Sie sind hier: Home » Markt » Hinweise & Tipps

Compliance und Privileged-User-Management


Gravierende Missverständnisse hinsichtlich IT-Sicherheit: Behalten Sie nach dem Audit einen scharfen Fokus auf Compliance
Jemand, der physikalisch oder über Skripts über ein Gerät Passwort-Änderungen zur Einhaltung von Compliance-Regularien vornehmen soll, wird in der Regel auf Probleme stoßen oder Fehler machen


(23.10.12) - Wallix trifft in Unternehmen immer wieder auf fünf schwerwiegende Missverständnisse hinsichtlich IT-Sicherheit, die, wenn sie nicht behoben werden, zu einem unzureichenden Schutz führen können. Perimetersicherheit via Firewalls, IPS/IDS oder VPN wird größtenteils bereits gut verstanden und implementiert, aber das Risiko durch privilegierte Anwender (wie externe Dienstleister oder interne Administratoren) wird oft nicht in Betracht gezogen.

Welche Missverständnisse es in den meisten Unternehmen immer wieder gibt, hat Wallix dargestellt.

1. Wir hatten gerade ein Audit für unser System. Wir halten unsere Richtlinien ein.
Missverständnis 1:
Auch wenn Ihr Audit erfolgreich war, heißt dies nicht, dass Sie gegen Angriffe geschützt sind. Warum könnte Ihre Zuversicht unberechtigt sein? Zum einen bereiten sich zwar viele IT-Abteilungen im Vorfeld eines Audits sehr sorgfältig vor, um eine gute Compliance zu erzielen. Wenn jedoch der Druck vorbei ist, tendieren sie dazu, das Thema Compliance für den Rest des Jahres zu vernachlässigen. Zum anderen wissen die Prüfer nicht notwendigerweise, wo sie nach Sicherheitsschwachstellen suchen müssen und orientieren sich eventuell in die falsche Richtung.

Hacker greifen ohne Vorwarnung an und verlassen sich nicht auf Glück, um Zugang zu Ihren Systemen zu bekommen. Sie wissen sehr präzise, wonach sie suchen und wo sie dies am ehesten finden.

Wallix empfiehlt: Behalten Sie nach dem Audit einen scharfen Fokus auf Compliance und betrachten Sie sie als eine tagtägliche Aufgabe. Sicherheitslücken sollten vorrangig regelmäßig festgestellt und bereinigt werden.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT-SecCity.de (www.itseccity.de)

2. Passwörter werden regelmäßig geändert: Wir sind sicher.
Missverständnis 2:
Auch wenn Sie die Passwörter normaler Anwender oft ändern, sind in vielen Fällen privilegierte Anwender für diese Aufgabe selbst zuständig. Da viele aber nicht in diesen Passwortänderungsprozess involviert sind, werden ihre Zugangsdaten nicht regelmäßig modifiziert und sogar wenn Administratoren ihre Zugangsdaten manuell ändern, garantiert dies keine Sicherheit. Die Aufgabe könnte zu aufwendig, schwierig und zeitraubend sein, um sie dauerhaft durchzuführen.

Jemand, der physikalisch oder über Skripts über ein Gerät Passwort-Änderungen zur Einhaltung von Compliance-Regularien vornehmen soll, wird in der Regel auf Probleme stoßen oder Fehler machen. Stellen Sie sich beispielsweise die Anzahl und Komplexität der auf Geräten installierten Services vor, zu denen privilegierte Nutzer Zugang haben. Diese Geräte und Systeme müssen korrekt heruntergefahren und dann nach einem ebenfalls spezifizierten Prozess wieder hochgefahren werden, bevor eine Änderung implementiert ist. Dies ist eine schwierige Aufgabe, die nur wenige Personen sicher und effektiv durchführen können.

Wallix empfiehlt: Stellen Sie sicher, dass alle voreingestellten Passwörter geändert wurden, bevor Sie ein neues Gerät oder Programm in Ihrem Netzwerk einsetzen. Das ist leichter gesagt als getan, denn möglicherweise gibt es weit mehr geteilte Zugangsdaten als Sie denken.

3. Für privilegierte Accounts hat jeder Administrator eigene einmalige Zugangsdaten. Da besteht absolut kein Risiko.
Missverständnis 3:
Dies ist ein Bereich, in dem Bequemlichkeit Sicherheit zunichte machen kann. Viele der 'gehackten' Unternehmen waren sicher überzeugt, dass die Zugangsdaten privilegierter Accounts einmalig vergeben waren, bis sie realisierten, dass sie in Wirklichkeit von vielen privilegierten Anwendern genutzt wurden. Es gibt zahlreiche administrative Accounts und auch bei ihnen ist es nicht ungewöhnlich, dass ihre Zugangsdaten geteilt werden. Wenn mehrere privilegierte Anwender die gleichen Zugangsdaten für den Zugang zu Systemen und die Implementierung von Änderungen nutzen, ist es unmöglich, zu wissen, von wem die Änderungen stammen und wer Zugang zu sensiblen Daten hatte.

Wallix empfiehlt: Legen Sie regelmäßige Updates Ihrer privilegierten Accounts fest – maximal nach 60 Tagen. Implementieren Sie ein komplexes und einmaliges Passwort für jeden einzelnen privilegierten Account.

