktur nach POLP aufbauen bzw. umgestalten möchten.
Was ist das Least Privilege Prinzip (POLP)?
Das Least-Privilege-Prinzip (PoLP) ist ein Konzept, das der Datensicherheit und dem Schutz von Informationen dient. Es sieht vor, dass einem Benutzer ausschließlich die für seine Tätigkeit notwendige Zugriffs- bzw. Berechtigungsebene eingeräumt wird. Unternehmen, die nach dem Least-Privilege-Prinzip (PoLP) arbeiten, beschränken die Zugriffsrechte Ihrer Mitarbeiter für Daten und Ressourcen also auf jene Rechte, die für ihre Arbeit unbedingt notwendig sind.
Ohne das Prinzip der geringsten Privilegien besteht nicht nur die Gefahr, dass Mitarbeiter Datendiebstahl begehen. Veraltete und überflüssige Berechtigungen begünstigen auch die Verbreitung von Malware bzw. Ransomware im gesamten Unternehmensnetz. Um dem entgegenzuwirken ist Least-Privilege-Zugriff ein wichtiger Bestandteil von Zero-Trust-Architektur, bei der sämtliche Zugriffe innerhalb und außerhalb des Netzwerks laufend kontrolliert werden.
Achtung: Neben der Beschränkung des IT-Zugriffs auf unbedingt notwendige Rechte müssen Organisationen auch darauf achten, keine Interessenskonflikte zuzulassen. Das Prinzip der Funktionstrennung bzw. Segregation of Duties stellt sicher, dass Angestellten keine miteinander unvereinbaren Aufgaben übertragen werden (z.B. Einreichen und Bestätigung einer Rechnung).
Least Privilege vs. Need to Know
Das Least Privilege Prinzip wird im Alltag oft synonym mit Begriffen wie Need-to-Know verwendet. Denn zwischen beiden Konzepten besteht eine große Ähnlichkeit und sie sind wichtige Grundlagen für eine erfolgreiche Cybersecurity-Strategie. Der Unterschied zwischen den Prinzipien ist weniger inhaltlicher als vielmehr technischer Natur.
Während Need-to-Know sich darauf bezieht, Informationen nur mit einem möglichst kleinem Kreis von Personen zu teilen, deckt das Least Privilege Prinzip darüber hinaus auch nicht-menschliche Benutzer und Geräte ab.
Denn um die Datensicherheit zu gewährleisten, muss der Admin nicht nur die Zugriffsrechte menschlicher Mitarbeiter, sondern auch die Berechtigungen nicht-menschlicher Benutzer genauestens prüfen und sinnvoll beschränken.
Während das Need-to-Know-Prinzip sich ausschließlich auf menschliche Benutzer bezieht, und insbesondere in Unternehmen mit strengen Sicherheitsebenen zum Tragen kommt, umfasst das PoLP auch Systeme, Anwendungen und vernetzte Geräte.
Privilege Creep: Wenn Mitarbeiter Rechte sammeln
Idealerweise erhält jedes Benutzerkonto in einem Unternehmen exakt auf den Tätigkeitbereich des Users zugeschnittene Zugriffsrechte und Berechtigungen. Der einfachste Weg, perfekt zugeschnittene Berechtigungen zu vergeben, liegt in Methoden wie Role-Based Access Control. In Unternehmen, die hingegen ohne automatisiertes Berechtigungsmanagement arbeiten, müssen diese Zugriffsrechte von der IT bzw. vom jeweiligen Data Owner händisch zugeteilt werden.
Dieser Workflow (d.i. die initiale Zuteilung von Rechten) funktioniert normalerweise sehr gut. Immerhin kann der Mitarbeiter nicht produktiv arbeiten, wenn ihm wichtige Berechtigungen fehlen. Probleme entstehen meist erst dann, wenn Rechte eigentlich wieder entzogen werden müssten.
In den meisten Firmen erhalten Mitarbeiter zwar laufend neue Rechte (z.B. wenn sie die Abteilung wechseln, zu einem Projekt hinzugezogen werden oder eine Aufgabe bekommen). Aber es denkt niemand daran, jene Rechte zu entziehen, die nicht mehr benötigt werden. Diese schleichende Ausweitung von Privilegien nennt sich im Englischen Privilege Creep (zum Teil auch Privilege Sprawl).
