Least-Privilege-Prinzip: Access managen, Daten schützen

Wir schauen uns an, welche Gefahren Unternehmen drohen, die das Least-Privilege-Prinzip nicht anwenden, und wie Sie vorgehen sollten, wenn Sie Ihre Berechtigungsstruktur nach POLP aufbauen bzw. umgestalten möchten.

Das Least-Privilege-Prinzip (PoLP) ist ein Konzept, das der Datensicherheit und dem Schutz von Informationen dient. Es sieht vor, dass einem Benutzer ausschließlich die für seine Tätigkeit notwendige Zugriffs- bzw. Berechtigungsebene eingeräumt wird. Unternehmen, die nach dem Least-Privilege-Prinzip (PoLP) arbeiten, beschränken die Zugriffsrechte Ihrer Mitarbeiter für Daten und Ressourcen also auf jene Rechte, die für ihre Arbeit unbedingt notwendig sind.

Ohne das Prinzip der geringsten Privilegien besteht nicht nur die Gefahr, dass Mitarbeiter Datendiebstahl begehen. Veraltete und überflüssige Berechtigungen begünstigen auch die Verbreitung von Malware bzw. Ransomware im gesamten Unternehmensnetz. Um dem entgegenzuwirken ist Least-Privilege-Zugriff ein wichtiger Bestandteil von Zero-Trust-Architektur, bei der sämtliche Zugriffe innerhalb und außerhalb des Netzwerks laufend kontrolliert werden.

Achtung: Neben der Beschränkung des IT-Zugriffs auf unbedingt notwendige Rechte müssen Organisationen auch darauf achten, keine Interessenskonflikte zuzulassen. Das Prinzip der Funktionstrennung bzw. Segregation of Duties stellt sicher, dass Angestellten keine miteinander unvereinbaren Aufgaben übertragen werden (z.B. Einreichen und Bestätigung einer Rechnung).

Das Least Privilege Prinzip wird im Alltag oft synonym mit Begriffen wie Need-to-Know verwendet. Denn zwischen beiden Konzepten besteht eine große Ähnlichkeit und sie sind wichtige Grundlagen für eine erfolgreiche Cybersecurity-Strategie. Der Unterschied zwischen den Prinzipien ist weniger inhaltlicher als vielmehr technischer Natur.

Während Need-to-Know sich darauf bezieht, Informationen nur mit einem möglichst kleinem Kreis von Personen zu teilen, deckt das Least Privilege Prinzip darüber hinaus auch nicht-menschliche Benutzer und Geräte ab.

Während das Need-to-Know-Prinzip sich ausschließlich auf menschliche Benutzer bezieht, und insbesondere in Unternehmen mit strengen Sicherheitsebenen zum Tragen kommt, umfasst das PoLP auch Systeme, Anwendungen und vernetzte Geräte.

Idealerweise erhält jedes Benutzerkonto in einem Unternehmen exakt auf den Tätigkeitbereich des Users zugeschnittene Zugriffsrechte und Berechtigungen. Der einfachste Weg, perfekt zugeschnittene Berechtigungen zu vergeben, liegt in Methoden wie Role-Based Access Control. In Unternehmen, die hingegen ohne automatisiertes Berechtigungsmanagement arbeiten, müssen diese Zugriffsrechte von der IT bzw. vom jeweiligen Data Owner händisch zugeteilt werden.

Dieser Workflow (d.i. die initiale Zuteilung von Rechten) funktioniert normalerweise sehr gut. Immerhin kann der Mitarbeiter nicht produktiv arbeiten, wenn ihm wichtige Berechtigungen fehlen. Probleme entstehen meist erst dann, wenn Rechte eigentlich wieder entzogen werden müssten.

In den meisten Firmen erhalten Mitarbeiter zwar laufend neue Rechte (z.B. wenn sie die Abteilung wechseln, zu einem Projekt hinzugezogen werden oder eine Aufgabe bekommen). Aber es denkt niemand daran, jene Rechte zu entziehen, die nicht mehr benötigt werden. Diese schleichende Ausweitung von Privilegien nennt sich im Englischen Privilege Creep (zum Teil auch Privilege Sprawl).

Manche Admins versuchen außerdem, Zeit und Arbeit zu sparen, indem sie bestehende Berechtigungsprofile kopieren, um einen neuen User anzulegen. Diese Praxis nennt man Referenz User. Die Idee ist eigentlich clever: Ich kopiere den Account von jemandem, der die gleiche Arbeit macht wie der neue Kollege.

Das Problem: In diesem Moment werden nicht nur die aktuell benötigten Rechte kopiert, wie der Admin es eigentlich beabsichtigt hat. Stattdessen transferiert er die Gesamtheit aller Berechtigungen, die der Referenzbenutzer jemals gesammelt hat, auf den neuen User.

Dies schließt in vielen Fällen Berechtigungen in mehreren Abteilungen und verschiedenen Niederlassungen sowie Sonderrechte für Projekte ein. Spätestens in diesem Moment weiß im Unternehmen keiner mehr, wer worauf warum zugreifen darf, und wer diese Rechte initial eigentlich zugeteilt hat.

Das PoLP ist ein wichtiger Bestandteil der sog. Endpunktsicherheit, welche dafür sorgt, dass Schadsoftware wie Trojaner oder Keylogger sich nicht unbegrenzt im System ausbreiten können. Indem Sie die Zugriffsberechtigungen Ihrer Mitarbeiter auf das Notwendigste einschränken, beschränken Sie zugleich auch die Fortbewegungsmöglichkeit von Schadprogrammen. Diese dringen in der Regel durch Phishing-Mails, Zero Day Exploits oder Schwachstellen in Anwendungen, die Remote-Code-Ausführung erlauben, ins System ein.

Besonders wichtig sind in diesem Zusammenhang Administrator- und Superuser-Konten (z.B. Datenbank-, Netzwerks- und Systemadministratoren ). Da Cyberattacken heute mehr und mehr auf der Ausnutzung privilegierter Anmeldedaten basieren, ist es essentiell, das PoLP auch dort einzusetzen.

Dass ein Mitarbeiter nur jene Daten stehlen kann, zu denen er Zugang hat, liegt auf der Hand. Eine Gefahr, die in diesem Zusammenhang aber häufig vergessen wird, sind gewährte Sonderrechte wie z.B. Home Office. Natürlich gehen Sie nicht davon aus, dass Ihre Mitarbeiter ihre Privilegien missbrauchen. Aber wer Home Office via VPN-Client erlaubt, tut gut daran, die DLP-Funktion (Data Loss Prevention) in der VPN-Software zur aktivieren. Just in Case.

Was passieren kann, wenn diese wichtige Sicherheitsvorkehrung ignoriert wird, erfahren Sie im Drama um Ronald und den vergessenen VPN-Zugang.

In diesem Zusammenhang gibt es noch eine andere Gefahr, der Sie mithilfe des PoLPs begegnen können: Ehemalige Mitarbeiter, die noch aktive Zugriffsberechtigungen haben. Bei konsequent umgesetztem Principle of Least Privilege endet der Offboarding-Prozess eines Mitarbeiters mit dem Entzug sämtlicher Berechtigungen und der Löschung aller vorhandenen Accounts.

In Unternehmen, in denen keine Software für Berechtigungsmanagement eingesetzt wird, vergeben IT-Admins bisweilen eingeschränkte Administratorreche an einzelne Mitarbeiter.

Die Idee dahinter: Ich gebe einem strukturell wichtigen Mitarbeiter (z.B. einem Abteilungsleiter) Adminrechte für einen beschränkten Bereich, damit er bestimmte Berechtigungen einfach selbst vergeben kann und diese nicht jedes Mal in der IT beantragen muss. Dadurch spare ich (als IT-Administrator) Zeit.

Nehmen wir an, einem Unternehmen mit diesem Problem steht eine Compliance-Prüfung ins Haus. Das manuelle Reporting für dieses Event beschäftigt wahrscheinlich nicht nur den IT-Helpdesk für mehrere Wochen, sondern involviert auch diverse andere Mitarbeiter bis hin zum Management. Sie sehen: Eine verdammt teure Lichterkette!

Jedes Unternehmen muss die Erfüllung von unternehmenseigenen und externen Compliance-Richtlinien sicherstellen. Hierzu zählen u.a. die EU-DSGVO und die Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik). Das BSI fordert von Unternehmen die Umsetzung von IT-Sicherheitsmaßnahmen, die sich, wenn auch in abweichender Formulierung, alle auf das Prinzip der geringsten Privilegien berufen.

So heißt es in Baustein ORP.4 des BSI z.B., dass der “Zugang zu schützenswerten Ressourcen einer Institution” immer “auf berechtigte Benutzer und berechtigte IT-Komponenten einzuschränken“ ist. Darüber hinaus “MUSS dokumentiert werden, welche Benutzerkennungen, angelegte Benutzergruppen und Rechteprofile zugelassen und angelegt wurden“.

Um das Principle of Least Privilege in Ihrem Unternehmen zu etablieren, müssen Sie Ihre aktuelle Berechtigungsstruktur zunächst aufräumen und die verwundbaren Punkte Ihres Netzwerks identifizieren. In diesem Zusammenhang sind folgende Maßnahmen sinnvoll:

Nachdem Sie Ihre Berechtigungsstruktur bereinigt haben, müssen Sie sicherstellen, dass das Prinzip zukünftig an allen relevanten Stellen konsequent angewendet wird. In Unternehmen mit wenigen Mitarbeitern lässt sich dies manuell realisieren, sofern der Administrator gewissenhaft arbeitet. Menschliche Fehler sind natürlich niemals ausgeschlossen.

Eine Automatisierung kann auch dann sinnvoll sein, wenn Sie zwar nicht Tausende von Mitarbeitern haben, aber die internen Abläufe und/oder Prozesse in Ihrem Unternehmen sehr komplex sind und eine entsprechend vielschichtige und flexible Berechtigungsstruktur erfordern. In beiden Fällen ist eine Software für Berechtigungsmanagement bzw. Identity und Access Management eine sinnvolle Investition.

Es gibt viele Services und Tools, mit deren Hilfe Sie das PoLP umsetzen und einen hohen Grad an Datensicherheit erreichen können. Die Frage ist, wie viel Zeit Sie für den manuellen Aufwand investieren wollen/können, und wie hoch sie die operationelle Disziplin in Ihrem Unternehmen einschätzen, die für die Umsetzung erforderlich ist.

Die Berechtigungsmanagement-Software tenfold teilt die Berechtigungen in Ihrem Unternehmen nicht nur automatisch nach dem PoL-Prinzip zu, sondern sie unterstützt Sie auch bei der Bereinigung Ihrer Berechtigungsstruktur. Die Implementierung der Software wird durch professionellen Support begleitet.

tenfold baut Ihre Berechtigungsstruktur automatisch nach dem Least Privilege Prinzip auf. Der tenfold Profilassistent analysiert, welche Berechtigungen in den einzelnen Abteilungen zum Standardset gehören. Anschließend teilt die Software diese Standardrechte vollautomatisch und quer durch alle Systeme (u.a. Active Directory und SAP) zu.

Der entscheidende Unterschied zur händischen Administration liegt darin, dass die Automatisierung auch andersherum funktioniert: Bei einem Abteilungswechsel entzieht die Software nach Ablauf eines definierten Übergangszeitraums (z.B. zu Einarbeitungszwecken) automatisch die alten Berechtigungen und erteilt jene für die neue Abteilung.

Tritt ein Mitarbeiter aus dem Unternehmen aus, löscht tenfold sämtliche Konten und Zugangsrechte. Ein erneuter Creep of Privileges ist mit tenfold daher ausgeschlossen.

Maßnahmenempfehlung	Lösung in tenfold
Entfernen aller veralteten und/oder überflüssigen Berechtigungen	Nachdem die Profile definiert wurden, gleicht tenfold diesen Datensatz mit der aktuellen Berechtigungsstruktur ab. Dabei entfernt die Software automatisch alle Berechtigungen, die laut Profilen nicht unbedingt erforderlich sind.
Just-in-Time-Ausweitung von Zugriffen	In tenfold kann der User im Self Service Zugriffsrechte beantragen und der Dateneigentümer kann diese in einem Workflow freigeben oder ablehnen. Es ist nicht möglich, Berechtigungen “auf Vorrat” zu beantragen oder diese freizugeben.
fixe Ablaufdaten für on-top-Berechtigungen	Bei Berechtigungen, die zusätzlich zum Standardset einer Abteilung vergeben werden und aus Sicherheitsgründen ein Ablaufdatum benötigen, kann die Software diesen Workflow automatisiert abbilden. Für den Data Owner besteht dabei immer auch die Möglichkeit, die Frist zu verlängern.
lückenlose Dokumentation aller Aktivitäten im Zusammenhang mit Administratorkonten	tenfold sorgt für eine lockenlose Dokumentation ALLER Vorgänge und Aktivitäten und gibt auf Knopfdruck revisionssichere Reports aus.
Dateneigentümer zur regelmäßigen Kontrolle verpflichten	Die sog. Rezertifizierung von Berechtigungen ist ein integraler Bestandteil von tenfold.

Quellen:

cyberark.com/de/

https://www.itwissen.info/PoLP-principle-of-least-privilege-Prinzip-der-geringsten-Privilegien.html