Least-Privilege-Konzept umsetzen
Aufgeräumt
Veröffentlicht in Ausgabe 10/2023 - PRAXIS
Auf je weniger Daten und Systeme ein Benutzer zugreifen kann, desto weniger Ressourcen sind im schlimmsten Fall durch sein Konto gefährdet – egal ob es einem Hacker in die Hände fällt oder der User selbst zum Innentäter wird, etwa weil ein Mitarbeiter vor dem Wechsel zur Konkurrenz Kundenkontakte und Geschäftsdaten kopieren möchte. Um Sicherheitsvorfälle wie diese zu vermeiden, hat es sich als Best Practice der IT-Security etabliert, die Zugriffsrechte von Usern streng zu beschränken.
Least-Privilege-Prinzip – auf Deutsch etwas sperrig Prinzip der geringsten Privilegien – bedeutet, dass jedes Konto nur über genau die Rechte verfügen sollte, die zur Erfüllung seiner Aufgaben zwingend erforderlich sind. Das betrifft nicht nur menschliche Benutzer, sondern auch Dienstkonten und Gerätekonten.
Das hilft Organisationen, das Risiko und den potenziellen Schaden durch Data Breaches soweit wie mögich zu minimieren. Die Einschränkung von Berechtigungen ist daher auch Gegenstand vieler Sicherheitsstandards wie der DSGVO, ISO 27001 oder der KRITIS-Verordnung – selbst wenn Least Privilege in den jeweiligen Regelungen nicht immer explizit genannt wird.
Auf je weniger Daten und Systeme ein Benutzer zugreifen kann, desto weniger Ressourcen sind im schlimmsten Fall durch sein Konto gefährdet – egal ob es einem Hacker in die Hände fällt oder der User selbst zum Innentäter wird, etwa weil ein Mitarbeiter vor dem Wechsel zur Konkurrenz Kundenkontakte und Geschäftsdaten kopieren möchte. Um Sicherheitsvorfälle wie diese zu vermeiden, hat es sich als Best Practice der IT-Security etabliert, die Zugriffsrechte von Usern streng zu beschränken.
Least-Privilege-Prinzip – auf Deutsch etwas sperrig Prinzip der geringsten Privilegien – bedeutet, dass jedes Konto nur über genau die Rechte verfügen sollte, die zur Erfüllung seiner Aufgaben zwingend erforderlich sind. Das betrifft nicht nur menschliche Benutzer, sondern auch Dienstkonten und Gerätekonten.
Das hilft Organisationen, das Risiko und den potenziellen Schaden durch Data Breaches soweit wie mögich zu minimieren. Die Einschränkung von Berechtigungen ist daher auch Gegenstand vieler Sicherheitsstandards wie der DSGVO, ISO 27001 oder der KRITIS-Verordnung – selbst wenn Least Privilege in den jeweiligen Regelungen nicht immer explizit genannt wird.
Umsetzung in drei Schritten
In der Praxis gelingt die Einschränkung des Zugriffs nur wenigen Organisationen problemlos. Das zeigt etwa eine aktuelle Umfrage, die YouGov im Auftrag von tenfold Software unter 400 IT-Entscheidern in Deutschland und Österreich durchgeführt hat: Nur 6 Prozent der Befragten geben an, dass niemand in ihrem Unternehmen Zugriff auf sensible Daten hat, die er oder sie nicht für die Arbeit braucht.
Organisationen stellt die Umsetzung des Least-Privilege-Prinzips vor einen komplizierten Spagat: Einerseits müssen IT-Zugänge so streng wie möglich beschränkt werden, andererseits sollen Angestellte ohne Verzögerung auf benötigte Ressourcen zugreifen können. Es braucht also Verfahren, um sicherzustellen, dass jeder Benutzer innerhalb der Organisation zu jeder Zeit genau die Rechte erhält, die er oder sie für seine Aufgaben benötigt. Und das am besten automatisch, ohne viel Zutun durch Admins.
Vereinfacht dargestellt lässt sich die Umsetzung von Least Privilege in drei Schritte herunterbrechen:
1. Bei der Provisionierung neuer Benutzer sollte jedes Konto nur das vorgesehene Minimum an Rechten erhalten.
2. Bei personellen Veränderungen wie Abteilungswechseln, Beförderungen oder Austritten müssen Berechtigungen umgehend angepasst und wenn notwendig entfernt werden.
3. Durch regelmäßige Kontrollen gilt es sicherzustellen, dass Benutzer keine überflüssigen Rechte ansammeln.
Rollenmodell für Berechtigungen
Indem die IT-Abteilung benötigte Zugriffsrechte für unterschiedliche Aufgabenbereiche zu Rollen zusammenfasst, lässt sich die initiale Vergabe von Rechten weitgehend automatisieren. Zur Umsetzung eines solchen Rollenmodells im Active Directory empfiehlt Microsoft das AGDLP-Modell. Die Abkürzung entspricht Microsofts empfohlener Gruppenstruktur für rollenbasiertes Berechtigungsmanagement: Account, Global, Domain Local, Permission.
Dabei legen Admins zunächst globale Gruppen an, die den Geschäftsrollen im Unternehmen, wie zum Beispiel Verkauf, Marketing oder Kundendienst, entsprechen. Diese globalen werden anschließend zu lokalen Gruppen hinzugefügt, über die jeweils eine spezifische Berechtigung abgebildet wird. Diese Aufteilung hat den Vorteil, dass Admins anhand der Mitgliedschaften der Rollengruppe und der sprechenden Namen der Berechtigungsgruppen (etwa "FS_Buchhaltung_Read") sofort ablesen können, welche Zugriffsrechte eine Rolle insgesamt umfasst.
Fügt ein Admin einen Benutzer nun zu der globalen Gruppe hinzu, erhält dieser automatisch alle für die jeweilige Rolle vorgesehenen Berechtigungen. Das erleichtert nicht nur die Provisionierung neuer Konten, sondern auch Anpassungen über den weiteren Lebenszyklus des Benutzers hinweg. Ein Mitarbeiter wechselt aus dem Kundendienst in den Verkauf? Anstatt Zugriffsrechte einzeln zuzuweisen und zu entziehen, genügt es, sein Konto aus der alten Rollengruppe in die neue zu verschieben.
Informationsfluss als Stolperstein
Damit die Least-Privilege-gerechte Verwaltung gelingen kann, müssen Veränderungen in der Organisation zeitnah auf der IT-Ebene abgebildet werden. Hier spielt die Einbindung der Fachabteilungen, insbesondere der Personalabteilung, eine wesentliche Rolle. Neben dem geregelten On- und Offboarding von Mitarbeitern ist dabei auch die Überprüfung der festgelegten Standardrechte zu beachten.
Ändert sich der Aufgabenbereich eines Teams oder die IT-Landschaft des Unternehmens, kann es dazu kommen, dass es einiger der zuvor definierten Standardrechte nicht mehr bedarf und diese aus der jeweiligen Rolle entfernt werden müssen. Wandert etwa die Planung von Veranstaltungen aus der Marketingabteilung in eine eigene Eventabteilung, gilt es, den Zugang zu den entsprechenden Daten an eine neue Rolle zu knüpfen und aus der Marketingrolle zu entfernen.
Entscheidend ist letztlich, dass Verantwortliche Least Privilege als anhaltenden Prozess begreifen und nicht als ein abgeschlossenes Projekt. Es genügt nicht, einmalig Rollen zu definieren und die Zugriffsrechte von Benutzern an diese anzugleichen. Vielmehr ist es erforderlich, Berechtigungen laufend zu kontrollieren und die Sinnhaftigkeit von Zugängen zu überdenken. Auch Zugriffsrechte, die aus einem triftigen Grund vergeben wurden, können mit der Zeit überflüssig und damit zu einem unnötigen Sicherheitsrisiko werden.
