Einfacher Weg zu mehr Sicherheit: Just-in-time-Zugang

Just-in-time-Zugangssicherheit (JIT) ist ein grundlegendes Verfahren zur Verringerung überflüssiger Zugriffsrechte und ein wichtiges Instrument zur Umsetzung des Privilegien-Managements und des Zero-Trust-Sicherheitsmodells.

5 Min. Lesezeit
Foto: ©AdobeStock/Olivier Le Moal

Obwohl Cyberangriffe, Malware und Ransomware-Attacken derzeit für die meisten Schlagzeilen sorgen, geht nach wie vor die größte Sicherheitsbedrohung von Mitarbeitern innerhalb von Organisationen aus, die privilegierten Zugang zu sensiblen Daten haben. Das Just-in-time-Zugangsverfahren kann den daraus resultierenden Gefahren wirksam entgegenwirken.

Der von Cybersecurity Insider vor gut einem Jahr veröffentlichte Insider Threat Report 2020 kam zu dem Ergebnis, dass 68 Prozent der Unternehmen von einer deutlichen Zunahme sogenannter Insider-Angriffen berichteten und sich diesen gegenüber immer verwundbarer fühlten. 63 Prozent der befragten Unternehmen teilten zudem die Ansicht, dass privilegierte IT-Benutzer das größte Insider-Sicherheitsrisiko für ihre Organisation darstellen. Daran hat sich bis heute nicht viel geändert.

Erhöhtes Risiko durch Remote-Arbeiten

Das Risiko, Opfer eines Cyberangriffs oder einer Zugangsverletzung zu werden, wächst weiter. Die Corona-Pandemie hat die steigende Bedrohungslage noch einmal deutlich verschärft.
Cyberkriminelle nutzen nicht nur geschickt die Ausnahmesituation aus, sondern setzen gezielt auf Schwachpunkte, die gerade durch das Remote-Arbeiten außerhalb geschützter Organisationen entstehen. Das Ergebnis: Weltweit geht etwa die von CSIS und McAfee veröffentliche Studie „The hidden Costs of Cybercrime“ von Cyberschäden in einer Größenordnung von einer Billion US-Dollar aus.

Trotz einer deutlichen Zunahme von Cyberverstößen innerhalb von Organisationen beziehungsweise in Remote-Arbeitsumgebungen wäre es jedoch falsch, die Mitarbeiterinnen und
Mitarbeiter eines Unternehmens pauschal unter Generalverdacht zu stellen. Statt also möglichen Auswirkungen auf die Motivation und sinkenden Arbeitsleistungen Vorschub zu leisten, ist die klügere Unternehmensstrategie, bessere und koordinierte Zugangsbedingungen zu IT-Systemen zu schaffen, welche die Sicherheit erhöhen und zudem ohne Zeitverlust einfach bedienbar sind.

Ein Hebel hierfür ist das Prinzip der Just-in-time-Zugangssicherheit. Dabei handelt es sich um den Zugang zu IT-Ressourcen genau dann, wenn sie benötigt werden. Die Benutzer erhalten die Berechtigung, auf ein System oder eine Ressource zuzugreifen, um eine bestimmte Aufgabe auszuführen, wenn der Bedarf besteht. Das heißt, genau zum richtigen Zeitpunkt.

Just-in-time reduziert Cyberrisiken

Just-in-time-Zugangssicherheit (JIT) ist ein grundlegendes Verfahren zur Verringerung überflüssiger Zugriffsrechte und ein wichtiges Instrument zur Umsetzung des Privilegien-Managements und des Zero-Trust-Sicherheitsmodells.

Die Just-in-time-Sicherheit zielt darauf ab, verletzliche Privilegien zu minimieren und das Risiko von Cyberangriffen weiter zu begrenzen. Wenn zu viele Benutzer dauerhaft über zu viele Privilegien verfügen, setzt sich das Unternehmen einem exponentiell höheren Risiko aus, dass eben diese privilegierten Anmeldeinformationen gestohlen oder ausgenutzt werden. Die Folge: Der Verlust von vertraulichen Informationen ist zu beklagen, Daten werden verschlüsselt oder Systeme zum Stillstand gebracht.

In einer kürzlich von Oracle und der Wirtschaftsprüfergesellschaft KPMG durchgeführten Studie wurde festgestellt, dass 59 Prozent der befragten Unternehmen – also mehr als die Hälfte von ihnen – Opfer eines Cyberangriffs wurden, weil privilegierte Zugangsdaten weitergegeben oder gestohlen wurden. Das Problem: Die meisten Unternehmen gewähren ihren Benutzern pauschal zu viele Berechtigungen für zu viele Ressourcen. Oftmals erfordern Anwendungen und Legacy-Systeme jedoch erhöhte Berechtigungen, damit deren Benutzer ihre Aufgaben erledigen können.

Diese teils inflationäre Privilegierung gefährdet in hohem Maße die IT-Infrastruktur von Organisationen. Tatsächlich hätten 56 Prozent der gemeldeten Schwachstellen etwa in Microsoft-Software im Jahr 2020 durch die Abschaffung administrativer Berechtigungen entschärft werden können.

Abhilfe schaffen kann die Umsetzung des Just-in-time-Sicherheit-Prinzips in Organisationen. Es basiert darauf, die Anzahl der Benutzer mit permanent erhöhten Privilegien, aber auch die Menge der Privilegien, die sie jeweils besitzen, sowie die Zeitdauer, für die sie gewährt werden, auf ein absolutes Minimum zu reduzieren. JIT ermöglicht es Unternehmen, die Cybersicherheit zu verbessern, unterstützt durch strategische Technologielösungen, um Schwachstellen zu minimieren und böswillige Akteure daran zu hindern, ihre Privilegien im Netzwerk eigenmächtig zu erweitern.

 

Just-in-time (JIT) Sicherheitsrichtlinien helfen Unternehmen dabei: 

  • die allgemeine Cybersicherheitslage zu verbessern
  • übermäßige Privilegien abzuschaffen und eine „Zero Standing Privileges“-Richtlinie einzuführen
  • Privilegieneskalationsprozesse zu rationalisieren und automatisieren
  • Privilegierte Benutzer (egal, ob Mensch und Maschine) zu verwalten
  • Einen sicheren Fernzugriff auf sensible Ressourcen zu ermöglichen
  • Sicherheit zu erleichtern, ohne die Produktivität zu beeinträchtigen

 

Wie Just-in-time-Security praktisch implementiert werden kann

JIT-Sicherheit basiert auf den drei Hauptfaktoren des Zugriffs: Ort, Zeitpunkt und Aktionen. Der erste Schritt, um JIT in die Praxis umzusetzen, umfasst eine unternehmensweite Prüfung aller Benutzerzugriffsrechte, um den Umfang und das Ausmaß des Problems zu ermitteln. Wie viele Benutzer gibt es? Welche Profile haben sie, und auf welche Anwendungen und Systeme benötigen sie in der Regel Zugriff? Wie viele Benutzerkonten sind inaktiv, wie viele erhöhte Zugriffsrechte werden selten oder nie genutzt?

 

Die Just-in-time-Sicherheit ermöglicht eine dynamische Erhöhung der Zugriffsrechte unter klar definierten Bedingungen: 

  • Zugriff nur während der normalen Arbeitszeiten
  • Zugriff auf sensible Ressourcen nur für bestimmte Aufgaben
  • Ausweitung der Anwendungsrechte ohne Ausweitung der gesamten Benutzersitzung
  • Sicherer Fernzugriff für Mitarbeiter und externe Anbieter

 

Nach dieser Bestandsaufnahme besteht der nächste Schritt darin, interne Richtlinien festzulegen, um die Anforderungen an die Benutzer zu definieren, denen Zugriff auf die Zielsysteme gewährt werden soll: Welche Rollen und Teams, unter welchen Bedingungen und für wie lange soll der Zugriff erlaubt sein?

Genauso muss der IT-Administrator die Kontrolle über alle Passwörter und Anmeldedaten für die Zielsysteme wiedererlangen. Die zentrale Verwaltung und Rotation von Passwörtern für Anwendungen und IT-Ressourcen ist entscheidend für ein umfassendes Risiko- und Schwachstellenmanagement. Diese Schritte schaffen die Voraussetzungen, Lösungen zur Umsetzung der Just-in-time-Politik zu implementieren.

Eingebettet in das JIT-Prinzip ist schließlich eine Privileged-Access-Management-Lösung (PAM) die wesentliche Grundlage, die „Kronjuwelen“ der IT-Infrastruktur zu schützen. Eine PAM-Lösung zentralisiert und rationalisiert den sicheren Zugang zu kritischen IT-Ressourcen wie Produktionsservern und Business-Anwendungen und verhindert die gemeinsame Nutzung von Root-Passwörtern, wodurch der sensible Zugang gesperrt wird. Wenn eine Verbindung über eine PAM-Lösung hergestellt wird, geschieht dies ohne Mehraufwand für den Benutzer und erleichtert gleichzeitig Produktivität und Effizienz, während die Berechtigung zur Verbindung mit dem Server basierend auf den in der Lösung definierten JIT-Prinzipien vollständig überprüft wird.

Auch Nicht-IT-Benutzer können durch Just-in-time-Sicherheitslösungen geschützt werden. Workstations sind eine ständige Quelle von Schwachstellen aufgrund von Phishing-Betrug
und „Passwortmüdigkeit“ von Benutzern mit zu vielen Anmeldedaten für zu viele verschiedene Systeme.

Das Entfernen lokaler Administratorkonten kann jedoch auf beiden Seiten, den Benutzern und dem überlasteten Helpdesk, Kopfschmerzen verursachen. Endpoint-Privilege-Management ermöglicht es Anwendern, dynamisch und nahtlos die Berechtigungen für eine bestimmte Anwendung oder einen Prozess zu erhöhen, ohne die Sitzungs- oder Benutzerrechte zu erhöhen. Mit geeigneten Lösungen wird der Zugriff und die Berechtigungserweiterung genau dann gewährt, wenn ein Benutzer eine bestimmte Aufgabe erfüllen muss (Ausführen eines Programms, Installieren einer zugelassenen Software), während nicht autorisierte Verschlüsselungsvorgänge oder Versuche der Berechtigungserweiterung
blockiert werden.

Die Just-in-time-Zugriffsverwaltung verhindert unkontrollierbare „Dauerprivilegien“ und einen Wildwuchs über Benutzerkonten und schafft mithilfe von Zugriffssicherheitslösungen ein mehr an Cyber- und Datensicherheit, in der nur die richtigen Identitäten über den berechtigten Zugriff verfügen.

 

Autor: Stefan Rabben, Area Sales Director DACH and Eastern Europe bei WALLIX Group

 

Sie finden den Artikel auch im eMagazine der IT-SICHERHEIT 1/2022.

 

 

Stefan Rabben, Wallix

Stefan Rabben, WALLIX Group

Andere interessante Fachbeiträge

Ist Security-Awareness Zeitverschwendung?

Anfang der 2000er war die goldene Zeit der Awareness – es gab zahlreiche Tagungen in aller Welt, Gesamtpakete zur Steigerung der Awareness von Mitarbeitern mit Kantinen-Events (Security-Day), Tassen, Kugelschreibern und Postern. Heutzutage gibt es meist 08/15-Vorträge für die Mitarbeiter oder ein todlangweiliges computerbased Training. Ist daher die Zeit der Awareness vorbei? Ist es wirklich so, wie der „IT-Guru“ Bruce Schneider sagt: „Security-Awareness ist Zeitverschwendung“?

PCI DSS 4.0: Die wichtigsten Änderungen

Nach über vier Jahren Entwicklungszeit ist Ende März 2022 Version 4.0 des „Payment Card Industry Data Security Standard“ (PCI DSS) veröffentlicht worden. Die lange Entwicklungszeit und der Abstand zur vorherigen Hauptversion lassen schon erahnen, dass die neue Version signifikante Änderungen und Neuerungen mit sich bringt.

Welches Security Assessment sollte ich als Unternehmen durchführen?

„Reicht ein Schwachstellenscan? Oder doch lieber ein Penetrationstest? Aber nur auf die im Internet exponierten Systeme, die sind am kritischsten.“ NEIN! Insbesondere wenn ein Unternehmen noch nie ein technisches Security Assessment (z. B. Penetrationstest) durchgeführt hat, gibt es viel Fehlinformationen zu der Thematik und einen Fokus auf die falschen oder nur einen kleinen Teil der Cyberrisiken.