IT-Sicherheit

Least Privilege für mehr Sicherheit

Berechtigungen eingrenzen und Gefahren verringern

von 25.08.2021
Eine Arbeitsgruppe von oben; zu sehen sind fünf Laptops, drei werden von Personen aktuell genutzt. Jeder von ihnen hat andere Zugriffsrechte auf Unternehmensdaten – nach dem Least-Privilege-Ansatz. Bild: Unsplash/ Marvin Meyer
Zugriffsrechte sollten möglichst granular verteilt werden. Das besagt der Least-Privilege-Ansatz. Bild: Unsplash/ Marvin Meyer

Cyberkriminelle richten ihre Attacken gern auf Mitarbeitende als das vermeintlich schwächste Glied in der Sicherheitskette von Unternehmen. Erlangen sie Zugriff zu einem Account, können sie unter Umständen auf Unmengen an Unternehmensdaten zugreifen. Es sei denn, es gilt ein ganz bestimmtes Prinzip: Least Privilege.
Wir erklären, was das Least-Privilege-Prinzip ist und welche Gründe dafür sprechen.

Sicherheit muss sein

Tag für Tag gibt es Nachrichten über diesen neuen Trojaner, jenen erfolgreichen Ransomware-Angriff auf ein Unternehmen und über diese ganz neue Phishing-Kampagne. Deutlich machen diese Schlagzeilen vor allem eines: Cyberkriminelle werden nicht müde, sich immer wieder neue Angriffstechniken zu überlegen und eine Attacke nach der anderen zu fahren.
Das bedeutet: Wenn Cyberkriminelle auf der einen Seite niemals untätig sind, darf auch die Gegenseite nicht nachlässig werden. Und wer steht auf der Gegenseite? Unter anderem die Hersteller von Sicherheitslösungen und anderer Software, Cybersicherheitsexperten, die die Lage beobachten und Warnungen aussprechen, IT-Dienstleister, die IT-Sicherheitsmaßnahmen in Unternehmen umsetzen, und natürlich auch Unternehmen und Organisationen selbst, denn sie stehen im Visier der Angreifer.
Und so kommt es, dass auch immer wieder neue Mechanismen entwickelt und empfohlen werden, die einen Schutz vor Cyberattacken bieten sollen. Zum Beispiel: das Least-Privilege-Prinzip.

Zwei Frauen arbeiten an ihren Laptops. Nach Least Privilege haben sie unterschiedliche Zugriffsrechte. Bild: Unsplash/TheStandingDesk.com

Verschiedene Mitarbeitende, verschiedene Zugriffsrechte – das besagt der Ansatz Least Privilege. Bild: Unsplash/TheStandingDesk.com

Was ist Least Privilege?

Der Begriff Least Privilege kommt aus dem Englischen und lässt sich mit „Geringstes Privileg“ übersetzen. Es geht beim Least-Privilege-Prinzip (Principle of Least Privilege / PoLP) darum, Nutzenden oder Mitarbeitenden lediglich solche Zugangsrechte zu geben, die sie für die Ausübung ihrer Tätigkeit tatsächlich benötigen. Etwas überspitzt: Ein Praktikant muss beispielsweise nicht auf vertrauliche Geschäftsberichte oder geheime Expansionspläne zugreifen können.
Die Idee hinter dem Least-Privilege-Ansatz ist, dass dadurch, dass bestimmte Daten oder Ressourcen nicht für die Allgemeinheit verfügbar sind, ein besserer Schutz vor Cyberangriffen besteht. Denn: Wenn Hacker Zugriff auf das Benutzerkonto des erwähnten Praktikanten erlangen, dieser aber nur über sehr eingeschränkte Zugangsrechte verfügt, bleiben den Hackern die wichtigen Bereichen des Unternehmensnetzwerks verwehrt.
Das Least-Privilege-Prinzip lässt sich aber nicht nur bei Personen anwenden, sondern auch bei Anwendungen, Systemen oder vernetzten Geräten. Auch bei diesen ist nach dem Least-Privilege-Ansatz darauf zu achten, dass sie ausschließlich die Berechtigungen haben, die für ihre Funktion oder Aufgabe notwendig sind.

5 Gründe für Least Privilege

Diese Definition von Least Privilege hört sich in Ihren Ohren vielleicht schon gut an. Aber warum sollten Sie aktiv werden und das Least-Privilege-Prinzip im Unternehmen implementieren? Wir nennen Ihnen 5 gute Gründe.

  1. Schutz vor Cyber-Angriffen
    Dieser erste wichtige Punkt ist bereits erwähnt worden. Angreifende müssen nur einen einzigen Endnutzenden kompromittieren und können großen Schaden anrichten. Je mehr Zugangsrechte das Opfer hat, desto größer ist die Gefahr, dass sich sensible Informationen abgreifen lassen oder das gesamte Netzwerk eines Unternehmens lahmgelegt wird.
  2. Verbesserung der Compliance
    Teilweise verlangen gesetzliche Anforderungen, dass Unternehmen sowohl sensible Daten als auch die zuverlässige Funktion ihrer IT-Systeme schützen. Mit der Umsetzung von Least Privilege zahlen Unternehmen auf die IT-Compliance ein. Durch das Berechtigungsmanagement lassen sich dafür wichtige Punkte dokumentieren.
  3. Schutz vor eigenen Mitarbeitenden
    Immer mal wieder sind Mitarbeitende verärgert – und Sabotage im Unternehmen ist die Folge. Vielleicht ist eine Beförderung oder eine Gehaltserhöhung abgelehnt worden; vielleicht droht eine Entlassung. Wenn böswillige Insider auf kritische Daten, Anwendungen und Systeme zugreifen können, können sie sensible Informationen entwenden oder Systeme sabotieren.
  4. Verbesserung von Prozessen
    Manuell für jeden Mitarbeitenden Rechte vergeben – und gegebenenfalls wieder entfernen, wenn er die Position oder die Abteilung wechselt – kostet Zeit. Mit einer professionellen Rechte-Verwaltung lassen sich viele Aufgaben automatisieren, was deutlich Zeit spart.
  5. Einblicke zu Nutzerverhalten
    Durch Tools zum Berechtigungsmanagement lassen sich typische Verhaltensweisen von Nutzenden erkennen. Falls ein Account gehackt wurde und sich Hacker darüber ungewöhnlich im Unternehmensnetzwerk bewegen, kann das auf den Hackerangriff hindeuten (Stichwort: Anomalie-Erkennung). Direkt lässt sich darauf regieren.

Ihnen fallen weitere gute Grüne für das Least-Privilege-Prinzip ein? Dann verraten Sie sie uns in den Kommentaren! Sie fragen sich, wie Sie Least Privilege im Unternehmen einführen? Dann lesen Sie weiter!

Ein Mann arbeitet an Laptop und externem Monitor. Seine Zugriffsrechte richten sich nach Least Privilege. Bild: Unsplash/Zan

Durch Least Privilege ist das Unternehmensnetzwerk besser geschützt. Zwei Frauen arbeiten an ihren Laptops. Nach Least Privilege haben sie unterschiedliche Zugriffsrechte. Bild: Unsplash/Zan

Least-Privilege-Prinzip einführen

Das Prinzip der geringsten Privilegien gilt bezüglich IT-Sicherheit und Cyber-Sicherheit inzwischen als Best Practice. Das heißt, dass es sich als Verfahren bewährt hat und dass seine Umsetzung weithin empfohlen wird. Der Ansatz ist daher auch ein Grundpfeiler des Berechtigungsmanagement in Unternehmen. Fragt sich an dieser Stelle, wie die Einführung von Least Privilege funktioniert. Hier ein Überblick über die wichtigsten Schritte:

  • Als erstes sollten Sie sogenannte privilegierte Accounts im Unternehmen aufspüren – sowohl vor Ort, in der Cloud, in DevOps-Umgebungen und an Endpunkten. Besonders solche privilegierten Konten sind eine große Gefahr, wenn Cyberkriminelle ihrer habhaft werden.
  • Nun geht es daran, unnötige lokale Admin-Rechte ausfindig zu machen. Auch hier gilt: Admin-Rechte entfernen, wenn sie nicht unbedingt nötig sind.
  • Sinnvoll ist es, wenn Sie Admin-Konten von Standard-Konten trennen und erstere ganz besonders schützen. Privilegierte Anmeldedaten sollten ausschließlich in einem Digital Vault verwaltet werden.
  • Anstatt Berechtigungen großzügig für den Fall der Fälle zu verteilen, sollten Sie dazu übergehen, Berechtigung erst zu erteilen, wenn sie tatsächlich benötigt werden.
  • Sie haben zu den Standard-Berechtigungen zusätzliche Berechtigungen vergeben? Dann könnte es sinnvoll sein, dafür ein Ablaufdatum zu definieren.
  • Alle Aktivitäten bei Admin-Konten sollten Sie lückenlos dokumentieren, um dadurch ungewöhnliche Aktionen schnell zu entdecken und Angriffe abwehren zu können.
  • Daten sollten immer einen konkreten Eigentümer haben, der dazu verpflichtet ist, die Berechtigungen regelmäßig zu prüfen. Benötigen die Mitarbeitenden A, B und C den Zugang wirklich noch? Falls nicht: Berechtigung entziehen.
  • Implementieren Sie eine Software zum Berechtigungsmanagement, auch Identity- and Access Management genannt. Dadurch wird die Umsetzung des Least-Privilege-Ansatzes vereinfacht.

Mit diesen Schritten sind Sie der Umsetzung eines effektiven Berechtigungsmanagements und des Least-Privilege-Prinzips schon sehr nah. Bedenken Sie aber: Es gibt auch einige Stolpersteine.

Problem: Scheitern an Least-Privilege-Strategie

In der Praxis zeigt sich, dass viele Unternehmen an der Umsetzung des Least-Privilege-Prinzips scheitern. Das zeigt der Global State of Least Privilege Cyber Security Report 2020 von Thycotic, für den weltweit mehr als 350 Cybersicherheitsspezialisten befragt wurden. Grundsätzlich gut: Mehr als zwei Drittel der Befragten gaben an, dass der Least-Privilege-Ansatz in ihrem Unternehmen eine hohe Priorität habe, um sich vor Mitarbeitenden und Drittanbietern zu schützen und Compliance-Richtlinien einzuhalten.
Das Problem aber ist, dass jede fünfte IT-Abteilung daran scheitert, eine minimale Rechte-Vergabe einzuführen. In fast der Hälfte der Fälle waren Beschwerden den Nutzenden der Grund für dieses Scheitern. Oft ist auch Nachlässigkeit die Ursache. Und die fängt oft schon bei den IT-Mitarbeitenden an. In der Umfrage gaben 27 Prozent der Befragten an, auf jedem Rechner die gleichen lokalen Administrator-Zugangsdaten zu nutzen – zum Beispiel wenn es um die Fernwartung auf dem Rechner eines Mitarbeitenden im Home Office geht. Stellen Sie sich vor, ausgerechnet diese Daten gelangen in die falschen Hände. Nicht nur vor dem Hintergrund der zunehmenden Verbreitung von Remote Work ist das problematisch.

Drei Personen nutzen Laptops und haben verschiedene Zugangsrechte dank Least Prvilege. Bild: Unsplash/Kaleidico

Viele Benutzer, viele Geräte, granulare Zugriffsrechte. Bild: Unsplash/Kaleidico

Unterstützung beim Berechtigungsmanagement

Damit Ihr Unternehmen nicht dasselbe Schicksal ereilt und Sie an der Umsetzung des Least-Privilege-Ansatzes scheitern, haben wir noch eine Empfehlung für Sie: Holen Sie sich doch einfach Fachleute an die Seite, die sich mit IT-Themen wie dem Berechtigungsmanagement auskennen und eine entsprechende Lösung vorschlagen und implementieren können! Fündig werden Sie sicherlich auch in unserem Netzwerk aus IT-Systemhäusern in ganz Deutschland.
Die IT-Fachleute aus dem IT-SERVICE.NETWORK haben sich unter anderem der IT-Sicherheit in kleinen und mittelständischen Unternehmen, aber auch Einrichtungen jeder Art verschrieben. Und das beinhaltet auch rechtliche Vorgaben, die unsere Experten beispielsweise mit einer DSGVO-Beratung mit Ihnen besprechen. Genauso gehört dazu die Umsetzung des Least-Privilege-Ansatzes und daraus folgend der IT-Compliance.
Sie hätten dazu gern weitere Informationen? Immer gern! Nehmen Sie einfach Kontakt zu einem IT-Systemhaus aus unserem Netzwerk auf, das sich ganz in Ihrer Nähe befindet. Über unsere Dienstleistersuche finden Sie die passenden IT-Dienstleister mit wenigen Klicks. Wir freuen uns auf Ihre Anfrage!

Weiterführende Links:
it-daily, cyberark, tenfold, it-daily

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen