- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Überwachung und Kontrolle privilegierter User


Studie zum privilegierten User Management entarnt: In Unternehmen haben sich nicht Compliance-fähige Praktiken eingeschlichen
Privilegiertes User Management: Schlüssel für Compliance - Mehr als 40 Prozent der Befragten berichten von fehlerhafter Praxis – trotz ISO27001-Implementierung


(23.10.09) - CA, Anbieterin von IT-Management-Software, stellte die Ergebnisse einer europäischen Studie vor, die zeigt, dass fehlerhafte Praktiken beim Management der privilegierten User die Sicherheit europäischer Unternehmen gefährden. Die neue Studie mit dem Titel "Privileged User Management – It's Time to Take Control" wurde von Quocirca, einem britischen Marktforschungsunternehmen im Namen von CA in 14 Ländern – in Deutschland, den Niederlanden, in Belgien, Dänemark, Finnland, Frankreich, Irland, Israel, Italien, Norwegen, Portugal, Spanien, Schweden und im Vereinigten Königreich – durchgeführt.

Ein privilegierter User, auch "Superuser" genannt, ist typischerweise der IT- oder Netzwerkadministrator, der für die IT-Verfügbarkeit und Systemwartung zuständig ist – einschließlich der Applikations-, Sicherheits- und Datenbankverwaltung. Diese Administratoren bekommen für den Zugang zur IT-Infrastruktur im Unternehmen oftmals weitreichende Zugangsrechte zugewiesen, die weit über die Rechte, die die Mehrheit der IT-Nutzer hat, hinausgehen.

Dies führt zu einer Gefährdung der Unternehmenssicherheit. So räumen 41 Prozent der Befragten, die den ISO27001-Standard implementiert haben, ein, dass sich in ihrem Unternehmen nicht Compliance-fähige Praktiken eingeschlichen haben – etwa wenn privilegierte Benutzerkonten gemeinsam genutzt werden. Auch der fahrlässige Gebrauch von Standard-Namen oder Passwörtern für die "Superuser" gehört zur Mängelliste.

Die internationale Norm ISO 27001 spezifiziert die Anforderungen für die Herstellung, die Einführung, den Betrieb, die Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems. Von den 40 Teilnehmern aus Deutschland haben knapp 30 Prozent der Befragten dieses ISO-Qualitätssystem eingeführt, knapp 10 Prozent davon besitzen bereits eine Zertifizierung und weitere 50 Prozent befinden sich zurzeit in der Implementierungsphase.

Viele Sicherheitsvorfälle, die sich in den vergangenen Jahren ereigneten, haben die Risiken aufgezeigt, die sich aus einer Unterschätzung der Problematik der mangelhaften Superuser-Kontrolle ergeben. Wenn Administratoren und/oder privilegierte User exzessive Privilegien erhalten oder ihren Zugang mit anderen teilen, besteht das Risiko, dass sie – absichtlich oder unbeabsichtigt – große Schäden anrichten.

Darüber hinaus gibt es viele Beispiele von Hackerangriffen, die privilegierte Accounts (Benutzerkonten) ins Visier nehmen und sich erfolgreich Zugang zu kritischen Business-Applikationen und Daten verschaffen – vom einfachen Diebstahl verkäuflicher Daten wie Kreditkartendetails bis zu komplexen Betrügereien oder dem Diebstahl von intellektuellem Eigentum.

Trotz dieser Bedrohungen steht die Kontrolle und das Monitoring der Superuser-Aktivitäten nicht oben auf der Agendaliste der IT-Manager, belegt die Studie. Die befragten Unternehmen führen das Superuser-Management unter sieben anderen Sicherheitsthemen der Organisationen auf (Punktzahl 2,54 von 5 Punkten auf dem Bedrohungsindex). Das Risiko eines mangelhaft kontrollierten privilegierten User Managements wird weniger hoch eingeschätzt als beispielsweise Malware (2,9 Punkte), Internet (2,7), interne Mitarbeiter (2,7) und Web 2.0 (2,6).

