Überwachung und Kontrolle privilegierter User
Studie zum privilegierten User Management entarnt: In Unternehmen haben sich nicht Compliance-fähige Praktiken eingeschlichen
Privilegiertes User Management: Schlüssel für Compliance - Mehr als 40 Prozent der Befragten berichten von fehlerhafter Praxis – trotz ISO27001-Implementierung
(23.10.09) - CA, Anbieterin von IT-Management-Software, stellte die Ergebnisse einer europäischen Studie vor, die zeigt, dass fehlerhafte Praktiken beim Management der privilegierten User die Sicherheit europäischer Unternehmen gefährden. Die neue Studie mit dem Titel "Privileged User Management – It's Time to Take Control" wurde von Quocirca, einem britischen Marktforschungsunternehmen im Namen von CA in 14 Ländern – in Deutschland, den Niederlanden, in Belgien, Dänemark, Finnland, Frankreich, Irland, Israel, Italien, Norwegen, Portugal, Spanien, Schweden und im Vereinigten Königreich – durchgeführt.
Ein privilegierter User, auch "Superuser" genannt, ist typischerweise der IT- oder Netzwerkadministrator, der für die IT-Verfügbarkeit und Systemwartung zuständig ist – einschließlich der Applikations-, Sicherheits- und Datenbankverwaltung. Diese Administratoren bekommen für den Zugang zur IT-Infrastruktur im Unternehmen oftmals weitreichende Zugangsrechte zugewiesen, die weit über die Rechte, die die Mehrheit der IT-Nutzer hat, hinausgehen.
Dies führt zu einer Gefährdung der Unternehmenssicherheit. So räumen 41 Prozent der Befragten, die den ISO27001-Standard implementiert haben, ein, dass sich in ihrem Unternehmen nicht Compliance-fähige Praktiken eingeschlichen haben – etwa wenn privilegierte Benutzerkonten gemeinsam genutzt werden. Auch der fahrlässige Gebrauch von Standard-Namen oder Passwörtern für die "Superuser" gehört zur Mängelliste.
Die internationale Norm ISO 27001 spezifiziert die Anforderungen für die Herstellung, die Einführung, den Betrieb, die Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems. Von den 40 Teilnehmern aus Deutschland haben knapp 30 Prozent der Befragten dieses ISO-Qualitätssystem eingeführt, knapp 10 Prozent davon besitzen bereits eine Zertifizierung und weitere 50 Prozent befinden sich zurzeit in der Implementierungsphase.
Viele Sicherheitsvorfälle, die sich in den vergangenen Jahren ereigneten, haben die Risiken aufgezeigt, die sich aus einer Unterschätzung der Problematik der mangelhaften Superuser-Kontrolle ergeben. Wenn Administratoren und/oder privilegierte User exzessive Privilegien erhalten oder ihren Zugang mit anderen teilen, besteht das Risiko, dass sie – absichtlich oder unbeabsichtigt – große Schäden anrichten.
Darüber hinaus gibt es viele Beispiele von Hackerangriffen, die privilegierte Accounts (Benutzerkonten) ins Visier nehmen und sich erfolgreich Zugang zu kritischen Business-Applikationen und Daten verschaffen – vom einfachen Diebstahl verkäuflicher Daten wie Kreditkartendetails bis zu komplexen Betrügereien oder dem Diebstahl von intellektuellem Eigentum.
Trotz dieser Bedrohungen steht die Kontrolle und das Monitoring der Superuser-Aktivitäten nicht oben auf der Agendaliste der IT-Manager, belegt die Studie. Die befragten Unternehmen führen das Superuser-Management unter sieben anderen Sicherheitsthemen der Organisationen auf (Punktzahl 2,54 von 5 Punkten auf dem Bedrohungsindex). Das Risiko eines mangelhaft kontrollierten privilegierten User Managements wird weniger hoch eingeschätzt als beispielsweise Malware (2,9 Punkte), Internet (2,7), interne Mitarbeiter (2,7) und Web 2.0 (2,6).
Zudem stellt die Studie fest, dass ein hoher Grad an – unangebrachtem – Vertrauen in die Möglichkeiten gesetzt wird, das Privileg der Superuser zu begrenzen. Überdies sind die Befragten relativ zuversichtlich, dass sie die Anforderungen eines Compliance-fähigen Audits erfüllen können. Sie sorgen sich mehr um Datenverluste und die Gefährdung intellektuellen Eigentums.
Laut der Quocirca-Studie verfügen 24 Prozent der IT-Abteilungen über (irgend)eine Form der manuellen Kontrolle, um die Aktivitäten zu überwachen und den Zugang der Superuser zu kontrollieren. Manuelle Prozesse für das Überwachen und die Kontrolle der privilegierten User sind jedoch sehr zeitaufwändig und teuer sowie unzuverlässig und anfällig für Sicherheitsattacken. Trotz der Verfügbarkeit hochentwickelter Systeme und den offensichtlich guten Argumenten für ihren Einsatz haben nur 22 Prozent der Befragten ein umfassendes Privileged User Management (PUM) System eingeführt.
Knapp die Hälfte der Befragten (47 Prozent) planen eine PUM-Lösung einzuführen und erwarten große Vorteile davon. Ein Blick auf die Länderpraxis zeigt dabei große Differenzen: Während etwa in Frankreich zwei Drittel der Befragten ihre Superuser manuell kontrollieren, sind es in Deutschland nur wenige Prozent, die sich auf eine manuelle Überwachung stützen; rund zehn Prozent planen im Moment manuelle Kontrollprozesse einzuführen und mehr als 40 Prozent berichten von einer verzögerten Planung.