4. Unsere IT-Abteilung kontrolliert den Zugang. Was sollte passieren?
Missverständnis 4:
Nur weil der Zugang kontrolliert wird, bedeutet dies nicht, dass Sie sicher sind. Warum? Weil die Passwörter höher privilegierter Accounts in der Regel in Anwendungen integriert sind oder direkt an externe Dienstleister kommuniziert werden. Werden diese Zugangsdaten geteilt, ist es absolut unmöglich, präzise zu wissen, wer sich einloggt und wer was exakt während einer Session getan hat. Da diese Passwörter nicht oft geändert werden, haben Mitarbeiter, die das Unternehmen kürzlich verlassen haben oder Dienstleister, deren Vertrag ausgelaufen ist, eine (Gnaden-)Frist, in der sie ihre (temporär noch gültigen) Zugangsdaten für das Einhacken in die Unternehmenssysteme nutzen können.

Wallix empfiehlt. IAM (Indentity and Access Management) ist nur eine Teillösung, die den Umsatz nicht optimal managen kann. Genau wie ein Unternehmen sich entwickelt und wächst, entwickeln sich und wachsen auch seine Mitarbeiter. Sie ändern ihre Positionen, ihre Rollen, übernehmen größere Verantwortung, haben mehr Autorität – und natürlich verlassen auch Mitarbeiter das Unternehmen. Wenn ihre Zugangsdaten nach der beruflichen Veränderung – in welcher Form auch immer – nicht modifiziert werden, haben sie nach wie vor Zugang zu Informationen und zu Services, die eventuell nicht mehr ihrem neuen Status entsprechen.

5. Wir haben Indentity and Access Management implementiert. Wir kontrollieren alles.
Missverständnis 5:
Unternehmen implementieren nur selten Lösungen zum Managen höher privilegierter Accounts, die z.B. für Notfälle oder administrativen Zugang genutzt werden. Das bedeutet, dass keine eventuell bestehende Sicherheitslösung, wie eine Firewall oder IAM-Software, den Zugang zu privilegierten Accounts rückverfolgen und managen kann. Solange Sie keine dedizierte Lösung hierfür einsetzen, wird diese Aufgabe nicht erfüllt, da die vorher genannten Lösungen dies nicht können.

Wallix empfiehlt: Setzen Sie eine Lösung ein, die alle privilegierten Accounts auflistet, alle Aktivitäten prüft, alle Aktionen verfolgt und aufzeichnet und einfach zu nutzende Werkzeuge zur Überwachung der Administration bietet. (Wallix: ra)

Wallix: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • DSGVO und andere Datenschutzvorgaben

    DSGVO hat das Bewusstsein für Datenschutz in Bevölkerung und in Wirtschaft deutlich zugenommen. Selbst die großen Internet-Konzerne aus den USA können das Thema nicht mehr ignorieren - dafür sorgen schon die empfindlichen Geldbußen, die die Datenschutzbehörden in den EU-Staaten inzwischen verhängen.

  • Menschen im Job mit Sexismus konfrontiert

    Nach #MeToo war plötzlich alles anders. In ungezählten Berichten und Debatten meldeten sich Frauen zu Wort und gaben an, dass auch sie im Job diskriminiert, diffamiert und sexuell belästigt werden. Entsprechend groß war 2017 der #Aufschrei nach gesamtgesellschaftlicher Reform, nach Parität - insbesondere am Arbeitsplatz.

  • Verkehrssicherungspflicht bei Badegewässern

    Die Badesaison stellt kommunale Verantwortungsträger vor schwierige Fragen: Wann und wo sind Warn- und Hinweisschilder an öffentlichen Badestellen aufzustellen? Ist daneben eine Aufsicht erforderlich? In den vergangenen Jahren waren viele Kommunen verunsichert, ob kostenfreie, aber beispielsweise mit Stegen, Badeinseln oder Wasserrutschen versehene Badegelegenheiten an kommunalen Gewässern weiterbetrieben werden können.

  • Compliance-Prozesse vorantreiben

    Die Menge der gesammelten Daten im modernen Business-Alltag steigt kontinuierlich an und Analysten prognostizieren bis zum Jahr 2025 eine Datenmenge von 181 Zettabyte. Diese Flut an Informationen hat auch deutliche Schattenseiten, denn die gespeicherten Informationen binden wertvolle Speicherressourcen und Energie. Die Folge: erhöhter CO2-Ausstoß.

  • Umfassender Social-Media-Leitfaden

    Ob LinkedIn, Facebook, Instagram oder TikTok: Unternehmen in Deutschland agieren bei der Nutzung sozialer Medien noch häufig zurückhaltend. Für lediglich 36 Prozent gehört Social Media zum geschäftlichen Alltag dazu - die anderen nutzen diese Kanäle zur Kommunikation höchstens gelegentlich (16 Prozent) selten (20 Prozent) oder gar nicht (26 Prozent), wie eine aktuelle repräsentative Befragung des Digitalverbands Bitkom unter mehr als 1.100 Unternehmen ab 20 Beschäftigten in Deutschland ergeben hat. Dabei sind soziale Medien ein wichtiger Kanal um potenzielle Kundinnen und Kunden, aber auch Geschäftspartner zu erreichen - im B2C und im B2B-Bereich.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen