Sie sind hier: Home » Markt » Hinweise & Tipps

Compliance und Privileged-User-Management


Gravierende Missverständnisse hinsichtlich IT-Sicherheit: Behalten Sie nach dem Audit einen scharfen Fokus auf Compliance
Jemand, der physikalisch oder über Skripts über ein Gerät Passwort-Änderungen zur Einhaltung von Compliance-Regularien vornehmen soll, wird in der Regel auf Probleme stoßen oder Fehler machen


(23.10.12) - Wallix trifft in Unternehmen immer wieder auf fünf schwerwiegende Missverständnisse hinsichtlich IT-Sicherheit, die, wenn sie nicht behoben werden, zu einem unzureichenden Schutz führen können. Perimetersicherheit via Firewalls, IPS/IDS oder VPN wird größtenteils bereits gut verstanden und implementiert, aber das Risiko durch privilegierte Anwender (wie externe Dienstleister oder interne Administratoren) wird oft nicht in Betracht gezogen.

Welche Missverständnisse es in den meisten Unternehmen immer wieder gibt, hat Wallix dargestellt.

1. Wir hatten gerade ein Audit für unser System. Wir halten unsere Richtlinien ein.
Missverständnis 1:
Auch wenn Ihr Audit erfolgreich war, heißt dies nicht, dass Sie gegen Angriffe geschützt sind. Warum könnte Ihre Zuversicht unberechtigt sein? Zum einen bereiten sich zwar viele IT-Abteilungen im Vorfeld eines Audits sehr sorgfältig vor, um eine gute Compliance zu erzielen. Wenn jedoch der Druck vorbei ist, tendieren sie dazu, das Thema Compliance für den Rest des Jahres zu vernachlässigen. Zum anderen wissen die Prüfer nicht notwendigerweise, wo sie nach Sicherheitsschwachstellen suchen müssen und orientieren sich eventuell in die falsche Richtung.

Hacker greifen ohne Vorwarnung an und verlassen sich nicht auf Glück, um Zugang zu Ihren Systemen zu bekommen. Sie wissen sehr präzise, wonach sie suchen und wo sie dies am ehesten finden.

Wallix empfiehlt: Behalten Sie nach dem Audit einen scharfen Fokus auf Compliance und betrachten Sie sie als eine tagtägliche Aufgabe. Sicherheitslücken sollten vorrangig regelmäßig festgestellt und bereinigt werden.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT-SecCity.de (www.itseccity.de)

2. Passwörter werden regelmäßig geändert: Wir sind sicher.
Missverständnis 2:
Auch wenn Sie die Passwörter normaler Anwender oft ändern, sind in vielen Fällen privilegierte Anwender für diese Aufgabe selbst zuständig. Da viele aber nicht in diesen Passwortänderungsprozess involviert sind, werden ihre Zugangsdaten nicht regelmäßig modifiziert und sogar wenn Administratoren ihre Zugangsdaten manuell ändern, garantiert dies keine Sicherheit. Die Aufgabe könnte zu aufwendig, schwierig und zeitraubend sein, um sie dauerhaft durchzuführen.

Jemand, der physikalisch oder über Skripts über ein Gerät Passwort-Änderungen zur Einhaltung von Compliance-Regularien vornehmen soll, wird in der Regel auf Probleme stoßen oder Fehler machen. Stellen Sie sich beispielsweise die Anzahl und Komplexität der auf Geräten installierten Services vor, zu denen privilegierte Nutzer Zugang haben. Diese Geräte und Systeme müssen korrekt heruntergefahren und dann nach einem ebenfalls spezifizierten Prozess wieder hochgefahren werden, bevor eine Änderung implementiert ist. Dies ist eine schwierige Aufgabe, die nur wenige Personen sicher und effektiv durchführen können.

Wallix empfiehlt: Stellen Sie sicher, dass alle voreingestellten Passwörter geändert wurden, bevor Sie ein neues Gerät oder Programm in Ihrem Netzwerk einsetzen. Das ist leichter gesagt als getan, denn möglicherweise gibt es weit mehr geteilte Zugangsdaten als Sie denken.

3. Für privilegierte Accounts hat jeder Administrator eigene einmalige Zugangsdaten. Da besteht absolut kein Risiko.
Missverständnis 3:
Dies ist ein Bereich, in dem Bequemlichkeit Sicherheit zunichte machen kann. Viele der 'gehackten' Unternehmen waren sicher überzeugt, dass die Zugangsdaten privilegierter Accounts einmalig vergeben waren, bis sie realisierten, dass sie in Wirklichkeit von vielen privilegierten Anwendern genutzt wurden. Es gibt zahlreiche administrative Accounts und auch bei ihnen ist es nicht ungewöhnlich, dass ihre Zugangsdaten geteilt werden. Wenn mehrere privilegierte Anwender die gleichen Zugangsdaten für den Zugang zu Systemen und die Implementierung von Änderungen nutzen, ist es unmöglich, zu wissen, von wem die Änderungen stammen und wer Zugang zu sensiblen Daten hatte.

Wallix empfiehlt: Legen Sie regelmäßige Updates Ihrer privilegierten Accounts fest – maximal nach 60 Tagen. Implementieren Sie ein komplexes und einmaliges Passwort für jeden einzelnen privilegierten Account.

4. Unsere IT-Abteilung kontrolliert den Zugang. Was sollte passieren?
Missverständnis 4:
Nur weil der Zugang kontrolliert wird, bedeutet dies nicht, dass Sie sicher sind. Warum? Weil die Passwörter höher privilegierter Accounts in der Regel in Anwendungen integriert sind oder direkt an externe Dienstleister kommuniziert werden. Werden diese Zugangsdaten geteilt, ist es absolut unmöglich, präzise zu wissen, wer sich einloggt und wer was exakt während einer Session getan hat. Da diese Passwörter nicht oft geändert werden, haben Mitarbeiter, die das Unternehmen kürzlich verlassen haben oder Dienstleister, deren Vertrag ausgelaufen ist, eine (Gnaden-)Frist, in der sie ihre (temporär noch gültigen) Zugangsdaten für das Einhacken in die Unternehmenssysteme nutzen können.

Wallix empfiehlt. IAM (Indentity and Access Management) ist nur eine Teillösung, die den Umsatz nicht optimal managen kann. Genau wie ein Unternehmen sich entwickelt und wächst, entwickeln sich und wachsen auch seine Mitarbeiter. Sie ändern ihre Positionen, ihre Rollen, übernehmen größere Verantwortung, haben mehr Autorität – und natürlich verlassen auch Mitarbeiter das Unternehmen. Wenn ihre Zugangsdaten nach der beruflichen Veränderung – in welcher Form auch immer – nicht modifiziert werden, haben sie nach wie vor Zugang zu Informationen und zu Services, die eventuell nicht mehr ihrem neuen Status entsprechen.

5. Wir haben Indentity and Access Management implementiert. Wir kontrollieren alles.
Missverständnis 5:
Unternehmen implementieren nur selten Lösungen zum Managen höher privilegierter Accounts, die z.B. für Notfälle oder administrativen Zugang genutzt werden. Das bedeutet, dass keine eventuell bestehende Sicherheitslösung, wie eine Firewall oder IAM-Software, den Zugang zu privilegierten Accounts rückverfolgen und managen kann. Solange Sie keine dedizierte Lösung hierfür einsetzen, wird diese Aufgabe nicht erfüllt, da die vorher genannten Lösungen dies nicht können.

Wallix empfiehlt: Setzen Sie eine Lösung ein, die alle privilegierten Accounts auflistet, alle Aktivitäten prüft, alle Aktionen verfolgt und aufzeichnet und einfach zu nutzende Werkzeuge zur Überwachung der Administration bietet. (Wallix: ra)

Wallix: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Daten müssen archiviert werden

    Die Europäische Datenschutz-Grundverordnung (EU-DSGVO) regelt seit 2018 die Speicherung von personenbezogenen Daten. Einige Unternehmen haben die Richtlinien schon umgesetzt. Andere, vorwiegend kleinere und mittlere Unternehmen (KMU), haben Probleme, gleichzeitig den gesetzlichen Vorschriften zur Datenspeicherung als auch der EU-DSGVO gerecht zu werden. Viele dieser kleinen Unternehmen archivieren ihre Daten in Cold Storage-Systemen, die lange Zugriffszeiten erfordern, wirtschaftlich aber die beste Wahl sind, da sie große Datenmengen beheimaten können. Diese Systeme helfen besonders KMU dabei, die geforderten Daten für Überprüfungen und Audits vorhalten zu können. Gleichzeitig hadern Unternehmen des Öfteren, wenn es darum geht, die Daten im Rahmen einer Forderung auf Basis der EU-DSGVO zu löschen. Angemerkt werden sollte, dass die jeweiligen Anforderungen und die vorgeschriebene Aufbewahrungszeit nicht nur von der Natur der Daten abhängen, sondern von dem jeweiligen Industriesektor - sei es nun das Gesundheitswesen, Behörden oder das Finanzwesen. Handelt es sich bei den Daten allerdings um solche Inhalte, die auf Anfrage gelöscht werden müssen, wie personenbezogene Daten, wird die Sache in Bezug auf die Datensicherung kompliziert.

  • Welche Produkte benötigen eine UKCA-Kennzeichnung?