Chaos statt Access Control
Manche Admins versuchen außerdem, Zeit und Arbeit zu sparen, indem sie bestehende Berechtigungsprofile kopieren, um einen neuen User anzulegen. Diese Praxis nennt man Referenz User. Die Idee ist eigentlich clever: Ich kopiere den Account von jemandem, der die gleiche Arbeit macht wie der neue Kollege.
Das Problem: In diesem Moment werden nicht nur die aktuell benötigten Rechte kopiert, wie der Admin es eigentlich beabsichtigt hat. Stattdessen transferiert er die Gesamtheit aller Berechtigungen, die der Referenzbenutzer jemals gesammelt hat, auf den neuen User.
Dies schließt in vielen Fällen Berechtigungen in mehreren Abteilungen und verschiedenen Niederlassungen sowie Sonderrechte für Projekte ein. Spätestens in diesem Moment weiß im Unternehmen keiner mehr, wer worauf warum zugreifen darf, und wer diese Rechte initial eigentlich zugeteilt hat.
Warum ist das Least Privilege Prinzip wichtig?
Least Privilege stoppt die Malware-Verbreitung
Das PoLP ist ein wichtiger Bestandteil der sog. Endpunktsicherheit, welche dafür sorgt, dass Schadsoftware wie Trojaner oder Keylogger sich nicht unbegrenzt im System ausbreiten können. Indem Sie die Zugriffsberechtigungen Ihrer Mitarbeiter auf das Notwendigste einschränken, beschränken Sie zugleich auch die Fortbewegungsmöglichkeit von Schadprogrammen. Diese dringen in der Regel durch Phishing-Mails, Zero Day Exploits oder Schwachstellen in Anwendungen, die Remote-Code-Ausführung erlauben, ins System ein.
Besonders wichtig sind in diesem Zusammenhang Administrator- und Superuser-Konten (z.B. Datenbank-, Netzwerks- und Systemadministratoren ). Da Cyberattacken heute mehr und mehr auf der Ausnutzung privilegierter Anmeldedaten basieren, ist es essentiell, das PoLP auch dort einzusetzen.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.
Least Privilege verhindert Datenmissbrauch
Dass ein Mitarbeiter nur jene Daten stehlen kann, zu denen er Zugang hat, liegt auf der Hand. Eine Gefahr, die in diesem Zusammenhang aber häufig vergessen wird, sind gewährte Sonderrechte wie z.B. Home Office. Natürlich gehen Sie nicht davon aus, dass Ihre Mitarbeiter ihre Privilegien missbrauchen. Aber wer Home Office via VPN-Client erlaubt, tut gut daran, die DLP-Funktion (Data Loss Prevention) in der VPN-Software zur aktivieren. Just in Case.
Was passieren kann, wenn diese wichtige Sicherheitsvorkehrung ignoriert wird, erfahren Sie im Drama um Ronald und den vergessenen VPN-Zugang.
In diesem Zusammenhang gibt es noch eine andere Gefahr, der Sie mithilfe des PoLPs begegnen können: Ehemalige Mitarbeiter, die noch aktive Zugriffsberechtigungen haben. Bei konsequent umgesetztem Principle of Least Privilege endet der Offboarding-Prozess eines Mitarbeiters mit dem Entzug sämtlicher Berechtigungen und der Löschung aller vorhandenen Accounts.
Das PoLP spart Zeit und Kosten
In Unternehmen, in denen keine Software für Berechtigungsmanagement eingesetzt wird, vergeben IT-Admins bisweilen eingeschränkte Administratorreche an einzelne Mitarbeiter.
Die Idee dahinter: Ich gebe einem strukturell wichtigen Mitarbeiter (z.B. einem Abteilungsleiter) Adminrechte für einen beschränkten Bereich, damit er bestimmte Berechtigungen einfach selbst vergeben kann und diese nicht jedes Mal in der IT beantragen muss. Dadurch spare ich (als IT-Administrator) Zeit.
