Sie sind hier: Home » Markt » Hinweise & Tipps

Compliance und Privileged-User-Management


Gravierende Missverständnisse hinsichtlich IT-Sicherheit: Behalten Sie nach dem Audit einen scharfen Fokus auf Compliance
Jemand, der physikalisch oder über Skripts über ein Gerät Passwort-Änderungen zur Einhaltung von Compliance-Regularien vornehmen soll, wird in der Regel auf Probleme stoßen oder Fehler machen


(23.10.12) - Wallix trifft in Unternehmen immer wieder auf fünf schwerwiegende Missverständnisse hinsichtlich IT-Sicherheit, die, wenn sie nicht behoben werden, zu einem unzureichenden Schutz führen können. Perimetersicherheit via Firewalls, IPS/IDS oder VPN wird größtenteils bereits gut verstanden und implementiert, aber das Risiko durch privilegierte Anwender (wie externe Dienstleister oder interne Administratoren) wird oft nicht in Betracht gezogen.

Welche Missverständnisse es in den meisten Unternehmen immer wieder gibt, hat Wallix dargestellt.

1. Wir hatten gerade ein Audit für unser System. Wir halten unsere Richtlinien ein.
Missverständnis 1:
Auch wenn Ihr Audit erfolgreich war, heißt dies nicht, dass Sie gegen Angriffe geschützt sind. Warum könnte Ihre Zuversicht unberechtigt sein? Zum einen bereiten sich zwar viele IT-Abteilungen im Vorfeld eines Audits sehr sorgfältig vor, um eine gute Compliance zu erzielen. Wenn jedoch der Druck vorbei ist, tendieren sie dazu, das Thema Compliance für den Rest des Jahres zu vernachlässigen. Zum anderen wissen die Prüfer nicht notwendigerweise, wo sie nach Sicherheitsschwachstellen suchen müssen und orientieren sich eventuell in die falsche Richtung.

Hacker greifen ohne Vorwarnung an und verlassen sich nicht auf Glück, um Zugang zu Ihren Systemen zu bekommen. Sie wissen sehr präzise, wonach sie suchen und wo sie dies am ehesten finden.

Wallix empfiehlt: Behalten Sie nach dem Audit einen scharfen Fokus auf Compliance und betrachten Sie sie als eine tagtägliche Aufgabe. Sicherheitslücken sollten vorrangig regelmäßig festgestellt und bereinigt werden.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT-SecCity.de (www.itseccity.de)

2. Passwörter werden regelmäßig geändert: Wir sind sicher.
Missverständnis 2:
Auch wenn Sie die Passwörter normaler Anwender oft ändern, sind in vielen Fällen privilegierte Anwender für diese Aufgabe selbst zuständig. Da viele aber nicht in diesen Passwortänderungsprozess involviert sind, werden ihre Zugangsdaten nicht regelmäßig modifiziert und sogar wenn Administratoren ihre Zugangsdaten manuell ändern, garantiert dies keine Sicherheit. Die Aufgabe könnte zu aufwendig, schwierig und zeitraubend sein, um sie dauerhaft durchzuführen.

Jemand, der physikalisch oder über Skripts über ein Gerät Passwort-Änderungen zur Einhaltung von Compliance-Regularien vornehmen soll, wird in der Regel auf Probleme stoßen oder Fehler machen. Stellen Sie sich beispielsweise die Anzahl und Komplexität der auf Geräten installierten Services vor, zu denen privilegierte Nutzer Zugang haben. Diese Geräte und Systeme müssen korrekt heruntergefahren und dann nach einem ebenfalls spezifizierten Prozess wieder hochgefahren werden, bevor eine Änderung implementiert ist. Dies ist eine schwierige Aufgabe, die nur wenige Personen sicher und effektiv durchführen können.

Wallix empfiehlt: Stellen Sie sicher, dass alle voreingestellten Passwörter geändert wurden, bevor Sie ein neues Gerät oder Programm in Ihrem Netzwerk einsetzen. Das ist leichter gesagt als getan, denn möglicherweise gibt es weit mehr geteilte Zugangsdaten als Sie denken.

3. Für privilegierte Accounts hat jeder Administrator eigene einmalige Zugangsdaten. Da besteht absolut kein Risiko.
Missverständnis 3:
Dies ist ein Bereich, in dem Bequemlichkeit Sicherheit zunichte machen kann. Viele der 'gehackten' Unternehmen waren sicher überzeugt, dass die Zugangsdaten privilegierter Accounts einmalig vergeben waren, bis sie realisierten, dass sie in Wirklichkeit von vielen privilegierten Anwendern genutzt wurden. Es gibt zahlreiche administrative Accounts und auch bei ihnen ist es nicht ungewöhnlich, dass ihre Zugangsdaten geteilt werden. Wenn mehrere privilegierte Anwender die gleichen Zugangsdaten für den Zugang zu Systemen und die Implementierung von Änderungen nutzen, ist es unmöglich, zu wissen, von wem die Änderungen stammen und wer Zugang zu sensiblen Daten hatte.

Wallix empfiehlt: Legen Sie regelmäßige Updates Ihrer privilegierten Accounts fest – maximal nach 60 Tagen. Implementieren Sie ein komplexes und einmaliges Passwort für jeden einzelnen privilegierten Account.

4. Unsere IT-Abteilung kontrolliert den Zugang. Was sollte passieren?
Missverständnis 4:
Nur weil der Zugang kontrolliert wird, bedeutet dies nicht, dass Sie sicher sind. Warum? Weil die Passwörter höher privilegierter Accounts in der Regel in Anwendungen integriert sind oder direkt an externe Dienstleister kommuniziert werden. Werden diese Zugangsdaten geteilt, ist es absolut unmöglich, präzise zu wissen, wer sich einloggt und wer was exakt während einer Session getan hat. Da diese Passwörter nicht oft geändert werden, haben Mitarbeiter, die das Unternehmen kürzlich verlassen haben oder Dienstleister, deren Vertrag ausgelaufen ist, eine (Gnaden-)Frist, in der sie ihre (temporär noch gültigen) Zugangsdaten für das Einhacken in die Unternehmenssysteme nutzen können.

Wallix empfiehlt. IAM (Indentity and Access Management) ist nur eine Teillösung, die den Umsatz nicht optimal managen kann. Genau wie ein Unternehmen sich entwickelt und wächst, entwickeln sich und wachsen auch seine Mitarbeiter. Sie ändern ihre Positionen, ihre Rollen, übernehmen größere Verantwortung, haben mehr Autorität – und natürlich verlassen auch Mitarbeiter das Unternehmen. Wenn ihre Zugangsdaten nach der beruflichen Veränderung – in welcher Form auch immer – nicht modifiziert werden, haben sie nach wie vor Zugang zu Informationen und zu Services, die eventuell nicht mehr ihrem neuen Status entsprechen.

5. Wir haben Indentity and Access Management implementiert. Wir kontrollieren alles.
Missverständnis 5:
Unternehmen implementieren nur selten Lösungen zum Managen höher privilegierter Accounts, die z.B. für Notfälle oder administrativen Zugang genutzt werden. Das bedeutet, dass keine eventuell bestehende Sicherheitslösung, wie eine Firewall oder IAM-Software, den Zugang zu privilegierten Accounts rückverfolgen und managen kann. Solange Sie keine dedizierte Lösung hierfür einsetzen, wird diese Aufgabe nicht erfüllt, da die vorher genannten Lösungen dies nicht können.

Wallix empfiehlt: Setzen Sie eine Lösung ein, die alle privilegierten Accounts auflistet, alle Aktivitäten prüft, alle Aktionen verfolgt und aufzeichnet und einfach zu nutzende Werkzeuge zur Überwachung der Administration bietet. (Wallix: ra)

Wallix: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Cyber-Versicherung im Blickpunkt

    Cyber-Kriminalität gehört zu den sich am schnellsten entwickelnden Risiken für Unternehmen. Doch was tun im Schaden­fall? Oft gehen hohe finanzielle Belastungen und Image-Verluste damit einher. Die Cyber-Versicherung rückt daher zunehmend in den Blickpunkt. Sie stellt einen wichtigen Teil des Risiko-Managements eines Unternehmens dar, weiß Carmao.

  • Homeoffice: Wieviel Monitoring ist zulässig?

    Vertrauen ist gut, aber Kontrolle besser? Insbesondere bei Führungskräften lösen Homeoffice-Regelungen nicht immer Begeisterungstürme aus. Durch die Remote-Work-Situation scheinen Mitarbeiter nicht mehr greifbar. Sehen, was das Team tut? Fehlanzeige. Und überhaupt kann niemand sagen, ob alle wirklich arbeiten oder nur auf dem Sofa sitzen, Kaffee trinken und die Füße hochlegen. Anstatt auf Distance Leadership Skills zu setzen, begegnen einige Unternehmen diesem vermeintlichen Kontrollverlust mit technischer Aufrüstung und mutieren zu regelrechten Doppel-Null-Spionen. Dabei sind zumindest in Sachen Gadgets der Überwachung kaum Grenzen gesetzt. Von der Erfassung von Tastenanschlägen bis hin zur KI-gestützten Gesichtserkennungssoftware, die etwa Müdigkeit als Anzeichen für Unproduktivität wertet, ist alles möglich.

  • Auswirkungen von Cyberangriffen minimieren

    Die russische Offensive begann im digitalen Raum bereits einige Zeit vor dem Einmarsch in die Ukraine. "Während Cyberangriffe auf militärische Zielsysteme, Behörden und Institutionen bereits seit längerem stattfinden, spielte der digitale Raum in den ersten Tagen des russischen Angriffskriegs nur eine nachgelagerte Rolle. Mit zunehmender Kriegsdauer könnte sich dies wieder ändern, und das kann unmittelbare Konsequenzen für Deutschland und seine Wirtschaft haben. Denn die Distanzen im digitalen Raum sind kurz und die Grenzen nicht so klar, wie sie sein müssten", erklärt Bitkom-Sicherheitsexperte Sebastian Artz. "Es gibt keinen Grund zur Panik, aber mit dem Angriffskrieg Russlands ist auch im deutschen Cyberraum volle Aufmerksamkeit und größtmögliche Wachsamkeit aller Unternehmen, Organisationen und staatlichen Stellen geboten."

  • Risikoentscheidungen zu Klima- oder Cybergefahren

    Politische Unsicherheiten, Naturgefahren, aber - allen voran - Verluste, die aus ESG -Verpflichtungen erwachsen, werden die Risikomanager in deutschen Unternehmen nächstes Jahr beschäftigen. Zu diesem Schluss kommt der international tätige Versicherungsmakler WTW und mahnt Unternehmen, ihr Risikomanagement grundlegend zu verändern: "Es kommen zu viele neue, bisher unbekannte Risiken auf Organisationen zu, als dass man weiterhin ‚Risikomanagement im Rückspiegel' betreiben könnte", erklärt Mathias Pahl Head of Corporate Risk & Broking bei WTW. "Risikoentscheidungen zu Klima- oder Cybergefahren können nicht auf Vergangenheitswerten basieren - die sogenannten ‚Emerging Risks' zeichnen sich dadurch aus, dass sie durch fehlende historische Daten kaum oder nur schwer zu bewerten sind."

  • Handling von Umweltregularien

    Im Tagesgeschäft der Elektronik spielen Umweltregularien eine immer wichtigere Rolle und stellen nicht nur die Distribution sondern auch andere Unternehmen entlang der Supply Chain vor Herausforderungen. Um das Handling zu vereinfachen, werden verschiedene Aufgaben wie die Beschaffung von Umweltbescheinigungen gerne an Drittfirmen ausgelagert. Allerdings gibt es hier Fallstricke, so dass der FBDi empfiehlt, besondere Beachtung auf nachfolgende Punkte zu legen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen