- Anzeigen -
Besuchen Sie auch unser Zeitschriftenportfolio im Bereich Governance, Risk, Compliance & Interne Revision

Überwachung und Kontrolle privilegierter User


Studie zum privilegierten User Management entarnt: In Unternehmen haben sich nicht Compliance-fähige Praktiken eingeschlichen
Privilegiertes User Management: Schlüssel für Compliance - Mehr als 40 Prozent der Befragten berichten von fehlerhafter Praxis – trotz ISO27001-Implementierung


(23.10.09) - CA, Anbieterin von IT-Management-Software, stellte die Ergebnisse einer europäischen Studie vor, die zeigt, dass fehlerhafte Praktiken beim Management der privilegierten User die Sicherheit europäischer Unternehmen gefährden. Die neue Studie mit dem Titel "Privileged User Management – It's Time to Take Control" wurde von Quocirca, einem britischen Marktforschungsunternehmen im Namen von CA in 14 Ländern – in Deutschland, den Niederlanden, in Belgien, Dänemark, Finnland, Frankreich, Irland, Israel, Italien, Norwegen, Portugal, Spanien, Schweden und im Vereinigten Königreich – durchgeführt.

Ein privilegierter User, auch "Superuser" genannt, ist typischerweise der IT- oder Netzwerkadministrator, der für die IT-Verfügbarkeit und Systemwartung zuständig ist – einschließlich der Applikations-, Sicherheits- und Datenbankverwaltung. Diese Administratoren bekommen für den Zugang zur IT-Infrastruktur im Unternehmen oftmals weitreichende Zugangsrechte zugewiesen, die weit über die Rechte, die die Mehrheit der IT-Nutzer hat, hinausgehen.

Dies führt zu einer Gefährdung der Unternehmenssicherheit. So räumen 41 Prozent der Befragten, die den ISO27001-Standard implementiert haben, ein, dass sich in ihrem Unternehmen nicht Compliance-fähige Praktiken eingeschlichen haben – etwa wenn privilegierte Benutzerkonten gemeinsam genutzt werden. Auch der fahrlässige Gebrauch von Standard-Namen oder Passwörtern für die "Superuser" gehört zur Mängelliste.

Die internationale Norm ISO 27001 spezifiziert die Anforderungen für die Herstellung, die Einführung, den Betrieb, die Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems. Von den 40 Teilnehmern aus Deutschland haben knapp 30 Prozent der Befragten dieses ISO-Qualitätssystem eingeführt, knapp 10 Prozent davon besitzen bereits eine Zertifizierung und weitere 50 Prozent befinden sich zurzeit in der Implementierungsphase.

Viele Sicherheitsvorfälle, die sich in den vergangenen Jahren ereigneten, haben die Risiken aufgezeigt, die sich aus einer Unterschätzung der Problematik der mangelhaften Superuser-Kontrolle ergeben. Wenn Administratoren und/oder privilegierte User exzessive Privilegien erhalten oder ihren Zugang mit anderen teilen, besteht das Risiko, dass sie – absichtlich oder unbeabsichtigt – große Schäden anrichten.

Darüber hinaus gibt es viele Beispiele von Hackerangriffen, die privilegierte Accounts (Benutzerkonten) ins Visier nehmen und sich erfolgreich Zugang zu kritischen Business-Applikationen und Daten verschaffen – vom einfachen Diebstahl verkäuflicher Daten wie Kreditkartendetails bis zu komplexen Betrügereien oder dem Diebstahl von intellektuellem Eigentum.

Trotz dieser Bedrohungen steht die Kontrolle und das Monitoring der Superuser-Aktivitäten nicht oben auf der Agendaliste der IT-Manager, belegt die Studie. Die befragten Unternehmen führen das Superuser-Management unter sieben anderen Sicherheitsthemen der Organisationen auf (Punktzahl 2,54 von 5 Punkten auf dem Bedrohungsindex). Das Risiko eines mangelhaft kontrollierten privilegierten User Managements wird weniger hoch eingeschätzt als beispielsweise Malware (2,9 Punkte), Internet (2,7), interne Mitarbeiter (2,7) und Web 2.0 (2,6).

