Wie Untersuchungen zeigen, setzen heute nur rund 10 Prozent der Unternehmen bei der Regulierung von privilegierten Zugriffen auf Just-in-Time (JIT)-Strategien. Dies bedeutet, dass der Großteil von ihnen Mitarbeitern dauerhaften Always-on-Access, d.h. zeitlich unbegrenzte Zugänge, zu kritischen Konten und Ressourcen gewährt. Dieses Vorgehen mag bequem sein, da wichtige Arbeitsprozesse ohne Unterbrechungen aufrechterhalten werden können, verstößt jedoch gegen das Least Privilege-Prinzip und bedeutet für Unternehmen erhebliche Sicherheitsrisiken.
Können Mitarbeiter auf kritische Anwendungen oder Systeme zugreifen, obwohl sie diese zur Erledigung ihrer Arbeit nicht (oder nicht mehr) benötigen, erhöht sich das Risiko für bewussten oder unbewussten Missbrauch. So besteht etwa die Gefahr, dass Mitarbeiter unkontrolliert unautorisierte Handlungen durchführen, sensible Daten exfiltrieren oder privilegierte Passwörter mit unbefugten Kollegen teilen, die dann auf eine kritische Ressource zugreifen, ohne in einem entsprechenden Audit-Trail aufzutauchen. Gleichzeitig bergen unbegrenzte Zugriffe das Risiko, dass ehemalige Mitarbeiter oder Partner auch nach ihrem Ausscheiden aus dem Unternehmen weiterhin Zugang zu Unternehmensprivilegien haben und diese dann für ihre Zwecke missbrauchen.

Um die Cyberangriffsfläche ihres Unternehmens nachhaltig zu minimieren, müssen IT-Verantwortliche privilegierte Zugriffe systematisch einschränken. Dabei spielt neben der Standort-Restriktion, d.h. von wo aus User Zugang zu Privilegien haben, und der Handlungseinschränkung, d.h. was Benutzer mit privilegierten Konten machen können, die zeitliche Begrenzung der Zugriffe eine sehr wichtige Rolle. Je enger diese Begrenzung gefasst ist, desto kürzer ist das Zeitfenster, das Angreifern – seien es externe Hacker oder böswillige Insider – zur Verfügung steht, um in die Systeme einzudringen, sich dort lateral zu bewegen und Privilegien unentdeckt zu erhöhen.

Just-in-Time (JIT)-Zugriffe für mehr Sicherheit und mehr Agilität

Die Umsetzung eines funktionierenden Just-in-Time-Ansatzes ist für viele IT-Abteilungen eine Herausforderung. Denn nicht immer fällt es leicht, Zeitfenster so festzulegen, dass es zu keinen Behinderungen der Arbeitsprozesse kommt. Immerhin lässt sich nicht immer von vornherein klar bestimmen, wie lange Aktivitäten, die privilegierten Zugang erfordern, voraussichtlich dauern werden. Außerdem ist es nicht unüblich, dass vielbeschäftigte IT-Administratoren hin und wieder vergessen, privilegierte Konten auslaufen zu lassen oder nach Abschluss von Projekten oder dem Ausscheiden eines Mitarbeiters zu deaktivieren.

Dabei umfasst der JIT-Ansatz zwei verschiedene Möglichkeiten, um den Benutzern privilegierten Zugang nur dann zu gewähren, wenn sie ihn tatsächlich benötigen. Eine Möglichkeit ist dabei die Einrichtung von Einweg-Konten, die unmittelbar nach der einmaligen Nutzung gesperrt bzw. komplett gelöscht werden. Deutlich effektiver und langfristig gesehen weniger aufwendig ist jedoch das Erstellen von JIT-Zugängen. Hier werden keine kurzlebigen Konten erstellt, sondern reine Zugriffe, die Privilegien auf Anfrage vorübergehend – das kann 30 Minuten lang sein, aber auch mehrere Wochen oder Monate – erweitern und nach dieser Zeit dann automatisch ablaufen. 

Weniger Reibungsverluste dank Automatisierung

Um zu vermeiden, dass die Benutzer jedes Mal auf die neue Freigabe durch einen befugten IT-Mitarbeiter warten müssen, ist es ratsam, den Genehmigungsprozess für zeitbeschränkte Zugriffe zu automatisieren. Fortschrittliche Privileged Access Management-Tools ermöglichen es Sicherheitsverantwortlichen, vorab granulare Richtlinien zu erstellen, welche eine Rechtfertigung für den Zugang zu kritischen Systemen, Datenbanken oder Anwendungen verlangen und Freigaben dann ohne das manuelle Eingreifen eines Mitarbeiters automatisch erteilen. Ist dies geschehen, können die Benutzer dann auf die von ihnen benötigten Ressourcen zugreifen, ohne selbst das Passwort zu kennen, da dieses in einem zentralen Passworttresor erstellt und verwaltet wird.

Hat der Nutzer seine Tätigkeit beendet und benötigt keinen Zugang mehr, meldet er sich ab, woraufhin der Zugriff unverzüglich widerrufen wird. Einige PAM-Lösungen verfügen über spezielle Checkout-Funktionen, die Anmeldedaten automatisch rotieren lassen, sobald der Abmeldevorgang beendet ist, so dass selbst dann, wenn die Anmeldedaten dem Benutzer nicht verborgen geblieben sind, er nicht mit den gleichen Anmeldedaten zurückkehren kann. Diese Automatisierung des JIT-Workflows entlastet sowohl die Endnutzer als auch die IT-Teams und sorgt für weniger Reibungsverluste und mehr Produktivität.

Klassische Just-in-Time-Szenarios

Drittanbieter: Externe Partner und Drittanbieter, die Zugriff auf Unternehmensressourcen benötigen, stellen IT-Administratoren oft vor Herausforderungen. Sie bedeuten ein höheres Sicherheitsrisiko, weshalb ihre privilegierten Zugriffe anders verwaltet und vor allem stärker überwacht werden müssen, als dies bei internen Mitarbeitern der Fall ist. PAM-Lösungen mit JIT-Ansatz ermöglichen es den verantwortlichen Administratoren, spezielle Policies für Auftragnehmer und Partner zu definieren. Diese stellen sicher, dass notwendige Aufgaben wie Fehlerbehebungen, Wartungen oder Penetrationstests problemlos von Drittanbietern durchgeführt werden können, reduzieren gleichzeitig aber das Zeitfenster für den Zugriff auf das notwendige Minimum. Das Risiko für Missbrauch oder Kompromittierungen, etwa nach einem selbst nicht zu kontrollierenden Sicherheitsvorfall bei einem Partner, wird auf diese Weise minimiert.

Remote-Mitarbeiter: Mitarbeiter, die remote arbeiten – sei es von zuhause oder unterwegs –, bedeuten für die IT-Sicherheit eines Unternehmens eine Herausforderung, weshalb sie klassische Kandidaten für JIT-Zugriffe darstellen. Indem privilegierte Zugriffe automatisch enden, selbst wenn der User einmal vergessen sollte, sich aktiv von einem Account abzumelden oder eine Anwendung zu beenden, wird einem Privilegien-Missbrauch in unkontrollierten Umgebungen vorgebeugt.

Bei Software zur Berechtigungserweiterung, die auf den Endgeräten installiert ist, können zuvor definierte Richtlinien zudem genau bestimmen, welche Aktionen durchgeführt werden können und welche Prozesse mit administrativen Rechten ausgestattet werden. Dies bedeutet, dass kein Benutzer nach der Beantragung des Zugriffs jemals die vollständige Kontrolle über eine Ressource erhalten wird.

Service-Konten: Anders als Named-Accounts, die einem Benutzer zugeordnet sind, werden Service-Konten – genauso wie andere Non-Human-Accounts – aufgrund der begrenzten menschlichen Interaktion selten inventarisiert und kontrolliert. Dies macht sie zu einem großen Sicherheitsrisiko, weshalb eine zeitliche Gültigkeit unabdingbar ist. PAM-Richtlinien können festlegen, dass Service-Konten automatisch stillgelegt werden, sobald sie nicht mehr benötigt werden, bzw. bis Administratoren mittels einer Überprüfung eine weitere Gültigkeit aktiv bestätigen.

Entwickler & DevOps-Teams: Entwickler und DevOps-Teams benötigen sicheren, aber gleichzeitig schnellen Zugriff auf privilegierte Ressourcen. Da statische IP-basierte Tresor-Lösungen den Anforderungen von DevOps-Umgebungen nicht gerecht werden, veröffentlichen viele DevOps-Manager Anmeldedaten für geschäftskritische Datenbanken, Konten oder Apps in ihren internen oder öffentlichen Speichersystemen wie z.B. GitHub. Dies birgt jedoch schwerwiegende Sicherheitsrisiken. Unternehmen sollten in diesen Fällen auf PAM-Tools setzen, die spezielle Hochgeschwindigkeitstresore bieten und temporäre Zugangsdaten für mehrere Cloud-Account-Typen oder Container generieren. Dies garantiert Sicherheit, ohne die Arbeit der Entwickler zu behindern.

Schrittweise Umsetzung

Die Einrichtung und Umsetzung von Just-in-Time-Zugriffen sollten systematisch und nach einer zuvor festgelegten Priorisierung erfolgen. Es empfiehlt sich, zunächst risikoreiche Anwendungsfälle zu adressieren und solche Situationen, von denen bekannt ist, dass sie nur selten genutzt werden. In einem zweiten Schritt kann dann eine Migrationspfad entworfen werden mit dem Ziel, die JIT-Strategie über sämtliche privilegierte Zugänge auszuweiten.

Wie bei allen privilegierten Aktivitäten sollte auch der privilegierte JIT-Zugriff in einem zentralen Tool aufgezeichnet und protokolliert werden, um eine einheitliche Berichterstattung und Auditierung zu gewährleisten. Jede privilegierte Aktivität, die sich außerhalb eines zentralen PAM-Tools abspielt, sollte einen Alarm erzeugen und eine entsprechende Überprüfung nach sich ziehen.

Basis dieses ganzen Prozesses ist eine gut durchdachte Least-Privilege-Strategie, die sicherstellt, dass der Zugriff auf Privilegien so eng wie möglich gefasst ist – sowohl was die Art der Konten, Systeme und Anwendungen angeht, als auch die zeitliche Verfügbarkeit.