Zudem stellt die Studie fest, dass ein hoher Grad an – unangebrachtem – Vertrauen in die Möglichkeiten gesetzt wird, das Privileg der Superuser zu begrenzen. Überdies sind die Befragten relativ zuversichtlich, dass sie die Anforderungen eines Compliance-fähigen Audits erfüllen können. Sie sorgen sich mehr um Datenverluste und die Gefährdung intellektuellen Eigentums.

Laut der Quocirca-Studie verfügen 24 Prozent der IT-Abteilungen über (irgend)eine Form der manuellen Kontrolle, um die Aktivitäten zu überwachen und den Zugang der Superuser zu kontrollieren. Manuelle Prozesse für das Überwachen und die Kontrolle der privilegierten User sind jedoch sehr zeitaufwändig und teuer sowie unzuverlässig und anfällig für Sicherheitsattacken. Trotz der Verfügbarkeit hochentwickelter Systeme und den offensichtlich guten Argumenten für ihren Einsatz haben nur 22 Prozent der Befragten ein umfassendes Privileged User Management (PUM) System eingeführt.

Knapp die Hälfte der Befragten (47 Prozent) planen eine PUM-Lösung einzuführen und erwarten große Vorteile davon. Ein Blick auf die Länderpraxis zeigt dabei große Differenzen: Während etwa in Frankreich zwei Drittel der Befragten ihre Superuser manuell kontrollieren, sind es in Deutschland nur wenige Prozent, die sich auf eine manuelle Überwachung stützen; rund zehn Prozent planen im Moment manuelle Kontrollprozesse einzuführen und mehr als 40 Prozent berichten von einer verzögerten Planung.

Als wichtigsten Grund für die verzögerte Umsetzung der Pläne wird mangelndes Budget angeführt (3,3 Punkte auf einer Skala mit 5 begrenzenden Faktoren). Dies widerspricht allerdings dem Fakt, dass die IT-Sicherheitsbudgets stabil sind beziehungsweise im Verhältnis zu den Gesamt-IT-Ausgaben sogar steigen. Insgesamt gesehen liegt der Grund für die Zurückhaltung in einem mangelnden Vertrauen in das privilegierte User Management sowie einer Unterschätzung der Risiken, die von Superusern ausgehen können.

Landesunterschiede
Die Untersuchung zeigt weitere interessante Unterschiede zwischen den Ländern, die an der Studie teilnahmen. Unter den Ländern, die am häufigsten Administratoren-Accounts gemeinsam nutzen, sind Frankreich (60 Prozent), gefolgt von Belgien (knapp 60 Prozent) und den Niederlanden mit 53 Prozent. Zudem vertrauen die Befragten aus Frankreich besonders stark auf ihre Fähigkeit, ihr privilegiertes User Management zu monitoren und zu kontrollieren (4,26 von 5 Punkten).

Deutschland liegt hier im Bereich von 3,5 Punkten. Die Länder, die am wenigsten Administratoren-Accounts gemeinsam nutzen, sind Spanien (7 Prozent), Israel (7 Prozent) und Deutschland mit 10 Prozent. 63 Prozent der französischen IT-Organisationen, die an der Studie teilnahmen, vertrauen auf ein manuelles PUM gefolgt von Belgien (50 Prozent) und Dänemark (47 Prozent).

Branchenunterschiede
Auch die Untersuchung der verschiedenen Industriesektoren deckt große Unterschiede auf: 42 Prozent der IT-Abteilungen im Telekommunikations- und Mediensektor sowie im öffentlichen Verwaltungsbereich räumen ein, dass sie die Benutzerkonten ihrer Systemadministratoren zwischen verschiedenen Administratoren teilen.

Im Fertigungssektor sind es nur 28 Prozent. Ironischerweise vertrauen Telekommunikation & Medien-Unternehmen besonders auf ihre Fähigkeit, privilegierte User Accounts zu überwachen (3,7 von 5 Punkten auf der "Vertrauens"-Skala), während der Öffentliche Verwaltungssektor bei 3,5 Punkten liegt.

