Dieses Risiko wächst mit den Privilegien, die ein Mitarbeiter beim Zugriff auf die Daten hat. Seine Zugriffsrechte hängen dabei nicht nur von der Hierarchiestufe ab, die er erklommen hat. In der IT-Abteilung hat oft schon ein Operator, System- und Datenbankadministrator oder Programmierer Zugriffsrechte, die jedem Controller Sorgenfalten auf die Stirn treiben dürften – denn all diese Mitarbeiter gelten als privilegierte User.
Herr Dunn, was genau ist ein privilegierter User?
Tim Dunn: Ein privilegierter User, oft auch „Super-User“ genannt, ist typischerweise der IT- oder Netzwerkadministrator, der für die IT-Verfügbarkeit und Systemwartung zuständig ist. Solche Administratoren bekommen oftmals Zugangsrechte zugewiesen, die weit über die Rechte der Mehrheit aller IT-Nutzer hinausgehen. Das gefährdet die IT-Sicherheit eines Unternehmens, sobald ein Super-User Fehler macht oder seine Rechte missbraucht. Man bedenke: Hier geht es nicht nur um sensible Aufgaben der Applikations-, Sicherheits- und Datenbankverwaltung, sondern auch um simple Operatingtätigkeiten wie zum Beispiel die Datensicherung oder das Papiereinlegen in einen Drucker. Oftmals ist es viel zu einfach, eine zweite Kopie sensibler Daten anzulegen – sei es auf Papier, sei es elektronisch.
Wie können Unternehmen diese Risiken minimieren?
Tim Dunn: Kontrollieren, protokollieren, auditieren – nach diesem Motto müssen Unternehmen ihre IT nicht nur vor unkontrollierten Zugriffen normaler User schützen. Auch und gerade privilegierte User aus der IT sollten in diesen Kontrollmechanismus integriert werden, weil sie viel mehr Rechte als Otto Normalnutzer besitzen.
Wie unsere Securityanalysen ergeben, hat heute immerhin fast jedes vierte Unternehmen (24 Prozent) zumindest manuelle Kontrollen eingerichtet, um den Wirkungskreis der privilegierten User einzuschränken und ihre Aktivitäten zu überwachen und zu dokumentieren.
Auch wenn ausgefeilte Softwaresysteme für das „Privileged User Management“ – kurz PUM – nicht nur bei CA erhältlich sind und eigentlich alles für ihren Einsatz spricht, nutzen heute nur etwa 22 Prozent aller Unternehmen ein solches PUM-System. Immerhin kann die hohe Zahl von Unternehmen mit entsprechenden Plänen (47 Prozent) als klares Indiz dafür gelten, dass die Problematik erkannt ist auch wenn diese PUM-Pläne oft hinter dem ursprünglichen Zeitplan herhinken.
Wo liegen die Probleme bei der manuellen Überwachung der privilegierten User?
Tim Dunn: Das Hauptproblem ihre konkreten Zugangsberechtigungen müssen manuell eingerichtet und gepflegt werden, für alle Computersysteme im Unternehmen. Dieser enorme Aufwand verführt allzuoft dazu, jedem privilegierten User das Root-Passwort und damit die Berechtigung zu jeder Aktivität auf dem System zu geben.
Das birgt nicht nur das Problem in sich, dass die meisten privilegierten User auch Rechte bekommen, die sie gar nicht benötigen. Der inflationäre Gebrauch des Root-Passworts hält manches Unternehmen auch davon ab, es zu ändern – wegen der Befürchtung, einen privilegierten User bei der Information darüber zu vergessen und so wichtige Aufgaben zu behindern. Je mehr Personen aber ein Passwort kennen und je seltener es geändert wird, desto höher ist die Gefahr des Ausspähens.
Ein anderes Problem des inflationär verbreiteten Root-Passworts sehe ich darin, dass es einem im Falle eines Datenmissbrauchs unter Verdacht geratenen Systemadministrator schwerfallen dürfte, seine Unschuld zu beweisen. Schon ein simples Checkin-/Checkout-System hilft hier nachzuvollziehen, welcher Systemadministrator wann aktiv gewesen ist. Aber nur ein PUM-System kontrolliert und dokumentiert, welcher privilegierte User wann was getan hat.
Wie lassen sich die privilegierten User wirksam kontrollieren?
Tim Dunn: Zunächst müssen natürlich die IT-Manager und Systemadministratoren selbst für die Einrichtung solcher Kontrollmechanismen gewonnen werden. Das dürfte aber leicht fallen, denn wie gesagt können privilegierte User im Fall eines Datenmissbrauchs dank PUM-System schnell aus dem Kreis der Verdächtigen ausgeschlossen werden. Daher sind Methoden und Verfahren zur Dokumentation und Kontrolle der Super-User-Aktivitäten nicht nur im Interesse einer Bank, sondern auch ihrer IT-Abteilung und jedes einzelnen Mitarbeiters.
Anfangen sollte man bei der Einrichtung eines PUM-Systems damit, alle vom Hersteller voreingestellten privilegierten User-Accounts zu ermitteln und dann zu entfernen. Doch Vorsicht: Allein das kann schon eine enorme Arbeit bedeuten, abhängig von der Zahl der Rechner und der unterschiedlichen Betriebssysteme. Dazu kommt ja noch eine Fülle anderer Komponenten der IT-Infrastruktur, wie z.B. Sicherheitssoftware, Netzwerkgeräte, Datenbanken oder ERP-Systeme, die allesamt über privilegierte User-Accounts verfügen. Schon hier kann die Automation mit Hilfe von PUM-Software den Prozess erheblich beschleunigen – und manches Mal überhaupt erst möglich machen.