Home » Fachbeiträge » Security Management » Maßnahmen zur Vermeidung von Überberechtigungen

Wie Unternehmen die Angriffsflächen reduzieren können: Maßnahmen zur Vermeidung von Überberechtigungen

Die Existenz überberechtigter Konten gefährdet die IT-Sicherheit von Unternehmen. Unsere Autoren erklären, was das für Konten sind, wie diese entstehen und welche Gegenmaßnahmen IT-Verantwortliche ergreifen können, um die Angriffsfläche zu reduzieren.

16 Min. Lesezeit
Mann tippt auf Laptoptastatur.
Foto: ©AdobeStock/RerF

Ein weltweit bekannter Angriff, bei dem übermäßige Berechtigungen ausgenutzt wurden, war der Datendiebstahl bei der NSA durch Edward Snowden im Jahr 2013 [1]. Snowden nutzte Administratorrechte und eine ständig wachsende Berechtigungsansammlung aus. Über sein selbst entwickeltes „Heartbeat“-System erhielt er Zugang zu vielen Geheimdienstinformationen der NSA sowie zu weiteren Daten der CIA, des FBI und dem „Joint Worldwide Intelligence Communications System“. Die Menge an Berechtigungen, über die Snowden zuletzt verfügte, war deutlich höher, als er für die Erfüllung seiner Aufgaben bei der NSA benötigte.

Der Softwarehersteller Fortra gibt in seinem „Zero Trust Security Report 2023“ an, dass bei 10 Prozent der befragten Unternehmen alle Benutzer überberechtigt sind [2]. Bei 46 Prozent waren einige Nutzer überberechtigt und bei 33 Prozent einige wenige. Lediglich 9 Prozent antworteten, dass keine überberechtigten Konten existieren. Trotz des hohen Anteils von 89 Prozent, bei dem es laut Report mindestens einige wenige Überberechtigungen gibt, meinten 47 Prozent, dass überberechtigte Konten ein Problem darstellen.

Eine Umfrage des Instituts für Internet-Sicherheit – if(is) mit fünf relevanten Unternehmen bestätigt, dass die Risikowahrnehmung dem bestehenden Risiko von Überberechtigungen nicht gerecht wird. Obwohl in allen fünf befragten Unternehmen überberechtigte Konten vorlagen, existierte bei vier der Unternehmen kein Risikobewusstsein. Drei der fünf Unternehmen waren von mindestens einem IT-Sicherheitsvorfall betroffen. Diese drei Unternehmen gaben an, dass die IT-Sicherheitsvorfälle auf Überberechtigungen zurückzuführen waren.

Die Zahlen zeigen, dass die Unternehmen die Ursache von Sicherheitsvorfällen nicht ausreichend ernst nehmen und das Risiko von überberechtigten Konten keine bewusste Wahrnehmung erfährt.

Was sind Überberechtigungen in der Unternehmens-IT?

Über Nutzerkonten wird Mitarbeitern der Zugriff auf notwendige IT-Systeme ermöglicht, um entsprechende Aufgaben in einem Unternehmen bearbeiten zu können [2]. Hierbei existieren verschiedene Berechtigungsgranularitäten. Unprivilegierte oder normale Berechtigungen, wie beispielsweise bei Standard-Nutzerkonten, verfügen über eine begrenzte Anzahl von Berechtigungen. Somit können die Mitarbeiter ihre Aufgaben im Unternehmen erfüllen. Dazu zählen zum Beispiel das Ausführen und das Beenden bestimmter und für die Aufgabe notwendiger Programme sowie die Nutzung des Unternehmensnetzes.

Privilegierte Nutzerkonten haben hingegen mehr Rechte als andere. Root- oder Administratorkonten mit uneingeschränkten Berechtigungen fallen hierunter ebenso wie Konten mit der Befugnis auf IT-Systemen sensible Daten einzusehen, Software zu installieren oder Einstellungen zu verändern. Je mehr Berechtigungen ein Konto besitzt, desto kritischer ist das IT-Sicherheitsrisiko einzustufen. Abbildung 1 illustriert diese Abhängigkeit.