Zudem stellt die Studie fest, dass ein hoher Grad an – unangebrachtem – Vertrauen in die Möglichkeiten gesetzt wird, das Privileg der Superuser zu begrenzen. Überdies sind die Befragten relativ zuversichtlich, dass sie die Anforderungen eines Compliance-fähigen Audits erfüllen können. Sie sorgen sich mehr um Datenverluste und die Gefährdung intellektuellen Eigentums.

Laut der Quocirca-Studie verfügen 24 Prozent der IT-Abteilungen über (irgend)eine Form der manuellen Kontrolle, um die Aktivitäten zu überwachen und den Zugang der Superuser zu kontrollieren. Manuelle Prozesse für das Überwachen und die Kontrolle der privilegierten User sind jedoch sehr zeitaufwändig und teuer sowie unzuverlässig und anfällig für Sicherheitsattacken. Trotz der Verfügbarkeit hochentwickelter Systeme und den offensichtlich guten Argumenten für ihren Einsatz haben nur 22 Prozent der Befragten ein umfassendes Privileged User Management (PUM) System eingeführt.

Knapp die Hälfte der Befragten (47 Prozent) planen eine PUM-Lösung einzuführen und erwarten große Vorteile davon. Ein Blick auf die Länderpraxis zeigt dabei große Differenzen: Während etwa in Frankreich zwei Drittel der Befragten ihre Superuser manuell kontrollieren, sind es in Deutschland nur wenige Prozent, die sich auf eine manuelle Überwachung stützen; rund zehn Prozent planen im Moment manuelle Kontrollprozesse einzuführen und mehr als 40 Prozent berichten von einer verzögerten Planung.

Als wichtigsten Grund für die verzögerte Umsetzung der Pläne wird mangelndes Budget angeführt (3,3 Punkte auf einer Skala mit 5 begrenzenden Faktoren). Dies widerspricht allerdings dem Fakt, dass die IT-Sicherheitsbudgets stabil sind beziehungsweise im Verhältnis zu den Gesamt-IT-Ausgaben sogar steigen. Insgesamt gesehen liegt der Grund für die Zurückhaltung in einem mangelnden Vertrauen in das privilegierte User Management sowie einer Unterschätzung der Risiken, die von Superusern ausgehen können.

Landesunterschiede
Die Untersuchung zeigt weitere interessante Unterschiede zwischen den Ländern, die an der Studie teilnahmen. Unter den Ländern, die am häufigsten Administratoren-Accounts gemeinsam nutzen, sind Frankreich (60 Prozent), gefolgt von Belgien (knapp 60 Prozent) und den Niederlanden mit 53 Prozent. Zudem vertrauen die Befragten aus Frankreich besonders stark auf ihre Fähigkeit, ihr privilegiertes User Management zu monitoren und zu kontrollieren (4,26 von 5 Punkten).

Deutschland liegt hier im Bereich von 3,5 Punkten. Die Länder, die am wenigsten Administratoren-Accounts gemeinsam nutzen, sind Spanien (7 Prozent), Israel (7 Prozent) und Deutschland mit 10 Prozent. 63 Prozent der französischen IT-Organisationen, die an der Studie teilnahmen, vertrauen auf ein manuelles PUM gefolgt von Belgien (50 Prozent) und Dänemark (47 Prozent).

Branchenunterschiede
Auch die Untersuchung der verschiedenen Industriesektoren deckt große Unterschiede auf: 42 Prozent der IT-Abteilungen im Telekommunikations- und Mediensektor sowie im öffentlichen Verwaltungsbereich räumen ein, dass sie die Benutzerkonten ihrer Systemadministratoren zwischen verschiedenen Administratoren teilen.

Im Fertigungssektor sind es nur 28 Prozent. Ironischerweise vertrauen Telekommunikation & Medien-Unternehmen besonders auf ihre Fähigkeit, privilegierte User Accounts zu überwachen (3,7 von 5 Punkten auf der "Vertrauens"-Skala), während der Öffentliche Verwaltungssektor bei 3,5 Punkten liegt.

Die Branche Telekommunikation & Medien führt die PUM-Implementierungen mit 37 Prozent an. Der Fertigungsbereich hat bisher nur zu 18 Prozent Sicherheitslösungen für das privilegierte User Management eingeführt. Schließlich haben 34 Prozent der Telekommunikation & Medien-Firmen Tools im Einsatz, die die Aktivitäten von Superusern kontrollieren, gefolgt vom Public Sector mit 25, der Finanzbranche mit 22 und Fertigungsbranche mit 13 Prozent.

"Die umfassende Untersuchung deckt auf, dass viele IT-Organisationen ein entscheidendes Themenfeld für die Sicherheit des Unternehmens unterschätzen: den privilegierten Systemzugang, den sie sich oder ihren Kollegen zugestehen, damit sie ihren Job machen können", sagt Tim Dunn von CA, Vice President, Security Business EMEA. "So notwendig ein solcher Zugang ist, herrscht die weit verbreitete Situation vor, ihn ad-hoc-mäßig zu managen.

Trotz regulativer Anforderungen wird die Bedeutung eines 'Privileged User Management' häufig übersehen. Die Implementierung eines privilegierten Usermanagements erlaubt es Unternehmen hingegen, die ausgereiften Funktionalitäten eines PUM-Systems die ganze Zeit über zu nutzen." Tim Dunn betont: "Das Privilegierte User Management ist der Schlüssel für Compliance. Es deckt Risiken auf, reduziert sie und schützt kritische Businessapplikationen."

Bob Tarzey, Analyst und Director von Quocirca Ltd. kommentiert: "Die Untersuchung belegt, dass es im Interesse jedes IT-Managers, jeder IT-Abteilung und der Geschäftsführung ist, Maßnahmen für die Überwachung und Kontrolle der privilegierten User einzuführen. Doch leider haben Maßnahmen für ein privilegiertes User Management keine Priorität in den Unternehmen.

Manuelle (Überwachungs-)Prozesse sind aber ineffektiv und bieten darüber hinaus nicht die Audit-Qualität, die Behörden zufrieden stellt. Der einzig sichere Weg zu einem wasserdichten privilegierten User Management ist die Automatisierung der privilegierten Benutzerkonten, die Verwendung eines privilegierten User-Zugangs und eine 360-Grad-Sicht auf alle Aktivitäten."

Die Studie "Privileged User Management – It's Time to Take Control" wurde von Quocirca durchgeführt, einem Forschungs- und Analyse-Unternehmen, das auf die Informations- und Kommunikationstechnologie sowie ihren Einfluss auf das Business spezialisiert ist. Quocirca interviewte im Juni 2009 insgesamt 270 IT Direktoren, Senior IT Security Manager sowie andere Manager aus vier Branchen: Telekommunikation & Medien, Fertigung, Finanzdienstleistungen und öffentliche Verwaltung. (CA: ra)

CA Technologies: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Keine Datenschutz- & Netzsicherheitsschulungen

    Naves Global hat einen neuen Bericht über Datensicherheit und Compliance in Unternehmen veröffentlicht. Dabei ergab sich, dass zwischen Mai 2018 und Januar 2019 in Deutschland 12.600 Datenschutzverletzungen gemeldet wurden. Damit ist Deutschland nach den Niederlanden das Land mit den zweitmeisten Verstößen in Europa. Der Bericht deckte auch auf, dass fast sieben von zehn Compliance-Beauftragten (69 Prozent) sich über Datenschutz Sorgen machen und 68 Prozent Netzsicherheit zum einem der wichtigsten Ethik- und Compliance-Themen erklärten, obwohl die regelmäßige Kontrolle Dritter (52 Prozent) und ein durchgehend risikobasierter Ansatz (44 Prozent) die effektivsten Faktoren für Verbesserung im Vergleich zu Risikomanagement sind.

  • Begehung von Wirtschaftsstraftaten

    Die Wirtschaftskriminalität in Deutschland verlagert sich zunehmend ins Internet. Sowohl über Webseiten als auch über soziale Medien kommt es verstärkt zu Fällen von Anlagebetrug. Das ist ein Ergebnis des "Bundeslagebilds Wirtschaftskriminalität 2018", das durch das Bundeskriminalamt (BKA) veröffentlicht wurde. Insgesamt gingen 2018 die Zahlen im Bereich der Wirtschaftskriminalität zurück: 50.550 Fälle wurden im Jahr 2018 polizeilich registriert, ein Rückgang um 31,8 Prozent im Vergleich zum Jahr davor (2017: 74.070 Fälle). Dieser deutliche Rückgang der Fallzahlen ist insbesondere auf ein im Jahr 2017 in Sachsen geführtes Verfahren mit mehr als 23.000 Anlagebetrugsdelikten zurückzuführen, die in die Statistik eingeflossen waren.

  • Besser vor unseriösem Inkasso schützen

    Inkassounternehmen bearbeiten derzeit rund 43 Millionen Forderungen. Dagegen stehen lediglich 811 Verbraucherbeschwerden, die zwischen Januar und September 2019 beim Bundesverband Deutscher Inkasso-Unternehmen e.V. (BDIU) eingegangen sind. Damit wird die Rechtsdienstleistung Inkasso von den rund 550 BDIU-Mitgliedsfirmen weit überwiegend beanstandungsfrei erbracht. Das geht aus einer aktuellen Statistik hervor, die der Verband jetzt veröffentlicht hat. Eine von drei Monierungen richtete sich gegen Verfahren und Workflow der Inkassobearbeitung, 26 Prozent betreffen Einwendungen gegen die Hauptforderung. Kritik an der Höhe der von den Inkassodienstleistern berechneten Gebühren und Auslagen fällt dagegen mit nur 17 Prozent kaum ins Gewicht.

  • Sicherheit von Unternehmen

    Prozent der in einer Studie befragten IT-Security-Experten aus Deutschland sagen, dass leitende Angestellte in ihrem Unternehmen Cybersicherheits-Richtlinien aufweichen oder ignorieren. Dies ist eines der brisantesten Ergebnisse der heute von Bitdefender veröffentlichten Studie "Hacked Off!". Dafür wurden im Rahmen einer internationalen Umfrage unter mehr als 6.000 IT-Security-Experten in acht Ländern auch 515 in Deutschland tätige Security-Spezialisten befragt. Ziel war es, herauszufinden, was ihnen Druck macht, wie sich dieser auf die Wirksamkeit von Sicherheitsmaßnahmen auswirkt, und was die Befragten als die besten Strategien zur Gewährleistung der Sicherheit von Unternehmen ansehen.

  • Bewertungs-Webseiten für Lebensmittel

    Verbraucher in Deutschland wünschen sich mehr Transparenz bei Lebensmitteln. Die Deutsche Bundesregierung will deshalb eine weitere Lebensmittelkennzeichnung einführen - ob dies der sogenannte Nutri-Score sein wird oder ein anderes Modell, ist aber noch offen. Darüber hinaus können auch digitale Technologien dabei helfen herauszufinden, was in unserem Essen steckt und woher es eigentlich kommt. Wie eine repräsentative Befragung des Digitalverbands Bitkom unter 1.003 Bundesbürgern ergibt, haben 17 Prozent bereits eine Barcode-Scanner-App für Informationen über Inhaltstoffe und Siegel von Lebensmitteln genutzt. Mehr als jeder Dritte (37 Prozent) kann sich vorstellen, eine solche Anwendung für sein Smartphone oder Tablet künftig zu verwenden. Dabei sind insbesondere jüngere Menschen an solchen digitalen Möglichkeiten für mehr Transparenz interessiert: Fast jeder zweite 16- bis 29-Jährige (48 Prozent) würde eine solche App nutzen, bei den über 65-Jährigen sind es immerhin 31 Prozent.