    Es bleiben nur noch ein paar Monate, bis die Übergangsfrist für die UKCA-Kennzeichnung endet. BSI, das Unternehmen für Geschäftsverbesserung und Standards, möchte alle betroffenen Hersteller daran erinnern, die relevante regulierte Produkte in Großbritannien (England, Wales und Schottland) auf den Markt bringen wollen. Die UKCA-Kennzeichnung wird ab dem 1. Januar 2022 die herkömmliche CE-Kennzeichnung ersetzen. Betroffene Produkte, für die bisher die CE-Kennzeichnung durch eine Benannte Stelle benötigt wurde, müssen dann von einer in Großbritannien zugelassenen Stelle (UK Approved Body) mit der UKCA-Kennzeichnung versehen werden. Die CE-Kennzeichnung wird für die meisten Produkte ab dem 1. Januar 2022 nicht mehr anerkannt werden. Für Schiffsausrüstungen, medizinische Geräte und IVDs wurde eine verlängerte Übergangsfrist gewährt. Shahm Barhom, Group Product Certification Director bei BSI Group (British Standard Institution, sagte: "Seit unserem Austritt aus der Europäischen Union am 31. Januar 2020 befinden wir uns in einer Übergangszeit, in der sowohl die UKCA- als auch die CE-Kennzeichnung akzeptiert werden, aber ab dem 1. Januar 2022 wird dies nicht mehr der Fall sein. Die meisten Produkte, die in Großbritannien auf den Markt gebracht werden, benötigen ab dem kommenden Jahr die UKCA-Kennzeichnung und die damit verbundenen Prüfungen und Zertifizierungen müssen von einer in Großbritannien zugelassenen Stelle durchgeführt werden.

  • EU-GwG Geldwäsche und Terrorismusfinanzierug

    Seit dem Jahr 1991, als das EU-GwG Geldwäsche und Terrorismusfinanzierung erstmals definierte und zum Straftatbestand erklärte, befindet es sich in einem stetigen Wandel. In der aktuellsten Ausführung - mittlerweile der fünften - reagieren die Änderungsrichtlinien besonders auf das Bekanntwerden der sogenannten Panama-Papers sowie auf die terroristischen Anschläge in Paris und Brüssel. Außerdem ergab eine Studie der Universität Halle von 2016, dass in Deutschland jährlich immer noch 100 Milliarden Euro gewaschen werden. (Dunkelstudie über den Umfang der Geldwäsche in Deutschland und über die Geldwäscherisiken in einzelnen Wirtschaftssektoren, Prof. Dr. jur. Kai-D. Bussmann, 2016). Letzte Überarbeitungen erweiterten daher vor allem den Kreis der Verpflichteten, sehen aber auch eine weitere Steigerung der Transparenz vor. Auch die Sorgfaltspflicht, primär beim Einsatz virtueller Währungen oder bei Geschäftsbeziehungen mit Hochrisikodrittländern, verschärft sich deutlich. Die Umsetzung dieser Erweiterungen bedeutet für verpflichtete Unternehmen einen hohen bürokratischen Aufwand, der einige Kapazitäten binden kann. Als umso wichtiger erweisen sich daher eine klare Präventionsstratiegie und innovative Softwareunterstützung.

  • Gesetz zum Whistleblower-Schutz

    Zum Ende des Jahres 2021 wird das deutsche Gesetz zum Whistleblower-Schutz in Kraft treten: Unternehmen mit mehr als 50 Angestellten bzw. einem Jahresumsatz von 10 Mio. Euro müssen verpflichtend Hinweisgebersysteme einführen. Was Arbeitnehmer sowie Unternehmen bei einer Whistleblowing-Plattform beachten sollten, weiß Whistleblowing-Experte Kai Leisering von Business Keeper. EU-Whistleblowing-Richtlinie: Noch sind Whistleblower in Europa und Deutschland nicht ausreichend geschützt: Häufig haben sie für die Meldung eines Missstandes mitunter schwerwiegende Konsequenzen zu befürchten. Das Bundesjustizministerium hat deswegen bis Ende des Jahres Zeit, das deutsche Gesetz zum Whistleblower-Schutz umzusetzen. Die Richtlinie verpflichtet Unternehmen mit mehr als 250 Angestellten bzw. einem Jahresumsatz von 10 Millionen Euro, ab 2023 dann auch Unternehmen mit über 50 Angestellten, staatliche Institutionen und Gemeinden ab einer bestimmten Größe zur Einführung einer Whistleblowing-Plattform.

  • Vermächtnis und Familienbande

    Leere Chefsessel in mittelständischen Betrieben? Vor allem in Familienunternehmen mit bis zu 500 Mitarbeitern sehen sich viele Senior-Entrepreneure bei ihrer Suche nach einem Nachfolger mit enormen Schwierigkeiten konfrontiert. Ein Mangel an geeigneten Kandidaten ist dabei nur einer der Stolpersteine auf dem Weg zum Generationswechsel im Betrieb. "Oft warten Inhaber zu lange damit, ihre Rückzugspläne zu konkretisieren. Bei anderen mangelt es an individuell zugeschnittenen Regelungen", weiß Felix Korten, Rechtsanwalt und Vorstand der Korten Rechtsanwälte AG. Damit sich die Stabsübergabe von der ersten auf die zweite oder sogar dritte Generation nicht zum Spießrutenlauf entwickelt, muss der Machtwechsel gründlich vorbereitet und professionell begleitet werden.