Wird die Berechtigungsgranularität eines Nutzerkontos verändert, so erhält ein unprivilegiertes Standardnutzerkonto möglicherweise dieselben Berechtigungen wie ein erweitertes Nutzerkonto (siehe Abbildung 1). Dem Nutzer stehen dadurch mehr Berechtigungen zur Verfügung, als dieser für die Bewältigung der Aufgaben benötigt. Das Konto ist somit überberechtigt, was das Risiko für die Unternehmens-IT erhöht.

Abbildung 1: Abhängigkeit zwischen Berechtigungen und Sicherheitsrisiko

Abhängigkeit zwischen Berechtigungen und Sicherheitsrisiko
Bild: if(is)

Die Berechtigungsvergabe findet häufig über Systemadministratoren statt. Mithilfe ihrer Erfahrungen und Analysemöglichkeiten sollen angestrebte IT-Sicherheitsrichtlinien in der Unternehmens-IT umgesetzt werden. Über ein Rechte- und Rollenkonzept werden die Berechtigungsgranularitäten jedes Nutzerkontos so festgelegt, dass nur die benötigte Menge an Berechtigungen vergeben ist, die für die anfallenden Aufgaben notwendig ist.

Jedoch kommt es in der Unternehmens-IT im Laufe der Zeit zu Veränderungen. Mitarbeiter übernehmen karrierebedingt eine neue Rolle oder erhalten temporär eine organisatorische Rolle. Vergebene Berechtigungen werden aufgrund der Informationsmenge und des Zeitaufwandes häufig nicht als aktuelle Notwendigkeiten geprüft, Dokumentationen zur Nachverfolgung nicht erstellt und IT-Sicherheitsrichtlinien keinen strengen Prozessen unterzogen.

Das Resultat sind IT-Sicherheitsrichtlinien, die nicht richtig umgesetzt sind. Es entstehen Fehlkonfigurationen, weil zu viele Berechtigungen vergeben werden. Diese Überberechtigungen verstoßen gegen die angestrebten IT-Sicherheitsziele und Sicherheitserwartungen der Unternehmens-IT. Unterberechtigungen fallen meist schnell auf. Überberechtigungen sind hingegen gefährlich, da Mitarbeiter im Laufe der Zeit unnötige und redundante Berechtigungen ansammeln. Die vorher vergebenen werden nicht entzogen, wodurch die Überberechtigung des entsprechenden Nutzerkontos immer höher wird.

Der Missstand überberechtigter Konten ist für den Systemadministrator schwer zu erkennen und bleibt daher oft unbemerkt. Auch der betroffene Nutzer bemerkt es nicht, da sich der Zugriff auf die IT-Systeme unauffällig verhält.

Ebenso stellen verwaiste Konten ehemaliger Mitarbeiter ein Problem dar, wenn diese nicht gelöscht werden und somit ihre Berechtigungen behalten, die von Angreifern genutzt werden können.

Welche Risiken verursachen Überberechtigungen?

Ein „Advanced Persistent Threat“-(APT)-Angriff stellt für Unternehmen mit überberechtigten Konten eine erhöhte Gefahr dar. Er ermöglicht es dem Angreifer, sich bei passender Gelegenheit eine Präsenz im Unternehmen zu schaffen und sich auszuweiten [3]. Unternehmensinformationen werden exfiltriert, untergraben oder behindert.

Durch die zielgerichtete und personalisierte Vorgehensweise kann der Angreifer Überberechtigungen ausnutzen, um sein Ziel zu erreichen. Je mehr solcher Konten es im Unternehmen gibt, desto einfacher und effizienter kann er seinen Angriff durchführen.

Im Folgenden beschreiben wir einen APT-Angriff, der bei vorhandenen VPN-Zugängen von kriminellen Organisationen, wie zum Beispiel bei Ransomware-Angriffen, zurzeit sehr erfolgreich und häufig umgesetzt wird. Dieser Angriff besteht aus einer vierstufigen „Intrusion Kill Chain“.