Die Branche Telekommunikation & Medien führt die PUM-Implementierungen mit 37 Prozent an. Der Fertigungsbereich hat bisher nur zu 18 Prozent Sicherheitslösungen für das privilegierte User Management eingeführt. Schließlich haben 34 Prozent der Telekommunikation & Medien-Firmen Tools im Einsatz, die die Aktivitäten von Superusern kontrollieren, gefolgt vom Public Sector mit 25, der Finanzbranche mit 22 und Fertigungsbranche mit 13 Prozent.

"Die umfassende Untersuchung deckt auf, dass viele IT-Organisationen ein entscheidendes Themenfeld für die Sicherheit des Unternehmens unterschätzen: den privilegierten Systemzugang, den sie sich oder ihren Kollegen zugestehen, damit sie ihren Job machen können", sagt Tim Dunn von CA, Vice President, Security Business EMEA. "So notwendig ein solcher Zugang ist, herrscht die weit verbreitete Situation vor, ihn ad-hoc-mäßig zu managen.

Trotz regulativer Anforderungen wird die Bedeutung eines 'Privileged User Management' häufig übersehen. Die Implementierung eines privilegierten Usermanagements erlaubt es Unternehmen hingegen, die ausgereiften Funktionalitäten eines PUM-Systems die ganze Zeit über zu nutzen." Tim Dunn betont: "Das Privilegierte User Management ist der Schlüssel für Compliance. Es deckt Risiken auf, reduziert sie und schützt kritische Businessapplikationen."

Bob Tarzey, Analyst und Director von Quocirca Ltd. kommentiert: "Die Untersuchung belegt, dass es im Interesse jedes IT-Managers, jeder IT-Abteilung und der Geschäftsführung ist, Maßnahmen für die Überwachung und Kontrolle der privilegierten User einzuführen. Doch leider haben Maßnahmen für ein privilegiertes User Management keine Priorität in den Unternehmen.

Manuelle (Überwachungs-)Prozesse sind aber ineffektiv und bieten darüber hinaus nicht die Audit-Qualität, die Behörden zufrieden stellt. Der einzig sichere Weg zu einem wasserdichten privilegierten User Management ist die Automatisierung der privilegierten Benutzerkonten, die Verwendung eines privilegierten User-Zugangs und eine 360-Grad-Sicht auf alle Aktivitäten."

Die Studie "Privileged User Management – It's Time to Take Control" wurde von Quocirca durchgeführt, einem Forschungs- und Analyse-Unternehmen, das auf die Informations- und Kommunikationstechnologie sowie ihren Einfluss auf das Business spezialisiert ist. Quocirca interviewte im Juni 2009 insgesamt 270 IT Direktoren, Senior IT Security Manager sowie andere Manager aus vier Branchen: Telekommunikation & Medien, Fertigung, Finanzdienstleistungen und öffentliche Verwaltung. (CA: ra)

CA Technologies: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Taxi-Gewerbe und unliebsame Konkurrenz

    Die Mehrheit der Bundesbürger sieht neue Fahrdienste als wichtige Ergänzung zu bestehenden Angeboten wie Taxi, Bus und Bahn - und wünscht sich, dass die bestehenden gesetzlichen Benachteiligungen auch aus Gründen des Klimaschutzes schnellstmöglich aufgehoben werden. Das ist das Ergebnis einer repräsentativen Befragung von mehr als 1.000 Bundesbürgern im Auftrag des Digitalverbands Bitkom. 9 von 10 Bundesbürgern (89 Prozent) kritisieren, dass gesetzlich erzwungene Leerfahrten von Mobilitätsdiensten mit Fahrer die Umwelt unnötig belasten. Nach der geltenden Rechtslage müssen Fahrzeuge von solchen Unternehmen, deren Fahrten zum Beispiel über Apps von Uber oder Free Now Ride buchbar sind, nach jeder Fahrt leer zum Betriebssitz zurückfahren, wenn sie keinen direkten Folgeauftrag haben oder auf der Rückfahrt bekommen.

  • Online-Banking ist die Regel

    Wie viele Bundesbürger nutzen Online-Banking? Bleiben die Kunden ihrer Hausbank treu und welche Zukunft hat die Filiale? Wer würde auch Angebote eines Digitalunternehmens annehmen? Und was halten die Deutschen von Online-Angeboten der Versicherungsbranche? Antworten auf diese Fragen liefert der Studienbericht "Digital Finance 2019 - Die Transformation der Finanzindustrie in Zahlen", den der Digitalverband Bitkom veröffentlicht hat. "Online-Banking hat sich in wenigen Jahren von der Ausnahme zur Regel entwickelt. Und inzwischen stellen nicht mehr nur etablierte Geldinstitute Online-Angebote zur Verfügung, sondern neue, rein digitale Wettbewerber drängen auf den Markt", sagt Julian Grigo, Bereichsleiter Digital Banking & Financial Services beim Bitkom. Und Fabian Nadler, Referent Digital Insurance & InsurTech betont: "Eine ähnliche Entwicklung mit einem noch höheren Tempo bei der Digitalisierung erleben wir aktuell in der Versicherungsbranche. Der vorliegende Studienbericht stellt eine Fülle von Daten und Fakten und Zeitreihen bereit, die diese Trends beschreiben."

  • Erfolgreiche Bekämpfung von Korruption

    Die Zahl der Korruptionsstraftaten in Deutschland geht weiter zurück. Im Jahr 2018 hat die Polizei insgesamt 3.804 Korruptionsstraftaten registriert - ein Rückgang von rund 22 Prozent im Vergleich zum Vorjahr und gleichzeitig der niedrigste Stand der vergangenen fünf Jahre. Das geht aus dem Bundeslagebild "Korruption 2018" hervor, das das Bundeskriminalamt veröffentlicht hat. Auch der durch Korruption entstandene Schaden ist gesunken, dieser lag 2018 bei 121 Millionen Euro (2017: 291 Millionen Euro). Der starke Rückgang um 58 Prozent im Vergleich zu 2017 lässt sich durch den hohen mehrstelligen Millionenschaden in einem Verfahren erklären, welches im Vorjahr in die Statistik eingeflossen ist.

  • Keine Datenschutz- & Netzsicherheitsschulungen

    Naves Global hat einen neuen Bericht über Datensicherheit und Compliance in Unternehmen veröffentlicht. Dabei ergab sich, dass zwischen Mai 2018 und Januar 2019 in Deutschland 12.600 Datenschutzverletzungen gemeldet wurden. Damit ist Deutschland nach den Niederlanden das Land mit den zweitmeisten Verstößen in Europa. Der Bericht deckte auch auf, dass fast sieben von zehn Compliance-Beauftragten (69 Prozent) sich über Datenschutz Sorgen machen und 68 Prozent Netzsicherheit zum einem der wichtigsten Ethik- und Compliance-Themen erklärten, obwohl die regelmäßige Kontrolle Dritter (52 Prozent) und ein durchgehend risikobasierter Ansatz (44 Prozent) die effektivsten Faktoren für Verbesserung im Vergleich zu Risikomanagement sind.

  • Begehung von Wirtschaftsstraftaten

    Die Wirtschaftskriminalität in Deutschland verlagert sich zunehmend ins Internet. Sowohl über Webseiten als auch über soziale Medien kommt es verstärkt zu Fällen von Anlagebetrug. Das ist ein Ergebnis des "Bundeslagebilds Wirtschaftskriminalität 2018", das durch das Bundeskriminalamt (BKA) veröffentlicht wurde. Insgesamt gingen 2018 die Zahlen im Bereich der Wirtschaftskriminalität zurück: 50.550 Fälle wurden im Jahr 2018 polizeilich registriert, ein Rückgang um 31,8 Prozent im Vergleich zum Jahr davor (2017: 74.070 Fälle). Dieser deutliche Rückgang der Fallzahlen ist insbesondere auf ein im Jahr 2017 in Sachsen geführtes Verfahren mit mehr als 23.000 Anlagebetrugsdelikten zurückzuführen, die in die Statistik eingeflossen waren.