{"id":17155,"date":"2021-08-25T07:23:25","date_gmt":"2021-08-25T05:23:25","guid":{"rendered":"https:\/\/it-service.network\/blog\/?p=17155"},"modified":"2021-08-25T07:23:25","modified_gmt":"2021-08-25T05:23:25","slug":"least-privilege","status":"publish","type":"post","link":"https:\/\/it-service.network\/blog\/2021\/08\/25\/least-privilege\/","title":{"rendered":"Least Privilege f\u00fcr mehr Sicherheit ## Berechtigungen eingrenzen und Gefahren verringern"},"content":{"rendered":"

Cyberkriminelle richten ihre Attacken gern auf Mitarbeitende als das vermeintlich schw\u00e4chste Glied in der Sicherheitskette von Unternehmen. Erlangen sie Zugriff zu einem Account, k\u00f6nnen sie unter Umst\u00e4nden auf Unmengen an Unternehmensdaten zugreifen. Es sei denn, es gilt ein ganz bestimmtes Prinzip: Least Privilege.<\/strong>
\nWir erkl\u00e4ren, was das Least-Privilege-Prinzip ist und welche Gr\u00fcnde daf\u00fcr sprechen.
\n<\/p>\n

\nDieser Beitrag im \u00dcberblick:<\/strong><\/p>\n
    \n
  1. Sicherheit muss sein<\/a><\/li>\n
  2. Was ist Least Privilege?<\/a><\/li>\n
  3. 5 Gr\u00fcnde f\u00fcr Least Privilege<\/a><\/li>\n
  4. Least-Privilege-Prinzip einf\u00fchren<\/a><\/li>\n
  5. Problem: Scheitern an Least-Privilege-Strategie<\/a><\/li>\n
  6. Unterst\u00fctzung beim Berechtigungsmanagement<\/a><\/li>\n<\/ol>\n<\/div>\n

    Sicherheit muss sein<\/h2>\n

    Tag f\u00fcr Tag gibt es Nachrichten \u00fcber diesen neuen Trojaner<\/a>, jenen erfolgreichen Ransomware-Angriff<\/a> auf ein Unternehmen und \u00fcber diese ganz neue Phishing-Kampagne<\/a>. Deutlich machen diese Schlagzeilen vor allem eines: Cyberkriminelle<\/strong> werden nicht m\u00fcde, sich immer wieder neue Angriffstechniken<\/strong> zu \u00fcberlegen und eine Attacke nach der anderen zu fahren.
    \nDas bedeutet: Wenn Cyberkriminelle auf der einen Seite niemals unt\u00e4tig sind, darf auch die Gegenseite nicht nachl\u00e4ssig werden. Und wer steht auf der Gegenseite<\/strong>? Unter anderem die Hersteller von Sicherheitsl\u00f6sungen und anderer Software, Cybersicherheitsexperten, die die Lage beobachten und Warnungen aussprechen, IT-Dienstleister, die IT-Sicherheitsma\u00dfnahmen in Unternehmen umsetzen, und nat\u00fcrlich auch Unternehmen und Organisationen<\/strong> selbst, denn sie stehen im Visier der Angreifer.
    \nUnd so kommt es, dass auch immer wieder neue Mechanismen entwickelt und empfohlen werden, die einen Schutz vor Cyberattacken<\/strong> bieten sollen. Zum Beispiel: das Least-Privilege-Prinzip<\/strong>.
    \n

    \"Zwei

    Verschiedene Mitarbeitende, verschiedene Zugriffsrechte \u2013 das besagt der Ansatz Least Privilege. Bild: Unsplash\/TheStandingDesk.com<\/p><\/div><\/p>\n

    Was ist Least Privilege?<\/h2>\n

    Der Begriff Least Privilege<\/strong> kommt aus dem Englischen<\/strong> und l\u00e4sst sich mit \u201eGeringstes Privileg\u201c<\/strong> \u00fcbersetzen. Es geht beim Least-Privilege-Prinzip (Principle of Least Privilege \/ PoLP) darum, Nutzenden oder Mitarbeitenden lediglich solche Zugangsrechte<\/strong> zu geben, die sie f\u00fcr die Aus\u00fcbung ihrer T\u00e4tigkeit tats\u00e4chlich ben\u00f6tigen. Etwas \u00fcberspitzt: Ein Praktikant muss beispielsweise nicht auf vertrauliche Gesch\u00e4ftsberichte oder geheime Expansionspl\u00e4ne zugreifen k\u00f6nnen.
    \nDie Idee hinter dem Least-Privilege-Ansatz<\/strong> ist, dass dadurch, dass bestimmte Daten oder Ressourcen nicht f\u00fcr die Allgemeinheit verf\u00fcgbar sind, ein besserer Schutz vor Cyberangriffen besteht. Denn: Wenn Hacker Zugriff auf das Benutzerkonto des erw\u00e4hnten Praktikanten erlangen, dieser aber nur \u00fcber sehr eingeschr\u00e4nkte Zugangsrechte verf\u00fcgt, bleiben den Hackern die wichtigen Bereichen des Unternehmensnetzwerks verwehrt.
    \nDas Least-Privilege-Prinzip<\/strong> l\u00e4sst sich aber nicht nur bei Personen anwenden, sondern auch bei Anwendungen, Systemen oder vernetzten Ger\u00e4ten<\/strong>. Auch bei diesen ist nach dem Least-Privilege-Ansatz darauf zu achten, dass sie ausschlie\u00dflich die Berechtigungen haben, die f\u00fcr ihre Funktion oder Aufgabe notwendig sind.<\/p>\n