Alle Phasen dieses Angriffs werden in Abbildung 2 veranschaulicht.

Abbildung 2: Phasen eines APT-Angriffs

Phasen eines APT-Angriffs
Bild: if(is)

Aufklärung

Der Angriff beginnt mit einer externen Aufklärung. Der Angreifer nutzt Business-Netzwerke wie „LinkedIn“ oder „Xing“, um Mitarbeiter mit hohen Berechtigungen zu lokalisieren und persönliche Informationen über diese zu erfahren.

Insbesondere Administratoren, die über hohe Berechtigungen verfügen, sind ein begehrtes Ziel für Angreifer.

Infiltration

In der Infiltrationsphase wird das Endgerät des Administrators kompromittiert und dadurch der Zugang zum Unternehmensnetz ermöglicht. Auf Basis der gewonnenen Informationen wird eine ansprechende „Spear-Phishing“-E-Mail an den Administrator gesendet. Dieser wird dazu verleitet, auf einen Link oder Anhang zu klicken.

Anschließend wird Malware auf das Endgerät des Administrators installiert. Diese erlaubt es dem Angreifer, durch die Firewall und die Berechtigungen des Administrators auf ein erstes internes IT-System zuzugreifen. Auf diesem IT-System richtet sich der Angreifer ein, um den dauerhaften Zugang zum Unternehmensnetz abzusichern.

Ausbreitung

Die darauffolgende Ausbreitungsphase beginnt mit einer internen Aufklärung. Diese erfolgt über mehrere Wochen oder Monate. Der Angreifer bekommt in dieser Zeit einen Überblick darüber, welche IT-Systeme sich im Unternehmensnetz befinden, wie diese miteinander verbunden sind und welche Schwachstellen die IT-Systeme aufweisen.

Der Angreifer nutzt dieses interne Wissen und intelligente Angriffstools, um auf Basis von „Privilege Escalation“ und „Lateral Movement“ weitere Administratorkonten oder Konten mit Überberechtigungen zu kompromittieren. Nach und nach werden so alle IT-Systeme übernommen. Der Angriff erfolgt verdeckt, langsam und schrittweise, damit eingesetzte Intrusion-Detection–Systeme keine Auffälligkeiten bemerken.

Exfiltration

Sobald der Angreifer genug sensible Informationen auf den übernommenen IT-Systemen des Unternehmens gesammelt hat, werden diese in der Exfiltrationsphase aus dem Unternehmen abgezogen und somit gestohlen. Zusätzlich kann er alle IT-Systeme verschlüsseln, um so einen Stillstand der kompletten Unternehmens-IT zu initiieren. Türen lassen sich dann nicht mehr öffnen, weil die IT-Schließanlage ausgefallen ist.

Ebenso können Kunden und Lieferanten nicht mehr informiert werden, weil Telefonnummern und E-Mail-Adressen nicht verfügbar sind. Es erfolgt eine Lösegeldforderung für die Herausgabe des Schlüssels, wodurch der Betrieb wieder aufgenommen werden kann.

Welche Schäden verursachen Überberechtigungen?

Ist der beschriebene Angriff erfolgreich, können in Unternehmen erhebliche Schäden entstehen [4]. Sensible Informationen wie Geschäftsgeheimnisse, Finanzdaten und Kundeninformationen werden gestohlen, indem diese unbefugt übertragen oder abgerufen werden [5]. Der Angreifer richtet hierzu einen „Command & Control“-Server im Unternehmensnetz ein.

Um die Daten unauffällig abzuführen, werden verhaltensbasierte, speicherbasierte oder zeitbasierte verdeckte Kommunikationskanäle eingesetzt. Die Erkennung des Datendiebstahls wird für die eingesetzten Intrusion-Detection-Systeme dadurch schwierig bis unmöglich. Eine vom Beratungsunternehmen EY im Jahr 2023 durchgeführte Studie stellt dar, wie viele Unternehmen von Datendiebstahl betroffen waren [6]. Abbildung 3 macht deutlich, dass trotz des leichten Rückgangs 2023 immer noch mehr als ein Drittel der Unternehmen mit Datendiebstählen konfrontiert sind.

Abbildung 3: Prozentualer Anteil aller von Datendiebstahl betroffenen Unternehmen zwischen 2019–2023

Prozentualer Anteil aller von Datendiebstahl betroffenen Unternehmen zwischen 2019–2023
Bild: if(is)

Zusätzlich kann der Angreifer dem Unternehmen mit der Veröffentlichung der gestohlenen Daten drohen, um hohe Lösegelder zu erpressen. Jüngste Ransomware-Angriffe nutzen diese Möglichkeit in Form einer doppelten Erpressung [7]. Die CyberEdge Group führte 2023 eine Studie durch, in der 41 Prozent der Unternehmen hiervon betroffen waren [8]. Darüber hinaus gab es einen deutlichen Anstieg der Unternehmen, die von Ransomware-Angriffen betroffen waren, von 55,1 Prozent (2018) auf 72,7 Prozent im Jahr 2023.

Verschlüsselungsangriffe wie Ransomware werden oft eingesetzt, um Betriebsstörungen auszulösen [9]. Im Januar 2020 fand bei dem größten US-amerikanischen Elektronikhersteller Communications & Power Industries ein solcher Angriff statt [10]. Mittels Phishing wurde ein Administrator mit hohen Berechtigungen erfolgreich dazu verleitet, auf einen bösartigen Link zu klicken. Nachdem die Malware installiert und im Unternehmensnetzwerk eingeschleust war, breitete sich diese im gesamten Unternehmen aus. Die Folge war eine Betriebsstörung, weil alle IT-Systeme verschlüsselt wurden und somit nicht nutzbar waren. Um die Verschlüsselung aufzuheben, wurde ein Lösegeld von 500.000 Dollar gefordert. Das IT-Unternehmen entschied sich für die Zahlung des Lösegelds.

Eine im Jahr 2016 von der Risk Management Society (RIMS) durchgeführte Online-Umfrage zeigt [11], wie viele Unternehmen mit Schadensregulierungen durch Betriebsstörungen konfrontiert waren und wie lange die Schadensregulierung dauerte (siehe Abbildung 4).

Abbildung 4: Entstandener Schaden durch Betriebsstörungen sowie Zeitraum der Schadensregulierung

Entstandener Schaden durch Betriebsstörungen sowie Zeitraum der Schadensregulierung
Bild: if(is)

Wie lassen sich Überberechtigungen verhindern?

Die ersten Schritte zur Reduzierung der Angriffsfläche bestehen darin, verschiedene Maßnahmen
anzuwenden, um verdächtige Berechtigungen schon im Vorfeld zu senken. Anschließend müssen die Administratoren die übrigen Berechtigungen identifizieren und manuell korrigieren, falls es sich dabei um Überberechtigungen handelt. Hierzu wird der Einsatz von proaktivem Handeln sowie die Beobachtung und der Abgleich von Berechtigungen vorgeschlagen.

1. Proaktives Handeln

Hierbei kann die ausschließliche Vergabe von temporären Berechtigungen unterstützen. Über einen „Just in Time“-Ansatz werden temporäre Berechtigungen vergeben, die ein Nutzer für die Bewältigung seiner aktuellen Aufgaben benötigt. Dauerhafte Berechtigungen sind hingegen unzulässig. Hat der Mitarbeiter die Aufgaben abgeschlossen, werden die Berechtigungen nicht mehr benötigt und dadurch wieder entzogen.

Eine weitere Maßnahme ist die Reduzierung von Administratorkonten. Da diese Konten das höchste Sicherheitsrisiko aufweisen (siehe Abbildung 1) und die Ausnutzung von Überberechtigungen erleichtern, sollten diese auf ein Minimum reduziert werden. Nach dem Angriff von Snowden fand bei der NSA eine Senkung der Administratorkonten um 90 Prozent statt [1].

Darüber hinaus können regelmäßige Schulungen von Administratoren Fehlkonfigurationen vorbeugen, indem über Best-Practice-Vorgänge der Wissensstand stetig aufgefrischt wird. Eine ständige Aktualisierung von Dokumentationen sorgt zudem dafür, die Historie der Berechtigungsvergabe besser zu überblicken.

2. Berechtigungsbeobachtung

Um einen ersten Überblick über den Istzustand der Berechtigungsvergaben der Nutzer zu erlangen, hilft die Überwachung von Nutzeraktivitäten. Hierbei kommen Monitoring-Ansätze
zum Einsatz, die eine proaktive Überwachung und Nachverfolgung (Tracking) von verdächtigen
Nutzeraktivitäten sicherstellen. Durch das Aufzeichnen von Protokollen oder die Erstellung von Berechtigungs-Schnappschüssen wird ein erster Hinweis auf potenzielle Überberechtigungen gegeben. Anschließend werden die verdächtigen Berechtigungen abgeglichen.

3. Berechtigungsabgleich

Der Einsatz von Audits ermöglicht es Experten, verdächtige Berechtigungen periodisch zu überprüfen. Wenn diese eine Abweichung in der IT-Sicherheitsrichtlinie auslösen, werden Überberechtigungen identifiziert. Diese können nun manuell korrigiert werden. Allerdings ist die Qualität der Korrektur vom jeweiligen Experten abhängig. Zudem entsteht ein hoher Verwaltungsaufwand, sodass Audits nur nach Bedarf erfolgen sollten [12].

Welche weiteren IT-Sicherheitsmaßnahmen gibt es?

Die genannten Maßnahmen bieten erste Möglichkeiten, Überberechtigungen zu erkennen und entsprechend zu handeln, um die Angriffsfläche zu senken. Allerdings sind sie aufgrund ihrer manuellen Anwendung beschränkt wirksam. Die Korrekturen sind abhängig vom prüfenden Experten. Wird die Überprüfung der Berechtigungen übersehen, werden mögliche Überberechtigungen nicht behandelt. Hierdurch entstehen Fehlkonfigurationen. Bereits eine subtile Fehlkonfiguration ist ausreichend, um Sicherheitsvorfälle auszulösen [13]. Es kommt hinzu, dass das Erkennen von bereits entstandenen Überberechtigungen komplex ist.

Umfangreiches Expertenwissen und Kenntnisse über die Historie der Berechtigungsvergabe werden benötigt. Berechtigungsansammlungen sind somit nur schwer zu identifizieren. Daher empfiehlt die aktuelle Forschung die Nutzung von weiterführenden regelbasierten Ansätzen.

So werden Klassifizierungsverfahren benötigt, die die angestrebten Konfigurationen der IT-Sicherheitsrichtlinien überprüfen und dabei auf menschliche Abhängigkeiten oder Vorwissen verzichten. Die folgenden Gegenmaßnahmen können Überberechtigungen proaktiv identifizieren und verhindern.

Role Based Access Control (RBAC)

RBAC dient dazu, die IT-Sicherheitsrichtlinie an die Struktur des Unternehmens anzupassen [14]. Über Constraint-Policies erhält der Nutzer seine Berechtigungen über festgelegte Rollen, die seiner Zugehörigkeit zu einer Abteilung oder Hierarchieebene entsprechen. Über das Kardinalität-Constraint wird die maximale Anzahl von Berechtigungen begrenzt, die eine Rolle besitzen kann.

Somit kann eine Rolle nicht sämtliche Berechtigungen besitzen und dadurch den Mitarbeiter, der die Rolle trägt, überberechtigen. Auch wird die maximale Anzahl von Nutzern begrenzt, denen eine Rolle zugewiesen wird. Dies verhindert, dass alle Nutzer im Unternehmen eine kritische Rolle tragen können, sondern nur ausgewählte Nutzer.

Zudem bietet RBAC mehrere Vorteile, beispielsweise in der Anpassung von Rollenberechtigungen. Werden diese verändert, so verändert sich auch automatisch die Berechtigung aller Nutzer, die diese Rolle tragen. Nutzer, die spezielle Einzelberechtigungen besitzen und somit potenziell überberechtigt sind, werden identifiziert und verhindert. Zudem ist die Anzahl der benötigten Rollen im Unternehmen geringer als die Anzahl von Nutzern und deren Einzelberechtigungen. Die anfangs beschriebene Problematik der komplexen IT-Sicherheitsrichtlinie wird gesenkt, wodurch Fehlkonfigurationen reduziert werden.

Der größte Vorteil ist allerdings die Verwendung des Sicherheitsprinzips des Principle of Least Privilege (POLP). Dieses dient zur Kontrolle und Umsetzung, dass Nutzer nur über ein Berechtigungsminimum verfügen, was zur Bewältigung der anstehenden Aufgaben gerade ausreicht. Höhere Berechtigungen werden nicht vergeben und nicht mehr benötigte Berechtigungen automatisch entzogen. POLP kann über mehrere Varianten umgesetzt werden, beispielsweise über „δ-approx POLP” und „minimizing approx POLP” [14].

Data Mining

Durch die Nutzung statistischer Methoden können bestimmte Muster und Zusammenhänge in vorhandenen Datensätzen erkannt werden. Somit eignet sich dieser Ansatz der künstlichen Intelligenz, um Fehlkonfigurationen in IT-Sicherheitsrichtlinien automatisiert zu identifizieren.

Dazu existieren verschiedene Data-Mining-Techniken.

  • Die Metadatenüberwachung besteht aus einer binären Beziehungsmatrix und einem Algorithmus zur proaktiven Erkennung von Fehlkonfigurationen. Dabei wird vor potenziellen Überberechtigungen gewarnt und Änderungsvorschläge werden geäußert.
  • Bei der Konfigurationsüberwachung werden Konfigurationsregeln anderer Trainingskonfigurationen genutzt, um die Erkennung von Fehlkonfigurationen anzutrainieren. Aus dem Trainingsvorgang entstehen Best-Practice-Regeln, die die zukünftige Einhaltung korrekter Berechtigungen sicherstellen.
  • Die bekannte Mustererkennung erlaubt die automatische Erkennung bekannter auffälliger Angriffsszenarien. Log-Meldungen, die während der Aufklärungsphase des Angreifers entstehen, werden analysiert. Auf Basis von vier unterschiedlichen Mustern werden mithilfe von Korrelationsregeln stattgefundene Szenarien beschrieben. Zum Beispiel erkennt das Missing-Event-Muster eine unbefugte Berechtigungsübernahme von IT-Systemen durch den Angreifer.

Machine Learning

Dieser Ansatz nutzt für die Erkennung von Fehlkonfigurationen selbstlernende Algorithmen, die anhand von Mustern und Zusammenhängen aus vorhandenen Datensätzen trainiert werden. Die trainierten Algorithmen sind in der Lage, eigenständig Überberechtigungen vorherzusagen und Handlungsempfehlungen zu äußern. Hierzu können verschiedene Machine-Learning-Techniken eingesetzt werden.

  • Neben der bekannten Mustererkennung existiert auch die unbekannte Mustererkennung. Anstelle von Korrelationsregeln werden die Log-Meldungen analysiert, um eine Abstandsanalyse durchzuführen. Mithilfe eines festgelegten Abnormalitätsgrades werden unbekannte auffällige Angriffsszenarien automatisch erkannt und gemeldet.
  • Die C4.5-Klassifizierung nutzt Entscheidungsbäume. Diese bestehen aus Berechtigungsregeln (Zweige) und Attributen (Knoten). Über eine Inkonsistenz-Analyse wird jedes Attribut eines Endknotens geprüft. Besitzt ein Endknoten mehrere Attribute, so werden alle Attribute mit der IT-Sicherheitsrichtlinie verglichen. Werden die Attribute in der IT-Sicherheitsrichtlinie gefunden, handelt es sich um eine identifizierte Fehlkonfiguration.
  • Über das Ensemble Learning werden mehrere Algorithmen mit unterschiedlichen Stärken (Robustheit, Schnelligkeit, Genauigkeit etc.) miteinander kombiniert, um eine höhere Klassifizierung bei der Erkennung von Fehlkonfigurationen zu erreichen. Hierzu stehen die Algorithmen Random Forest, AdaBoost, XGBoost und LightGBM mit ihren unterschiedlichen Stärken zur Verfügung.

Fazit

Die Existenz von überberechtigten Konten stellt ein erhöhtes IT-Sicherheitsrisiko für die Unternehmens-IT dar. Bereits eine oder wenige subtile Überberechtigungen bewirken eine unnötige Erhöhung der Angriffsfläche. Setzt die Unternehmens-IT keine Gegenmaßnahmen ein und ignoriert damit das Risiko, treten mit höherer Wahrscheinlichkeit IT-Sicherheitsvorfälle auf. Hierdurch kann das Unternehmen massive Schäden erleiden. Insbesondere Betriebsstörungen durch Ransomware treten immer häufiger auf, teilweise mit verheerenden Schäden. Dieser zunehmende Missstand ist alarmierend und erfordert, alle zur Verfügung stehenden Möglichkeiten auszuschöpfen, um Überberechtigungen zu reduzieren.

Die Unternehmens-IT muss ein stärkeres Bewusstsein für überberechtigte Konten und die damit verbundenen Risiken entwickeln. Ist dieses Bewusstsein etabliert, können mögliche Fehlkonfigurationen besser erkannt werden. Standardnutzer, denen irrtümlich ein Administratorkonto für alltägliche Zwecke zur Verfügung steht, werden seltener.

Darüber hinaus muss die Unternehmens-IT in Gegenmaßnahmen investieren, um Überberechtigungen zukünftig proaktiv identifizieren und verhindern zu können. Dazu haben wir verschiedene Gegenmaßnahmen empfohlen. Besonders die unterschiedlichen Algorithmen des „Machine Learning“ bieten einen vielversprechenden Ansatz, um Überberechtigungen in Zukunft noch effektiver zu reduzieren. Durch die flexiblen Kombinationsmöglichkeiten der Algorithmen kann eine höhere Konsistenz und Robustheit und dadurch eine noch bessere Klassifizierung erreicht werden. Überberechtigungen und deren Angriffsfläche lassen sich dadurch deutlich reduzieren.

Literatur
[1] Dave Howe, Deciphering How Edward Snowden Breached the NSA [8 Years Later]. [Online]. Verfügbar unter: https://venafi.com/blog/deciphering-how-edward-snowden-breached-the-nsa/ (Zugriff am: 19. Dezember 2023).
[2] M. J. Haber, Privileged Attack Vectors: Building Effective Cyber-Defense Strategies to Protect Organizations. Berkeley, CA: Apress, 2020. [Online]. Verfügbar unter: https://doi.org/10.1007/978-1-4842-5914-6
[3] National Institute of Standards and Technology, Guide for Conducting Risk Assessments: Information Security. [Online]. Verfügbar unter: https://csrc.nist.gov/glossary/term/advanced_persistent_threat (Zugriff am: 19. November 2023).
[4] A. Alshamrani, S. Myneni, A. Chowdhary und D. Huang, „A Survey on Advanced Persistent Threats: Techniques, Solutions, Challenges, and Research Opportunities“, IEEE COMMUNICATIONS SURVEYS AND TUTORIALS, Jg. 21, Nr. 2, S. 1851–1877, 2019, doi: 10.1109/COMST.2019.2891891.
[5] J. King, G. Bendiab, N. Savage und S. Shiaeles, „Data Exfiltration: Methods and Detection Countermeasures“ Booklet, IEEE, 2021. [Online].
Verfügbar unter: http://ieeexplore.ieee.org/xpl/articleDetails.jsp?arnumber=9527962.
[6] EY, „Datenklaustudie 2023 Virtuelle Gefahr – reale Schäden: Eine Befragung von über 500 deutschen Unternehmen zur aktuellen Lage“, März 2023. [Online]. Verfügbar unter: https://www.ey.com/de_de/forensic-integrity-services/virtuelle-gefahr-reale-schaedendatenklaustudie. Zugriff am: 11. Oktober 2023.
[7] A. Cartwright et al., „How cyber insurance influences the ransomware payment decision: theory and evidence“, Geneva Papers on Risk & Insurance – Issues & Practice, Jg. 48, Nr. 2, S. 300–331, 2023, doi: 10.1057/s41288-023-00288-8.
[8] CyberEdge Group, 2023 Cyberthreat Defense Report. [Online]. Verfügbar unter: https://cyber-edge.com/cdr/ (Zugriff am: 7. Dezember 2023).
[9] S. Hoar und P. M. Marchel, „Emerging trends in insurance coverage: Massive encryption attacks create urgent need for business interruption and cyber coverage“, Cyber Security: A Peer-Reviewed Journal, Jg. 2, Nr. 2, S. 122–130, 2018.
[10] J. Orr, Incident Of The Week: Defense Electronics Manufacturer CPI Succumbs To Ransomware Demands: Restoring All Systems Is Multi-Month Process; Compromised Admin Credentials To Blame. [Online]. Verfügbar unter: https://www.cshub.com/attacks/articles/incident-of-the-week-defense-electronics-manufacturer-cpi-succumbs-to-ransomware-demands (Zugriff am: 21. Dezember 2023).
[11] „RIMS Business Interruption Survey 2017“, 2017. [Online]. Verfügbar unter:  https://www.rims.org/resources/risk-knowledge/whitepaper/rims-business-interruption-survey-2017
[12] C. Richthammer, M. Kunz, J. Sänger, M. Hummer und G. Pernul, „Dynamic Trust-based Recertifications in Identity and Access
Management“ Booklet, 2015. [Online]. Verfügbar unter: https://epub.uni-regensburg.de/32538/; https://epub.uni-regensburg.de/32538/1/PID3817891.pdf.
[13] B. Shen, „A Survey of Access Control Misconfiguration Detection Techniques“ Booklet, 2023.
[14] X. Ma, R. Li, Z. Lu, J. Lu und M. Dong, „Specifying and enforcing the principle of least privilege in role-based access control“, CONCURRENCY AND COMPUTATION-PRACTICE & EXPERIENCE, Jg. 23, 12, SI, S. 1313–1331, 2011, doi: 10.1002/cpe.1731.

Porträt Marcel Johannes

Marcel Johannes studiert im Master Internet-Sicherheit
an der Westfälischen Hochschule Gelsenkirchen und beschäftigt sich im Rahmen des Studiums mit Überberechtigungen in der Unternehmens-IT.

Porträt Prof. Norbert Pohlmann
Foto: eco-Verband

Norbert Pohlmann ist Professor für Cybersicherheit und Leiter des Instituts für Internet-Sicherheit – if(is) an der Westfälischen Hochschule in Gelsenkirchen sowie Vorstandsvorsitzender des Bundesverbands IT-Sicherheit – TeleTrusT und im Vorstand des Internetverbandes – eco.

Andere interessante Fachbeiträge

Digitales Schild

So schützen sich Unternehmen vor den Stolperfallen der Schadenregulierung

Cyberangriffe können für Unternehmen existenzbedrohend sein. Viele Firmen schützen sich daher mit einer Cyberversicherung. Doch oft decken die Policen nicht alle Schäden ab oder en...

Abstrakte Collage zu KI und Gesetzen

KI und IT-Governance: Was Unternehmen wissen müssen

Künstliche Intelligenz (KI) ist bereits heute ein unverzichtbares Werkzeug für Unternehmen, die ihre Wettbewerbsfähigkeit stärken und neue technologische Möglichkeiten ausschöpfen ...

Cybercrime

Auf der Jagd nach Sicherheitslücken in TLS-Bibliotheken

TLS ist der wichtigste kryptografische Standard für digitale Kommunikation im Internet. Durch Implementierungsfehler entstehen jedoch immer wieder Sicherheitslücken, die für komple...