Wie man Endpunkte durch Least Privilege-Kontrollen effektiv absichert

bei

 / 14. April. 2021

Endpunkte stellen nach wie vor die größte Schwachstelle in der Unternehmens-IT dar und bieten Cyberkriminellen fruchtbaren Boden für vielfältige Angriffe. In Zeiten, in denen immer mehr Mitarbeiter dezentral im Homeoffice arbeiten und Endgeräte – einschließlich Laptops, Tablets oder Smartphones – immer häufiger die geschützte Unternehmensumgebung verlassen, ist die Bedrohung realer denn je. Denn die Benutzeridentität ist nun zum neuen Perimeter der Cybersicherheit geworden, was die Angriffsfläche der Unternehmen drastisch vergrößert hat. Galten lange Zeit ausschließlich IT-Mitarbeiter wie Administratoren als privilegierte und daher besonders schützenswerte Nutzer, müssen heutzutage so gut wie alle Mitarbeiter, die Zugang zur Unternehmens-IT oder der Cloud-Infrastruktur haben, als Privileged User eingestuft und dementsprechend gemanagt werden. Denn bei Privilegien geht es längst nicht mehr nur um weitreichende Berechtigungen, sondern letztlich um jegliche Art von Zugriffen, die über jedes denkbare Endgerät ausgeführt werden.

Ein effektiver Weg, um das Risiko von Privilegien-Missbrauch über Endpunkte zu kontrollieren, führt über ein strategisch umgesetztes Endpoint Privilege Management (EPM). Dieses umfasst eine Reihe von Technologien und Sicherheitsmaßnahmen, welche die Umsetzung eines risikobasierten Zero-Trust-Modells sowie eines Least Privilege-Ansatzes verfolgen. Denn durch die konsequente Beschränkung von Zugriffen gemäß der Rolle und Funktionalität eines jeden Users hilft EPM den IT-Abteilungen, Bedrohungen wie Ransomware, Datendiebstahl oder Manipulationen auszumerzen und Schäden zu mindern.

Was versteht man unter Endpoint Privilege Management?

Dringen Cyberkriminelle in ein Netzwerk ein, nutzen sie in erster Linie Windows-, macOS- und Linux-Endgeräte als Einstiegspunkt. Dort angekommen, versuchen sie, privilegierte Accounts zu kompromittieren. Angriffe dieser Art sind in erster Linie auf mangelhafte Passwort-Hygiene zurückzuführen sowie auf Benutzer, die über zu weitgefasste Berechtigungen für den Zugriff auf Endpunkt- und Netzwerkressourcen verfügen.

Endpoint Privilege Management (EPM) dämmt diese gefährliche Schwachstelle ein, indem es einen Zero-Trust-Ansatz verfolgt und auf sämtliche Benutzer, Anwendungen und Dienste das Least Privilege-Prinzip anwendet. Hierbei wird sichergestellt, dass jede Identität nur auf die Programme und Daten zugreifen kann, die sie zum Ausführen ihrer Tätigkeit bzw. zum Funktionieren auch benötigt. Berechtigungen zur Erhöhung von Privilegien müssen dabei ebenfalls streng kontrolliert und überwacht werden

Eine erfolgversprechende EPM-Strategie setzt sich dabei aus drei elementaren Security-Kontrollen zusammen: 

 

1.Privileged Access Management (PAM)

Privilegierte Accounts, wie Administrator-Konten oder Service-Accounts, erlauben, Aufgaben und Prozesse auszuführen, die erhöhte Berechtigungen erfordern. Da sie uneingeschränkten Zugriff auf sensible Ressourcen und die administrative Kontrolle über das Netzwerk gewähren, sind sie besonders schützenswert. Das Ziel von PAM ist es daher, privilegierte Konten und Zugriffe effektiv zu verwalten und abzusichern. Dabei werden entsprechende Accounts mit Hilfe von Richtlinien wirksam identifiziert, in Echtzeit überwacht und gegebenenfalls gelöscht, der Zugriff auf sie eingeschränkt sowie Sicherheitsteams im Falle von verdächtigen Aktivitäten unmittelbar alarmiert.

2.Endpoint Application Control (EAP)

EAC oder Anwendungssteuerung wendet Least Privilege-Restriktionen auf Anwendungen und Dienste an, indem sie die Ausführung bestimmter Prozesse an zuvor festgelegte Bedingungen knüpft. Dank EAC ist es möglich, auch Nutzern ohne administrative Rechte gängige, für ihre Arbeit notwendige Prozesse wie z. B. das Installieren von Druckern zu ermöglichen, und bewahrt IT-Teams so vor zeitintensiven Support-Anfragen. Gleichzeitig kann definiert werden, dass bei sensiblen Programmen wie cmd oder PowerShell Nutzer mit Admin-Rechten wie „Standardnutzer“ behandelt werden, um Missbrauch dieser kritischen Tools einzuschränken.

3.Local Account Management

Local Account Management befasst sich mit der Verwaltung und Absicherung von Benutzerkonten, die lokal – etwa auf einem Windows-PC – gespeichert sind. Dies geschieht u.a. durch das Entfernen von Konten aus privilegierten Gruppen wie Administratoren oder Microsoft RDP-Benutzern sowie durch das Definieren von Regeln, die vorschreiben, welche Konten zu privilegierten Gruppen auf dem Endpunkt hinzugefügt werden können und welche nicht. Dadurch wird verhindert, dass Änderungen an der Gruppenzugehörigkeit direkt auf dem Endpunkt vorgenommen werden.

Die Integration von EPM ins bestehende IT-Security-Ökosystem

Wie die obige Ausführung gezeigt hat, konzentriert sich EPM fast ausschließlich auf die Bedrohungen, die auf Berechtigungsnachweise und Privilegien von Endgeräten abzielen. Um raffinierte Cyberangriffe auf Endpunkte abzuwehren, ist jedoch eine Defense-in-Depth-Strategie nötig, die aus verschiedenen sich ergänzenden Tools besteht. Hierzu zählen unter anderem Endpoint Protection-Plattformen, Endpoint Detection & Response (EDR)-Lösungen, Data Loss Prevention (DLP), File Integrity Monitoring (FIM) und System Center Configuration Manager (SCCM).

EPM arbeitet sowohl unabhängig als auch im Zusammenspiel mit diesen Endpoint Security-Technologien, um das Angriffsrisiko zu minimieren und im Falle eines erfolgten Angriffs, die Schäden so weit wie möglich einzudämmen. Indem EPM-Tools mit anderen Endpoint-Security-Lösungen integriert werden, kann die Verwaltung der gesamten Sicherheitsinfrastruktur erleichtert und gleichzeitig die Effektivität der einzelnen Komponenten verbessert werden. In diesem Fall ist das Ganze tatsächlich größer als die Summe seiner Teile.

Die Integration selbst sollte dabei schrittweise erfolgen: So sollte die IT-Abteilung zunächst die Endpunktsicherheits-Tools implementieren, die die geringsten Auswirkungen auf die Benutzer haben. Anschließend kann in der gesamten IT-Umgebung allmählich das Least Privilege-Prinzip eingeführt und durchgesetzt werden. Sobald dies erledigt ist, können weitere unverzichtbare Endpunkttechnologien wie EPP oder DER integriert werden, um schließlich die gewünschte Tiefenverteidigungs-Strategie zu realisieren.

Wege zum Erfolg

Jede EPM-Implementierung, die die Produktivität der Anwender in irgendeiner Weise einschränkt, wird früher oder später scheitern. Sollten etwa auferlegte Sicherheitskontrollen zu restriktiv sein oder Arbeitsprozesse verzögern, werden Anwender versuchen, über Cloud-Ressourcen und -Anwendungen die traditionellen IT-Prozesse und -Kontrollen zu umgehen (Stichwort Schatten-IT). Umso wichtiger ist es, eine EPM-Strategie zu entwickeln, die Benutzer- und Anwendungsrechte zwar einschränkt, die Mitarbeiter aber nicht daran hindert, ihre Arbeit zu erledigen. Folgende Punkte sollten IT-Abteilungen bei der Umsetzung von EPM daher beachten:

  • Automation & eine selektive Durchsetzung von Least Privilege

Idealerweise läuft die Durchsetzung des EPMs weitestgehend im Hintergrund ab. Dies kann manuell durch residente Betriebssystemfunktionen und Skripte erreicht werden, effektiver ist jedoch eine automatisierte EPM-Lösung. Diese stellt sicher, dass die Least Privilege-Richtlinien mit minimalen Unterbrechungen für Benutzer und IT ausgeführt werden. Automatisierung ist zudem auch der Schlüssel für eine selektive Durchsetzung der minimalen Rechtevergabe. Hiervon profitieren Unternehmen, wenn Berechtigungen nur für einen kurzen, fest definierten Zeitraum eskaliert werden müssen. Automatisierte EPM-Plattformen ermöglichen es, für diese Fälle Richtlinien zu definieren und diese automatisiert umzusetzen. Das zeit- und ressourcenaufwendige Einreichen von Helpdesk-Tickets wird so hinfällig.

  • Offene Kommunikation

Ein weiterer Schlüssel für eine erfolgreiche Einführung von EPM ist die regelmäßige Kommunikation über die Absichten, den Prozess und die Gründe für vorzunehmende Änderungen. Eine solide Kommunikationsstrategie, die von der Chefetage ausgeht, ist dabei hilfreich. Bereits im Vorfeld bzw. in den ersten Tagen sollten die Erwartungen festgelegt und Mitarbeiter über potenzielle Änderungen, z. B. in Form von Popups, in denen sie gefragt werden, warum sie eine neue Anwendung ausführen möchten, oder in denen erklärt wird, warum einige bestehende Anwendungen nun die Zustimmung des Administrators benötigen, um ausgeführt zu werden, informiert werden. Ziel ist es, den Anwendern die Bedeutung der Maßnahmen zu vermitteln und ihnen gleichzeitig zu versichern, dass sie ihre Aufgaben weiterhin sicher erledigen können.

  • EPM ist ein Prozess

Auch wenn das Wort „Lösung“ in Technologiekreisen oft verwendet wird, führt in den wenigsten Fällen eine einzige Technologie, Methode oder Ansatz zu allumfassenden Ergebnissen. Eine erfolgreiche EPM-Strategie beinhaltet nicht nur Technologien und Software, sondern umfasst auch Elemente wie die Schulung der Anwender in Sachen Cybersicherheit. Sie erfordert zudem den Einsatz vieler sich überschneidender und ergänzender Tools, wie oben bereits beschrieben. Hinzu kommt, dass EPM kein statischer Zustand ist, sondern gemäß den sich stetig verändernden Anforderungen und Voraussetzungen fortlaufend angepasst werden muss.

 

Über den Autor / die Autorin:


Stefan Schweizer verantwortet als Regional Vice President DACH die strategische Geschäftsentwicklung von Thycotic in Deutschland, Österreich und der Schweiz. Er verfügt über mehr als 27 Jahre Erfahrung im Vertriebsmanagement verschiedener Technologie- und IT-Sicherheitsunternehmen.