Der Teufel im Detail
Die Kontrolle der Mitgliedschaften und Berechtigungen innerhalb des Rollenmodells ist zwar mit einigem Aufwand verbunden, fällt aber noch vergleichsweise übersichtlich aus. Deutlich kleinteiliger gestaltet sich die Überprüfung von zusätzlichen Berechtigungen für einzelne Benutzer. Solche individuellen Rechte braucht es im Arbeitsalltag immer wieder, um Usern den notwendigen Zugriff für Projektarbeiten, kurzfristige Vertretungen oder besondere Aufgaben zu gewähren. Während Berechtigungsrollen den Regelfall abdecken, lassen sich mit individuellen Rechten alle notwendigen Ausnahmen und Sonderfälle bedienen.
Um zusätzliche Rechte anzufordern und freizugeben, verwenden viele Firmen improvisierte Prozesse, von Excel-Listen über Ticketsysteme bis hin zu selbstgebauten Request-Plattformen.
Das Problem an diesen improvisierten Ansätzen ist, dass diese zwar die kurzfristige Vergabe von Rechten ermöglichen, aber nicht deren spätere Überprüfung und Löschung. Mangels Kontrollmechanismen wie automatischen Aufzeichnungen und verbindlichen Audits bleibt es dem Zufall überlassen, ob befristete Rechte nach ihrem Ablauf auch wirklich entfernt werden.
Laufende Kontrolle und Automatisierung
Um die langfristige Einhaltung von Least Privilege zu gewährleisten, müssen Organisationen die bestehenden Rechte von Benutzern regelmäßig überprüfen und nicht mehr benötigte Zugänge entfernen. Die Stichwörter lauten hier Access Reviews beziehungsweise Rezertifizierung von Berechtigungen. Damit Access Reviews ihren Zweck erfüllen und überflüssige Rechte effektiv entfernen, gilt es, einige wichtige Punkte zu beachten:
- Access Reviews sind nach einem festen Zeitplan durchzuführen.
- Um keine Berechtigungen zu übersehen, müssen diese schon bei ihrer Vergabe automatisch zur Kontrolle vermerkt werden.
- Statt IT-Admins müssen Verantwortliche innerhalb der Abteilungen bewerten, ob Berechtigungen auf ihren Ressourcen noch benötigt werden, da nur sie dies verlässlich beurteilen können.
Für die Einhaltung von Least Privilege in Windows-Netzwerken müssen Organisationen Berechtigungssets für unterschiedliche Aufgabenbereiche definieren, entsprechende Gruppenstrukturen anlegen, die Lebenszyklen von Benutzerkonten managen und durch regelmäßige Audits sicherstellen, dass tatsächlich kein Konto über zu viele Rechte verfügt. Dabei fällt eine Vielzahl an Arbeitsschritten an, die sich zwar in der Theorie händisch durchführen lassen, in der Praxis jedoch zeitaufwendig und fehleranfällig sind.
Nur durch die Automatisierung der notwendigen Abläufe lässt sich langfristig sicherstellen, dass alle Zugriffsrechte Least-Privilege-konform vergeben, angepasst und überprüft werden – insbesondere, da Konten und Rechte in Windows-Systemen nur einen Teil der IT-Umgebung ausmachen: Cloudapplikationen und Geschäftsanwendungen sind nach denselben Prinzipien zu verwalten und zu kontrollieren. Wer Zeit sparen und Fehler vermeiden möchte, greift bei der Umsetzung auf eine zentrale Plattform für Berechtigungsmanagement zurück.
Fazit
Die Einschränkung von Zugriffsrechten nach dem Least-Privilege-Prinzip ist nicht nur wichtig für die Datensicherheit, sondern für mehr und mehr Unternehmen auch gesetzlich verpflichtend. Um die langfristige Einhaltung des Grundsatzes zu gewährleisten, müssen Organisationen die Provisionierung neuer User, den Lebenszyklus von Benutzerkonten und die Überprüfung von Berechtigungen aktiv steuern. Tools für die zentrale Benutzerverwaltung und Berechtigungsvergabe sind dabei eine wichtige Hilfe, um Least Privilege fehlerfrei und zeitsparend umzusetzen.
(ln)
Helmut Semmelmayer ist VP Revenue Operations bei tenfold Software.