Als wichtigsten Grund für die verzögerte Umsetzung der Pläne wird mangelndes Budget angeführt (3,3 Punkte auf einer Skala mit 5 begrenzenden Faktoren). Dies widerspricht allerdings dem Fakt, dass die IT-Sicherheitsbudgets stabil sind beziehungsweise im Verhältnis zu den Gesamt-IT-Ausgaben sogar steigen. Insgesamt gesehen liegt der Grund für die Zurückhaltung in einem mangelnden Vertrauen in das privilegierte User Management sowie einer Unterschätzung der Risiken, die von Superusern ausgehen können.
Landesunterschiede
Die Untersuchung zeigt weitere interessante Unterschiede zwischen den Ländern, die an der Studie teilnahmen. Unter den Ländern, die am häufigsten Administratoren-Accounts gemeinsam nutzen, sind Frankreich (60 Prozent), gefolgt von Belgien (knapp 60 Prozent) und den Niederlanden mit 53 Prozent. Zudem vertrauen die Befragten aus Frankreich besonders stark auf ihre Fähigkeit, ihr privilegiertes User Management zu monitoren und zu kontrollieren (4,26 von 5 Punkten).
Deutschland liegt hier im Bereich von 3,5 Punkten. Die Länder, die am wenigsten Administratoren-Accounts gemeinsam nutzen, sind Spanien (7 Prozent), Israel (7 Prozent) und Deutschland mit 10 Prozent. 63 Prozent der französischen IT-Organisationen, die an der Studie teilnahmen, vertrauen auf ein manuelles PUM gefolgt von Belgien (50 Prozent) und Dänemark (47 Prozent).
Branchenunterschiede
Auch die Untersuchung der verschiedenen Industriesektoren deckt große Unterschiede auf: 42 Prozent der IT-Abteilungen im Telekommunikations- und Mediensektor sowie im öffentlichen Verwaltungsbereich räumen ein, dass sie die Benutzerkonten ihrer Systemadministratoren zwischen verschiedenen Administratoren teilen.
Im Fertigungssektor sind es nur 28 Prozent. Ironischerweise vertrauen Telekommunikation & Medien-Unternehmen besonders auf ihre Fähigkeit, privilegierte User Accounts zu überwachen (3,7 von 5 Punkten auf der "Vertrauens"-Skala), während der Öffentliche Verwaltungssektor bei 3,5 Punkten liegt.
Die Branche Telekommunikation & Medien führt die PUM-Implementierungen mit 37 Prozent an. Der Fertigungsbereich hat bisher nur zu 18 Prozent Sicherheitslösungen für das privilegierte User Management eingeführt. Schließlich haben 34 Prozent der Telekommunikation & Medien-Firmen Tools im Einsatz, die die Aktivitäten von Superusern kontrollieren, gefolgt vom Public Sector mit 25, der Finanzbranche mit 22 und Fertigungsbranche mit 13 Prozent.
"Die umfassende Untersuchung deckt auf, dass viele IT-Organisationen ein entscheidendes Themenfeld für die Sicherheit des Unternehmens unterschätzen: den privilegierten Systemzugang, den sie sich oder ihren Kollegen zugestehen, damit sie ihren Job machen können", sagt Tim Dunn von CA, Vice President, Security Business EMEA. "So notwendig ein solcher Zugang ist, herrscht die weit verbreitete Situation vor, ihn ad-hoc-mäßig zu managen.
Trotz regulativer Anforderungen wird die Bedeutung eines 'Privileged User Management' häufig übersehen. Die Implementierung eines privilegierten Usermanagements erlaubt es Unternehmen hingegen, die ausgereiften Funktionalitäten eines PUM-Systems die ganze Zeit über zu nutzen." Tim Dunn betont: "Das Privilegierte User Management ist der Schlüssel für Compliance. Es deckt Risiken auf, reduziert sie und schützt kritische Businessapplikationen."
Bob Tarzey, Analyst und Director von Quocirca Ltd. kommentiert: "Die Untersuchung belegt, dass es im Interesse jedes IT-Managers, jeder IT-Abteilung und der Geschäftsführung ist, Maßnahmen für die Überwachung und Kontrolle der privilegierten User einzuführen. Doch leider haben Maßnahmen für ein privilegiertes User Management keine Priorität in den Unternehmen.
Manuelle (Überwachungs-)Prozesse sind aber ineffektiv und bieten darüber hinaus nicht die Audit-Qualität, die Behörden zufrieden stellt. Der einzig sichere Weg zu einem wasserdichten privilegierten User Management ist die Automatisierung der privilegierten Benutzerkonten, die Verwendung eines privilegierten User-Zugangs und eine 360-Grad-Sicht auf alle Aktivitäten."
Die Studie "Privileged User Management – It's Time to Take Control" wurde von Quocirca durchgeführt, einem Forschungs- und Analyse-Unternehmen, das auf die Informations- und Kommunikationstechnologie sowie ihren Einfluss auf das Business spezialisiert ist. Quocirca interviewte im Juni 2009 insgesamt 270 IT Direktoren, Senior IT Security Manager sowie andere Manager aus vier Branchen: Telekommunikation & Medien, Fertigung, Finanzdienstleistungen und öffentliche Verwaltung. (CA: ra)
CA Technologies: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>