Richtig? Falsch. Es ist genau das Gegenteil der Fall. Je mehr Zugriffe Benutzer akkumulieren, und je mehr die Verantwortlichen die Kontrolle aus der Hand geben, desto schwieriger wird es später, die Strukturen wieder zu bereinigen. Wer vor Weihnachten jemals eine Lichterkette entwirrt hat, weiß, wovon wir sprechen.
Nehmen wir an, einem Unternehmen mit diesem Problem steht eine Compliance-Prüfung ins Haus. Das manuelle Reporting für dieses Event beschäftigt wahrscheinlich nicht nur den IT-Helpdesk für mehrere Wochen, sondern involviert auch diverse andere Mitarbeiter bis hin zum Management. Sie sehen: Eine verdammt teure Lichterkette!
Compliance einhalten und Audits optimieren
Jedes Unternehmen muss die Erfüllung von unternehmenseigenen und externen Compliance-Richtlinien sicherstellen. Hierzu zählen u.a. die EU-DSGVO und die Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik). Das BSI fordert von Unternehmen die Umsetzung von IT-Sicherheitsmaßnahmen, die sich, wenn auch in abweichender Formulierung, alle auf das Prinzip der geringsten Privilegien berufen.
So heißt es in Baustein ORP.4 des BSI z.B., dass der “Zugang zu schützenswerten Ressourcen einer Institution” immer “auf berechtigte Benutzer und berechtigte IT-Komponenten einzuschränken“ ist. Darüber hinaus “MUSS dokumentiert werden, welche Benutzerkennungen, angelegte Benutzergruppen und Rechteprofile zugelassen und angelegt wurden“.
Least Privilege Prinzip implementieren
Um das Principle of Least Privilege in Ihrem Unternehmen zu etablieren, müssen Sie Ihre aktuelle Berechtigungsstruktur zunächst aufräumen und die verwundbaren Punkte Ihres Netzwerks identifizieren. In diesem Zusammenhang sind folgende Maßnahmen sinnvoll:
Lokalisieren Sie sämtliche privilegierte Accounts im Unternehmen (lokal, in der Cloud, in DevOps-Umgebungen und auf Endpunkten).
Entfernen Sie alle unnötigen lokalen Administratorrechte und überprüfen Sie in diesem Zusammenhang auch alle Super-User auf Admin-Rechte, die eigentlich nicht notwendig sind.
Steigen Sie auf die Just-in-Time-Ausweitung von Berechtigungen um, anstatt diese auf Vorrat zu verteilen.
Stellen Sie fixe Ablaufdaten ein, wenn Berechtigungen zusätzlich zu den Standardberechtigungen vergeben werden.
Trennen Sie Administratorkonten von Standardkonten und schützen Sie Erstere, indem Sie privilegierte Anmeldedaten z.B. ausschließlich in einem Digital Vault verwalten.
Sorgen Sie für eine lückenlose Dokumentation aller Aktivitäten im Zusammenhang mit Administratorkonten; auf diese Weise sind Sie schneller in Lage, ungewöhnliche Vorgänge zu identifizieren, und einen laufenden Angriff abzuwehren.
Benennen Sie konkrete Dateneigentümer (z.B. die jeweiligen Abteilungsleiter), und verpflichten Sie diese, regelmäßig zu kontrollieren, ob die bestehenden Zugriffe noch der betrieblichen Realität entsprechen.
PoLP realisieren durch Berechtigungsmanagement
Nachdem Sie Ihre Berechtigungsstruktur bereinigt haben, müssen Sie sicherstellen, dass das Prinzip zukünftig an allen relevanten Stellen konsequent angewendet wird. In Unternehmen mit wenigen Mitarbeitern lässt sich dies manuell realisieren, sofern der Administrator gewissenhaft arbeitet. Menschliche Fehler sind natürlich niemals ausgeschlossen.
Firmen, in denen die Zugriffsrechte von hundert, mehreren Hundert oder noch mehr Benutzern verwaltet werden müssen, sollten diesen Vorgang Ihrer IT-Security zur Liebe jedoch automatisieren.
Eine Automatisierung kann auch dann sinnvoll sein, wenn Sie zwar nicht Tausende von Mitarbeitern haben, aber die internen Abläufe und/oder Prozesse in Ihrem Unternehmen sehr komplex sind und eine entsprechend vielschichtige und flexible Berechtigungsstruktur erfordern. In beiden Fällen ist eine Software für Berechtigungsmanagement bzw. Identity und Access Management eine sinnvolle Investition.
So setzt tenfold das PoLP um
Es gibt viele Services und Tools, mit deren Hilfe Sie das PoLP umsetzen und einen hohen Grad an Datensicherheit erreichen können. Die Frage ist, wie viel Zeit Sie für den manuellen Aufwand investieren wollen/können, und wie hoch sie die operationelle Disziplin in Ihrem Unternehmen einschätzen, die für die Umsetzung erforderlich ist.
Die Berechtigungsmanagement-Software tenfold teilt die Berechtigungen in Ihrem Unternehmen nicht nur automatisch nach dem PoL-Prinzip zu, sondern sie unterstützt Sie auch bei der Bereinigung Ihrer Berechtigungsstruktur. Die Implementierung der Software wird durch professionellen Support begleitet.
Least Privilege Principle mit tenfold
tenfold baut Ihre Berechtigungsstruktur automatisch nach dem Least Privilege Prinzip auf. Der tenfold Profilassistent analysiert, welche Berechtigungen in den einzelnen Abteilungen zum Standardset gehören. Anschließend teilt die Software diese Standardrechte vollautomatisch und quer durch alle Systeme (u.a. Active Directory und SAP) zu.
Der entscheidende Unterschied zur händischen Administration liegt darin, dass die Automatisierung auch andersherum funktioniert: Bei einem Abteilungswechsel entzieht die Software nach Ablauf eines definierten Übergangszeitraums (z.B. zu Einarbeitungszwecken) automatisch die alten Berechtigungen und erteilt jene für die neue Abteilung.
Tritt ein Mitarbeiter aus dem Unternehmen aus, löscht tenfold sämtliche Konten und Zugangsrechte. Ein erneuter Creep of Privileges ist mit tenfold daher ausgeschlossen.
Maßnahmenempfehlung | Lösung in tenfold |
---|---|
Entfernen aller veralteten und/oder überflüssigen Berechtigungen | Nachdem die Profile definiert wurden, gleicht tenfold diesen Datensatz mit der aktuellen Berechtigungsstruktur ab. Dabei entfernt die Software automatisch alle Berechtigungen, die laut Profilen nicht unbedingt erforderlich sind. |
Just-in-Time-Ausweitung von Zugriffen | In tenfold kann der User im Self Service Zugriffsrechte beantragen und der Dateneigentümer kann diese in einem Workflow freigeben oder ablehnen. Es ist nicht möglich, Berechtigungen “auf Vorrat” zu beantragen oder diese freizugeben. |
fixe Ablaufdaten für on-top-Berechtigungen | Bei Berechtigungen, die zusätzlich zum Standardset einer Abteilung vergeben werden und aus Sicherheitsgründen ein Ablaufdatum benötigen, kann die Software diesen Workflow automatisiert abbilden. Für den Data Owner besteht dabei immer auch die Möglichkeit, die Frist zu verlängern. |
lückenlose Dokumentation aller Aktivitäten im Zusammenhang mit Administratorkonten | tenfold sorgt für eine lockenlose Dokumentation ALLER Vorgänge und Aktivitäten und gibt auf Knopfdruck revisionssichere Reports aus. |
Dateneigentümer zur regelmäßigen Kontrolle verpflichten | Die sog. Rezertifizierung von Berechtigungen ist ein integraler Bestandteil von tenfold. |
Überzeugen Sie sich selbst: Zugriffsmanagement leicht gemacht mit No-Code IAM!
Quellen:
cyberark.com/de/
https://www.itwissen.info/PoLP-principle-of-least-privilege-Prinzip-der-geringsten-Privilegien.html