    5 Gr\u00fcnde f\u00fcr Least Privilege<\/h2>\n

    Diese Definition von Least Privilege<\/strong> h\u00f6rt sich in Ihren Ohren vielleicht schon gut an. Aber warum sollten Sie aktiv werden und das Least-Privilege-Prinzip im Unternehmen implementieren? Wir nennen Ihnen 5 gute Gr\u00fcnde<\/strong>.<\/p>\n

      \n
    1. Schutz vor Cyber-Angriffen<\/strong>
      \nDieser erste wichtige Punkt ist bereits erw\u00e4hnt worden. Angreifende m\u00fcssen nur einen einzigen Endnutzenden kompromittieren und k\u00f6nnen gro\u00dfen Schaden anrichten. Je mehr Zugangsrechte das Opfer hat, desto gr\u00f6\u00dfer ist die Gefahr, dass sich sensible Informationen abgreifen lassen oder das gesamte Netzwerk eines Unternehmens lahmgelegt wird.<\/li>\n
    2. Verbesserung der Compliance<\/strong>
      \nTeilweise verlangen gesetzliche Anforderungen, dass Unternehmen sowohl sensible Daten als auch die zuverl\u00e4ssige Funktion ihrer IT-Systeme sch\u00fctzen. Mit der Umsetzung von Least Privilege zahlen Unternehmen auf die IT-Compliance ein. Durch das Berechtigungsmanagement lassen sich daf\u00fcr wichtige Punkte dokumentieren.<\/li>\n
    3. Schutz vor eigenen Mitarbeitenden<\/strong>
      \nImmer mal wieder sind Mitarbeitende ver\u00e4rgert \u2013 und       Sabotage im Unternehmen<\/a> ist die Folge. Vielleicht ist eine Bef\u00f6rderung oder eine Gehaltserh\u00f6hung abgelehnt worden; vielleicht droht eine Entlassung. Wenn b\u00f6swillige Insider auf kritische Daten, Anwendungen und Systeme zugreifen k\u00f6nnen, k\u00f6nnen sie sensible Informationen entwenden oder Systeme sabotieren.<\/li>\n
    4. Verbesserung von Prozessen<\/strong>
      \nManuell f\u00fcr jeden Mitarbeitenden Rechte vergeben \u2013 und gegebenenfalls wieder entfernen, wenn er die Position oder die Abteilung wechselt \u2013 kostet Zeit. Mit einer professionellen Rechte-Verwaltung lassen sich viele Aufgaben automatisieren, was deutlich Zeit spart.<\/li>\n
    5. Einblicke zu Nutzerverhalten<\/strong>
      \nDurch Tools zum Berechtigungsmanagement lassen sich typische Verhaltensweisen von Nutzenden erkennen. Falls ein Account gehackt wurde und sich Hacker dar\u00fcber ungew\u00f6hnlich im Unternehmensnetzwerk bewegen, kann das auf den Hackerangriff hindeuten (Stichwort:       Anomalie-Erkennung<\/a>). Direkt l\u00e4sst sich darauf regieren.<\/li>\n<\/ol>\n

      Ihnen fallen weitere gute Gr\u00fcne f\u00fcr das Least-Privilege-Prinzip ein? Dann verraten Sie sie uns in den Kommentaren! Sie fragen sich, wie Sie Least Privilege im Unternehmen einf\u00fchren? Dann lesen Sie weiter!
      \n

      \"Ein

      Durch Least Privilege ist das Unternehmensnetzwerk besser gesch\u00fctzt. Zwei Frauen arbeiten an ihren Laptops. Nach Least Privilege haben sie unterschiedliche Zugriffsrechte. Bild: Unsplash\/Zan<\/p><\/div><\/p>\n

      Least-Privilege-Prinzip einf\u00fchren<\/h2>\n

      Das Prinzip der geringsten Privilegien<\/strong> gilt bez\u00fcglich IT-Sicherheit und Cyber-Sicherheit inzwischen als Best Practice<\/strong>. Das hei\u00dft, dass es sich als Verfahren bew\u00e4hrt hat und dass seine Umsetzung weithin empfohlen wird. Der Ansatz ist daher auch ein Grundpfeiler des Berechtigungsmanagement in Unternehmen. Fragt sich an dieser Stelle, wie die Einf\u00fchrung von Least Privilege<\/strong> funktioniert. Hier ein \u00dcberblick \u00fcber die wichtigsten Schritte:<\/p>\n