Best Practice für die sichere Administration der IT

02.05.2018 / Dr. Simon Hoff / Senior-Berater und Simon Oberem / Berater

aus dem Netzwerk Insider Mai 2018

Je mächtiger die Berechtigungen eines Nutzers für den Zugriff auf IT-Systeme oder Anwendungen ist, desto wichtiger ist die Absicherung solcher Zugriffe. Dies gilt insbesondere für administrative Zugriffe auf IT-Komponenten und erfordert einen umfassen spezifischen Maßnahmenkatalog, der sich verschiedenster Techniken der Informationssicherheit von Sicherheitszonen, Firewall-Techniken über Authentisierung & Autorisierung bis hin zur Protokollierung und Verhaltensanalyse bedient.

Dieser Artikel beschreibt die Techniken, die sich dabei als Best Practice in verschiedensten IT-Infrastrukturen bewährt haben.

1. Warum ist eine sichere Administration der IT so wichtig?

Administrative Zugriffe bieten Zugang zu IT-Komponenten und deren Konfiguration, die sowohl Einblick in die IT-Umgebung als auch Zugriff auf Einstellungen und Komponenten ermöglichen, der für Angreifer weitaus interessanter ist, als ein normaler Zugriff auf eine IT-Komponente. Außerdem sind mit den administrativen Zugriffen auch meist höhere Berechtigungen verbunden, die für einen Angreifer lukrativ für seine Zwecke sind. Damit bietet also administrativer Datenverkehr ein hohes Angriffspotential. Gefahren liegen dabei in verschiedenen Bereichen:

Die besondere Rolle des IT-Administrators
Ein IT-Administrator benötigt zur Erfüllung seiner Aufgaben weitergehende Rechte als ein normaler IT-Nutzer. Letzterer kann aber bereits erheblichen Schaden anrichten. Bei einem Administrator jedoch kann der Schaden immens sein, ob beabsichtigt oder nicht.

So kann eine unbewusste Fehlkonfiguration eines IT-Administrators die IT lahmlegen oder einem Angreifer ungewollt Zugriff verschaffen. Allerdings kann ein Administrator auch bewusst Schaden verursachen, wie im Fall des „Revenge Wipe“ vom Juni 2017, als ein ehemaliger Administrator bei einem niederländischen Provider Daten gelöscht und damit großen Schaden angerichtet hat [1].

Das Problem des direkten unkontrollierten Zugriffs auf IT-Komponenten
Zur schnellen und einfachen Ausführung seiner Aufgaben wünscht sich ein IT-Administrator natürlich einen direkten Zugriff auf die von ihm zu administrierenden IT-Komponenten von seinem PC aus, egal wo dieser gerade angeschlossen ist. (siehe Abbildung 1).

Abbildung 1: Gefährdungspotential eines direkten IP-Zugriffs eines IT-Administrators auf die zu administrierenden IT-Komponenten

Wenn aber die Administrationsschnittstelle einer IT-Komponente von jedem beliebigen System im Netz erreicht werden kann, bietet dies eine große Angriffsfläche. Dann steht und fällt die Sicherheit mit der Absicherung der Administrationsschnittstelle auf der IT-Komponente. Hier muss eine angemessene Authentisierung erfolgen, so dass nur ein berechtigter IT-Administrator über die Administrationsschnittstelle Zugriff zu der IT-Komponente erlangen kann. Außerdem müssen für den administrativen Zugriff sichere Protokolle eingesetzt werden, um ein Abhören oder eine Manipulation des Administrationsverkehrs zu verhindern.

Das Problem von Schwachstellen in Administrationsschnittstellen
Auch Schwachstellen in Administrationsschnittstellen kommen immer wieder vor, z. B. nicht ersetzte Default-Passworte, „vergessene“ Backdoors oder eine unzureichende Input-Validation bei Web-Anwendungen. Ende März gab es hierzu beispielsweise eine Warnung des BSI, die eine Schwachstelle bei Cisco Routern und Switches betraf und die eine komplette Systemübernahme möglich machte [2].

Daher ist eine systematische Berücksichtigung der Administrationsschnittstellen im Schwachstellenmanagement als Bestandteil eines Information Security Management System (ISMS) unerlässlich.

Zielgerichtete Angriffe
Ein zielgerichteter Angriff (englisch: Advanced Persistent Threat, APT) hat ein fest umrissenes Angriffsziel und dient der (Industrie-)Spionage und Sabotage. Er läuft typischerweise in mehreren Phasen ab und kombiniert unterschiedliche, aufeinander aufbauende Angriffstechniken.

Die Erstinfektion erfolgt oft per Spear Phishing. Ein Mitarbeiter erhält dabei eine Phishing Mail, die entweder bereits einen Anhang mit Schadsoftware enthält oder einen Link auf eine schadenstiftende Web-Seite. Wenn nun der Nutzer den Anhang öffnet oder auf den Link klickt, wird der Schadcode ausgeführt.

Das Ergebnis ist die Infektion des Rechners des Nutzers mit einem Trojaner über den der Angreifer aus der Ferne die Kontrolle über den Rechner erhält. Ein solcher Trojaner heißt dann auch feinsinnig Remote Administration Tool (RAT). Der Angreifer erhält über das RAT damit alle Rechte, die der Nutzer des Rechners auch hat. Ist dies ein Administrator, ist bereits zu Beginn der Schaden hoch.

2. Was fordern Standards?

Im Zusammenhang mit der Administration der IT empfehlen mehrere Standards die Trennung von administrativem und produktivem bzw. funktionalem Datenverkehr.

So wird diese Trennung etwa in ISO/IEC 27033 – Network security – Part 3 in Abschnitt 11 Network Segmentation nahegelegt: „segregate administrative and maintenance capabilities from routine user access to business applications“

Auch die IT-Grundschutz-Kataloge des Bundesamts für Sicherheit in der Informationstechnik (BSI) empfehlen in Baustein 4.1 Lokale Netze in der Maßnahme M 5.77 Bildung von Teilnetzen eine Trennung von administrativem und produktivem Datenverkehr durch eine Grundaufteilung des IT-Netzes in vier Zonen: Internes Netz, Sicherheitsgateway-Zone (ALG-Zone), Internet-Anbindung und Management-Zone. Über die Management-Zone heißt es dort: „In der Management-Zone könnten alle Management-Daten zentral gesammelt und verarbeitet werden. Hier könnte auch ein Zeitserver untergebracht werden, mit dem sämtliche Systemuhren im Netz synchronisiert werden.“

Dies ist insbesondere für Provider, speziell im Bereich Cloud Computing, relevant. Hier fordert auch der vom BSI im Februar 2016 veröffentlichte „Anforderungskatalog Cloud Computing (C5[3]) – Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten“ eine Trennung funktionaler und administrativer Kommunikation: „Es existieren gesonderte Netzwerke zur administrativen Verwaltung der Infrastruktur und für den Betrieb von Managementkonsolen, die logisch oder physisch vom Netzwerk der Cloud-Kunden getrennt und durch Multi-Faktor-Authentifizierung vor unberechtigten Zugriffen geschützt sind“.

Besonders ins Detail geht hier der Baustein NET.1.1 „Netzarchitektur und -design“ des neuen BSI IT-Grundschutz-Kompendiums vom Februar 2018, der in Anforderung A21 ebenfalls eine „Separierung des Management-Bereichs“ spezifiziert: „Es SOLLTE durchgängig ein Out-of-Band-Management genutzt werden, um die Infrastruktur zu managen. Dabei SOLLTEN alle Endgeräte, die für das Management der IT-Infrastruktur benötigt werden, in dedizierten Segmenten positioniert werden. Die Kommunikation mit diesen Endgeräten SOLLTE durch einen zustandsbehafteten Paketfilter (Firewall) kontrolliert werden.“ Hier werden auch Empfehlungen für die weitere Segmentierung der Management-Umgebung in verschiedene Managementzonen gegeben.

3. Welche Sicherheitsaspekte müssen also bei der Administration betrachtet werden?

Um den unter 1. genannten Gefahren entgegen zu wirken und die in 2. aufgeführten Anforderungen in Standards zu erfüllen, sind für eine sichere Administration der IT die folgenden Punkte wesentlich:

Angemessene Authentisierung für den administrativen Zugriff
Rollen- und Berechtigungskonzepte für administrative Zugriffe
Angemessene Trennung von administrativem und produktivem Netzverkehr
Kontrolle von Managementzugriffen
Entkopplung von Managementzugriffen
Monitoring von Managementzugriffen
Protokollierung der Zugangsdaten und ggf. der kompletten Sitzungen
Privileged Access Management (PAM) und
Integration in ein Security Information and Event-Management (SIEM)

Abbildung 2: Aufbau eines dedizierten Managementnetzes

Kontrolle von Managementzugriffen
Zunächst ist wichtig sicherzustellen, dass Managementzugriffe auch tatsächlich nur von Administratoren ausgeführt werden, d.h. Managementzugriffe müssen angemessen authentisiert werden und diese Authentisierung sollte nicht erst am zu administrierenden IT-System erfolgen.

Hier werden in der Praxis verschiedene Techniken eingesetzt:

Wenn PCs dediziert Administratoren zugeordnet sind, können diese PCs durch eine Network Access Control (NAC) am Netzzugangspunkt (Switch oder WLAN Controller) identifiziert, authentisiert und dann einem isolierten Managementnetz zugewiesen werden, über das die Management-Ports der zu administrierenden IT-Systeme erreichbar sind (siehe Abbildung 2). Der Administrator kann dann direkt per IP z. B. auf das Command Line Interface (CLI) des IT-Systems zugreifen.

Nun kommt es aber nicht selten vor, dass IT-Systeme entweder keinen dedizierten Management-Port haben oder aus anderen Gründen über das produktive Interface administriert werden müssen. Wenn nun Client-Zugriffe an einer Firewall gefiltert würden, könnten hier auch administrative Zugriffe zielgerichtet berechtigt werden.

Abbildung 3: Verwendung einer identitätsbasierten Filterung an einer Firewall zur Berechtigung administrativer Zugriffe

Falls an dieser Stelle nicht mit den Mitteln von NAC gearbeitet und trotzdem sichergestellt werden soll, dass nur ein Administrator den entsprechenden Zugriff erhält, wird in der Praxis hier mit einer speziellen Funktion moderner Firewalls (sogenannte Next Generation Firewalls) gearbeitet. Dies ist die Fähigkeit einer Firewall einem eingehenden IP-Paket die zugehörige Identität bzw. Gruppenzugehörigkeit des Nutzers zuzuordnen. Typischerweise erfolgt dies durch eine Kommunikation der Firewall mit einem Active Directory (AD). Wenn ein Nutzer sich am AD anmeldet, erfährt die Firewall von der Anmeldung und erhält die Information unter welcher IP-Adresse sich der Nutzer angemeldet hat, und die AD-Gruppenzugehörigkeiten des Nutzers. Damit kann die Firewall dann auf Basis einer Gruppenzugehörigkeit Zugriffe berechtigen. In dem hier betrachten Fall könnte die Firewall auf diese nur dann einen Zugriff über ein für die Administration genutztes Protokoll gewähren, wenn das Paket auch einer Administratorgruppe zugeordnet ist. (siehe Abbildung 3)

Kombinationen der beschriebenen Techniken sind auch durchaus üblich. Dabei kann beispielsweise ein dediziertes Managementnetz durch eine Management-Firewall von anderen Netzen getrennt werden und insbesondere Client-Zugriffe abhängig von der Identität oder Gruppenzugehörigkeit des Nutzers oder von der Client-IP-Adresse gewährt oder abgelehnt werden. Auch eine Kombination beider Kriterien, also Identität und IP-Adresse, ist möglich. (siehe Abbildung 4)

Die Funktion der Management-Firewall kann dabei als dedizierte Firewall, als Regelwerk auf einer bestehenden internen Firewall oder als virtuelle Firewall auf einer bestehenden internen Firewall realisiert werden.

Abbildung 4: Kombination von Management-Firewall und dediziertem Managementnetz

Umgang mit Lights-out Management
In der Vergangenheit sind immer wieder signifikante Schwachstellen im Lights-out Management (LOM) bekannt geworden wie z. B. die im August 2017 festgestellte kritische Sicherheitslücke in der Management-Software Integrated Lights-out 4 von HP, über die Angreifer aus der Ferne Schadcode ausführen konnten ohne sich anmelden zu müssen[4]). Da ist es kein Wunder, dass solche Schnittstellen auch für Ransomware einladend sind, wie im April 2018 gemeldet wurde [5].

Daher sollten sich LOM-Ports möglichst nicht gemeinsam mit den übrigen Administrations-Schnittstellen im dedizierten Managementnetz befinden, sondern in einem separaten Netz für LOM (siehe Abbildung 5). Dass dabei ein Fernzugriff auf einem LOM-Port natürlich nur über eine gesicherte VPN-Verbindung erfolgen darf bedarf eigentlich keiner weiteren Erwähnung. (siehe Abbildung 5)

Entkopplung administrativer Zugriffe
Der oben beschriebene direkte IP-Zugriff von einem PC auf eine zu administrierende IT-Komponente ist trotz Zonenbildung und Firewalling aus dem Blickwinkel der Informationssicherheit ausgesprochen kritisch zu bewerten, da PCs im Campus-Netz oft initiales Ziel von Schadsoftware bzw. Angriffen sind. Eine strikte Isolation von Administrations-PCs in einem dedizierten Management-Netz ist leider auch nicht praktikabel, denn der PC selbst muss schließlich verwaltet werden und der Administrator würde einen weiteren PC für die normalen Bürotätigkeiten (und den Internetzugriff) benötigen.

Abbildung 5: Separate Zone für LOM-Ports

Die Idee ist nun, dass von einem PC in einem Campus-Netz möglichst kein direkter IP-Zugriff mehr auf eine zu administrierende IT-Komponente erlaubt und stattdessen der administrative Zugriff über zentrale Systeme entkoppelt wird.

Hierbei werden Managementzugriffe über zentrale Managementserver geführt, wie Element Manager für das Netzwerkmanagement und systemspezifische Managementsysteme (z. B. vCenter für die Virtualisierungslösung von VMware). Für direkte Zugriffe auf ein zu administrierendes System (z. B. Zugriff per CLI / Kommandozeile) kann man zur Entkopplung Terminal Server oder virtuelle Clients nutzen, die in einer sogenannten Management-Zugangszone, kontrolliert durch die Management-Firewall, positioniert werden. Außerdem können Gateways zur Entkopplung der Kommunikation eingesetzt werden, die wie unten beschrieben Bestandteil einer PAM-Lösung sein können. Bei entsprechend hohem Schutzbedarf sollte an dieser Stelle auch für interne Zugriffe eine starke Authentisierung bzw. eine Zwei-Faktor-Authentisierung (2FA) in Betracht gezogen werden.

Auf diese Weise sind die eigentlichen Komponenten für administrative Zugriffe zentralisiert und können leichter z. B. über eine Kontrolle der Kommunikation abgesichert werden. Außerdem können viele der Funktionen, die im Folgenden diskutiert werden, wie Protokollierung administrativer Zugriffe und eine SIEM-Integration leichter an zentraler Stelle umgesetzt werden.

Abbildung 6: Dedizierte Terminal Server für verschiedene Mandanten

Oft ist auch eine Trennung unterschiedlicher Gruppen (Mandanten) erforderlich, um verschiedene Organisationseinheiten oder verschiedene Dienstleister zu trennen. In diesem Fall kann beispielsweise für jeden Mandanten eine eigene dedizierte Management-Zugangszone angelegt und dort für die Mandanten eigene Terminal Server (siehe Abbildung 6) oder virtuelle Admin-PCs bereitgestellt werden. (siehe Abbildung 7)

Absicherung zentraler Managementsysteme
Zentrale Managementsysteme haben oft einen hohen Schutzbedarf, weil die Kompromittierung eines zentralen Managementsystems erheblichen Schaden anrichten kann. Daher ist generell zu empfehlen zentrale Managementsysteme über eine Firewall zu schützen. Dies betrifft Element Manager genauso wie die zentralen Systeme für Monitoring, Protokollierung und SIEM.

4.Aufbau von sicheren Management-Umgebungen

Eine Management-Umgebung umfasst typischerweise:

alle zentralen Komponenten für das Management,
alle Anwendungen für das Management, sowohl Server- als auch Client-Anwendungen,
alle Komponenten für den Zugang zur Management-Umgebung,
alle Managementschnittstellen der zu verwaltenden Systeme sowie
alle logischen und physischen Netzwerke, die ausschließlich für die Managementkommunikation verwendet werden.

Abbildung 7: Dedizierte VMs für verschiedene Mandanten

Unter Berücksichtigung der bisher genannten Sicherheitsaspekte wird eine sichere Management-Umgebung durch eine Management-Firewall vom übrigen Netz getrennt und besteht aus mehreren Zonen.

Ein Beispiel einer solchen Management-Umgebung, das sich an den Anforderungen des Bausteins NET.1.1 „Netzarchitektur und -design“ des BSI IT-Grundschutz-Kompendiums orientiert, ist in Abbildung 8 dargestellt.

Der Zugriff auf diese Management-Umgebung sollte dabei möglichst ausschließlich über eine oder im Falle mehrerer Mandanten ggf. über mehrere Management-Zugangszone(n) erfolgen, in der Terminal Server oder virtuelle Admin-PCs bereitgestellt werden. Außerdem können hier Server für die Authentisierung und Autorisierung sowie Datenaustausch-Server für einen sicheren Datenaustausch zwischen Management-Umgebung und übrigem Netz positioniert werden.

Managementzugriffe sollten sofern möglich stets über ein dediziertes Administrations-Interface auf dem zu verwaltenden System erfolgen. Diese Administrations-Ports von Servern, ESX-Hosts, Infrastrukturkomponenten und Firewalls werden an entsprechende Sicherheitszonen des Managementbereichs angebunden, ebenso die Ports für das Lights-out-Management (LOM-Ports) der Server.

Weiterhin sollte eine sichere Management-Umgebung eine Zone für die zentralen Administrations-Systeme, eine Zone für die Systeme zum Monitoring und eine Zone für Systeme zur Protokollierung interner Systeme enthalten.

Für die Administration von Systemen in DMZs am Perimeter sollten in der Management-Umgebung gesonderte Zonen für die Administrations-Interfaces dieser Systeme eingerichtet werden, da diese Systeme einem größeren Gefährdungspotential ausgesetzt sind. Für die Protokollierung im DMZ-Bereich am Perimeter sollte ein eigener Log-Server in einer eigenen Zone in Betracht gezogen werden, da Daten auf Log-Servern meist einen hohen Schutzbedarf hinsichtlich Vertraulichkeit und Integrität haben und es zu vermeiden ist, dass ein System in einer Perimeter-DMZ auf einen Log-Server zugreift, auf den auch interne Systeme zugreifen.

Abbildung 8: Beispiel einer Management-Umgebung

Solche Konzepte findet man nebenbei nicht nur in der konventionellen IT, sondern beispielsweise auch in der Industrial IT. Der Standard IEC 62443-3-3 „Industrial communication networks – Network and system security – Part 3-3: System security requirements and security levels” stellt beispielsweise Anforderungen zur Trennung von Industrial IT und sonstiger IT und Schaffung eines DMZ-Bereichs, der analog zu der hier skizzierten Management-Umgebung aufgebaut sein kann.

Eine ähnliche Situation ergibt sich im Bereich Development Operations (DevOps). Hier geht es um die sichere Trennung von Entwicklungs-Ressourcen von sonstigen Ressourcen und auch hier ist in der Praxis immer wieder festzustellen, dass sich die in diesem Artikel beschriebenen Konzepte unmittelbar auf DevOps übertragen lassen.

5. Sicherer Fernzugriff für Wartung und Administration

Auch der Fernzugriff für Wartung und Administration muss natürlich besonders stark abgesichert werden. Hier haben sich ein VPN mit einer starken Authentisierung, mindestens 2 Faktor-Authentisierung, und die Entkopplung von Zugriffen z. B. über Terminal Server, wie oben beschrieben, bewährt.

Ein direkter IP-Zugriff sollte nur im Ausnahmefall erlaubt sein und dann besonders strikt reglementiert werden. Alternativ oder ergänzend kann auch ein Rendezvous-Konzept eingesetzt werden, wobei ein System in der DMZ (z. B. ein VPN Gateway) als Rendezvous-Server dient. Hierbei wird ein durchgängiger Zugriff von außen erst nach einem Verbindungsaufbau (Rendezvous) von innen erlaubt. Darüber hinaus können die Zugriffe auf dem Rendezvous-Server protokolliert werden. Ein solches Konzept bietet beispielsweise der Hersteller genau an [6].

6. Besondere Rolle des Privileged Access Management (PAM)

Werkzeuge für das Privileged Access Management (PAM) werden insbesondere auch für die Absicherung von administrativen Zugriffen eingesetzt. PAM Tools sind als Ergänzung der bisher beschriebenen Sicherheitsmaßnahmen zu sehen. Typische Elemente eines PAM Tools sind:

Kontrolle des Zugriffs auf privilegierte Konten (inkl. nicht personenbezogene Konten / Gruppenkonten und Notfallkonten)
Schnittstellen zu Lösungen für starke Authentisierung
Protokollierung administrativer Zugriffe
Management von Credentials (inkl. Passworte) für administrative Zugriffe (Passwort-Safe)
Sicheres Single Sign-On (SSO)
Rollen und Berechtigungen, d.h. Festlegung und Kontrolle der Operationen, die ein Administrator ausführen darf (ggf. sehr feingranular)
Integration in DevOps-Umgebungen, Unterstützung von Containern (insb. Docker)
Management von Cloud-Diensten (inkl. Konten, Rollen und Berechtigungen für SaaS)
Schnittstellen zu SIEM-Lösungen

Die Integration in die IT-Infrastruktur geschieht je nach Produkt transparent oder als Gateway-System. Beispiele für PAM-Lösungen sind:

CA Privileged Access Manager
Balabit Privileged Session Management (PSM)
Centrify Privilege Service
CyberArk Privileged Session Manager

Im Folgenden werden einige Aspekte des Einsatzes von PAM Tools für die Absicherung administrativer Zugriffe genauer beschrieben.

Authentisierung, Autorisierung und Kontrolle des Zugriffs
Wird eine Verbindung zum PAM Tool aufgebaut, kann an dieser Stelle zunächst eine Authentisierung und Autorisierung des Zugriffs erfolgen. Dabei werden entweder vom PAM Tool selbst entsprechende Funktionen unterstützt oder die Authentisierung erfolgt über eine Schnittstelle zu einem anderen System. Dann baut das PAM Tool eine Verbindung zum Zielsystem oder Zielbereich auf. Die dabei eingesetzten Techniken sind sehr vielfältig. Manche Tools haben dauerhaft eine Verbindung zu den Zielsystemen aktiv und im Bedarfsfall werden die Sessions zusammengeschaltet (Tunneltechnologien). Damit in diesem Fall keine Anpassung in Firewall-Regelwerken notwendig ist, arbeiten Hersteller oft mit Konnektoren. Dabei hat das Zielsystem einen Agenten (oder das Zielnetz ein Konnektor-System), welcher dann die Verbindung zum PAM Tool herstellt als Kommunikation „von innen nach außen“, was meisten durch Firewalls nicht eingeschränkt wird.

Eine weitere Funktion die manche PAM Tools unterstützen, ist die Anwendungsterminierung und -kontrolle, also die Funktion eines Application Layer Gateway (ALG) bzw. Proxy. Am Beispiel HTTP wäre das PAM Tool also HTTP-Proxy und kann beispielsweise eine Anwendungskontrolle durchführen, bei der je nach Gruppenzugehörigkeit eines Administrators nur gewisse Applikationsteile genutzt werden können. Außerdem können auf dieser Ebene Malware-Scanning und Verhaltensanalysen erfolgen.

Eine solche Funktion existiert aber meist nur für die Protokolle, die eine Relevanz für administrative Zugriffe haben. In der Regel sind dies HTTP(S), SSH, RDP und SNMP.

Überwachung der Zugriffe
PAM Tools unterstützen meist auch eine Überwachung der Zugriffe. Neben klassischen Merkmalen, die überwacht werden können (wer, wie oft, welches Ziel, wie häufig gab es fehlgeschlagene Authentisierungsversuche), kann dies auch die Überwachung des Status der Session beinhalten, z. B. hinsichtlich des Applikationszustands (das ALG im PAM Tool merkt, wenn die Applikation, z. B. von Screen Sharing zu Dateiübertragung wechselt).

Außerdem kann für Zugriffe auf besonders kritische Systeme ein 4-Augen-Prinzip realisiert werden. Dies kann bei einem SSH-Zugriff zunächst die Anzeige der Zeichen des Dialogs beinalten und bei RDP-Sitzungen der gesamte Desktop angezeigt werden. In manchen Fällen ist dann auch eine Terminierung der Sitzung durch den Beobachter möglich.

Protokollierung administrativer Zugriffe
Die Protokollierung administrativer Zugriffe ist insbesondere für forensische Analysen nach einem (Sicherheits-)Vorfall von besonderer Bedeutung. Bei PAM Tools geht dabei die Protokollierung weit über die bloße Sammlung von Metadaten aller Zugriffe und Systemzustände hinaus.

Das bedeutet nicht nur das Festhalten sicherheitsrelevanter Ereignisse (Security Events), sondern ebenfalls die Dokumentation dessen, was innerhalb der Sitzungen geschehen ist. Beispiele sind:

Der komplette Inhalt der Konsole mit der der SSH-Zugriff getätigt wurde wird als Text-File gespeichert.
Die (komplette) RDP-Sitzung wird als Videomitschnitt des Bildschirms gespeichert

Am zweiten Beispiel zeigen sich aber auch Probleme und Grenzen dieser Technik. Zum einen ist das Speichern von sehr viel Videomaterial relativ speicherintensiv (auch mit Komprimierung). Außerdem kann nachträgliche Auswertung einer Aufzeichnung sehr zeitintensiv sein. Manche Lösungen führen auf den aufgezeichneten Videos eine Texterkennung durch und bieten darüber entsprechende Suchmöglichkeiten in den Videos.

Zur Analyse und Korrelation von administrativen Zugriffen mit sonstigen Ereignissen bieten PAM Tools oft auch Schnittstellen zu SIEM-Lösungen.

7. Was ist mit Cloud-basierter Administration oder Administration von Cloud-basierter IT?

Hier sind zunächst verschiedene Szenarien denkbar, z. B. das Management von Cloud IT über eine Cloud-Management-Umgebung, das Management von lokaler IT über eine Cloud-Management-Umgebung oder auch das Management von (Hybrid) Cloud IT über eine lokale Management-Umgebung. Außerdem muss auch die besondere Rolle von Cloud-Diensten bei der Nutzung von Techniken aus den Bereichen Künstliche Intelligenz und Big Data betrachtet werden. Beispiele hierfür sind Log Analytics in einem SIEM oder Predictive Incident Management, jedoch ist letzteres allerdings noch sehr akademisch (auch wenn Google seit 2014 hierzu ein Patent hat [7]).

Allgemein kann man sagen, dass alles, was für die Absicherung der funktionalen Nutzung von Clouds gilt, in verschärftem Maß auch für Managementdienste aus Clouds gilt. (siehe Abbildung 9)

Abbildung 9: Managementdienste aus Clouds

Für die sichere Nutzung von Managementdiensten aus Public Clouds unterscheiden sich die Maßnahmen nicht von anderen Diensten aus Public Clouds. In einer Leistungsbeschreibung sollten zunächst insbesondere Vorgaben hinsichtlich Compliance und Datenschutz und Vorgaben hinsichtlich Informationssicherheit spezifiziert werden.

Hierzu gehört auch die Festlegung der durch den Cloud-Anbieter vorzulegenden Nachweise. Hier kann z. B. eine Zertifizierung nach ISO 27001 („Information security management systems – Requirements”, 2013), ISO 27017 (“Code of practice for information security controls based on ISO/IEC 27002 for cloud services”, 2015) und bei Bedarf ISO 27018 (“Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors”, 2015) gefordert werden. Ebenfalls sinnvoll ist ein Testat gemäß BSI Cloud Computing Compliance Controls Catalogue (C5). Gegebenenfalls können auch vergleichbare Nachweise zugelassen werden, z. B. CSA (Cloud Security Alliance) oder PCI DSS (Payment Card Industry – Data Security Standard).

Weiterhin sollte festgelegt werden, ob der Cloud-Anbieter zur Erbringung des gewünschten Cloud-Dienstes seinerseits weitere Cloud-Dienste nutzen darf. Auch die Meldepflichten des Cloud-Anbieters bei (Security) Incidents und bei Schwachstellen und die Kontrollmaßnahmen für den Nutzer des Cloud-Dienstes, inklusive der Möglichkeiten einer Auditierung, sollten spezifiziert werden.

Abbildung 10: Maßnahmen für eine sichere Administration der IT

8. Fazit

Die Absicherung administrativer Zugriffe ist ein Kernelement der Informationssicherheit. Nachlässigkeiten in diesem Bereich sind durchaus als mehr als fahrlässig zu bezeichnen, da sich Schwachstellen hier besonders kritisch auswirken können.

Die notwendigen Sicherheitsmaßnahmen teilen sich auf der Basis eines ISMS dabei in drei Säulen auf: (siehe Abbildung 10)

Absicherung von Administrator, Endgerät und Anwendung,
Absicherung des Netzwerks sowie
Überwachung und Analyse.

Eine besondere Rolle spielen neben dem Einsatz von Firewall-Techniken zur Verkehrskontrolle und von Terminal-Servern bzw. virtualisierten Admin-PCs zur Entkopplung direkter Zugriffe auf IT-Systeme dabei auch PAM Tools, die an zentraler Stelle administrative Zugriffe authentisieren, autorisieren, überwachen und protokollieren können.

9. Verweise

[1] Siehe: https://www.heise.de/newsticker/meldung/Revenge-Wipe-Ex-Admin-loescht-Daten-bei-niederlaendischem-Provider-3740243.html
[2] Siehe: https://www.bsi.bund.de/SharedDocs/Warnmeldungen/DE/CB/2018/03/warnmeldung_cb-k18-0549.html?nn=6775508
[3] C5 = Cloud Computing Compliance Controls Catalogue,
siehe: https://www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Anforderungskatalog/Anforderungskatalog_node.html
[4] Siehe: https://vuldb.com/de/
?id.105730
[5] Siehe: https://twitter.com/M_Shahpasandi/status/989157283799162880
[6] Siehe: https://www.genua.de/loesungen/fernwartungs-appliance-genubox/details.html
[7] Siehe: https://patents.google.com/patent/US20120072781

Best Practice für die sichere Administration der IT

Kontakt

Services

Rechtliches

Best Practice für die sichere Administration der IT

Teile diesen Eintrag

Kontakt

Services

Rechtliches