DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Best Practise für die Ver­waltung pri­vi­le­gierter Nut­zer­konten

Zugriffs­rech­tema­nagement

Ein sau­beres Zugriffs­rech­tema­nagement ist ein wich­tiger Bau­stein der IT-Sicherheit. Die Lösungen können so indi­vi­duell sein, wie die Unter­nehmen, die sie imple­men­tiert haben. In Bezug auf pri­vi­le­gierte Benut­zer­konten kann man von den Besten lernen.

Jede Orga­ni­sation hat Benutzer und Benutzer-Konten, die als “pri­vi­le­giert” gelten. Diese pri­vi­le­gierten Nut­zer­konten haben Zugriff auf eine große Anzahl von Sys­temen, Anwen­dungen und Pro­zesse und wenn sie ver­letzt werden, kann das erheb­lichen Schaden im betrof­fenen Unter­nehmen ver­ur­sachen.

Die Bey­ond­Trust 2016 Pri­vilege Bench­marking Studie befragte weltweit 548 IT-Profis, die sich mit pri­vi­le­giertem Zugriffs­ma­nagement beschäf­tigen, um fest­zu­stellen, wie die ver­schie­denen Unter­nehmen mit dem Thema umgehen. Im Fra­ge­bogen waren Mehr­fach­ant­worten möglich, diese wurden von Bey­ond­Trust in eine Rang­ordnung gebracht.

Danach wurde der Unter­schied in den Vor­ge­hens­weisen der am besten bewer­teten Unter­nehmen mit den schlechter bewerten her­aus­ge­ar­beitet.

Einige Punkte hatten die höchst­plat­zierten Unter­nehmen gemeinsam, daher kann man die Vor­ge­hens­weisen durchaus als Best Practise für die Ver­waltung pri­vi­le­gierter Benut­zer­konten sehen.

Zu den bewährten Prak­tiken, die bei den Besten vor­herr­schen, ist die Gewährung von pri­vi­le­gierten Nut­zer­rechten für Anwen­dungen und nicht für den Benutzer.
Unter­schätzt wurde bislang auch die Bedeutung von Pass­wort­zyklen.

78 % der am höchsten plat­zierten Unter­nehmen nutzen Pass­wort­zyklen, ändern also in regel­mä­ßigen Abständen ihre Pass­wörter nach auto­ma­ti­scher Auf­for­derung.

Durch die Über­wa­chung pri­vi­le­gierter Kon­to­sit­zungen, also indem man nach­voll­zieht, wie pri­vi­le­gierte Konten genutzt werden, können Unter­nehmen das Sicher­heits­risiko weiter mini­mieren.

Immerhin 71% der „Besten“ über­wachten die Kon­to­sit­zungen, während das bei den schlechter Plat­zierten nur 14 % taten.
Eine weitere wichtige Maß­nahme um pri­vi­le­gierte Benut­zer­konten effektiv zu sichern, ist ein System, das die Anmel­de­in­for­ma­tionen ver­waltet.

Die best­plat­zierten Unter­nehmen ver­walten pri­vi­le­gierte Zugriffe über eine unter­neh­mens­weite Plattform. Die schlechter plat­zierten Unter­nehmen hatten keine Platt­form­lösung, um die Anmel­de­in­for­ma­tionen zu ver­walten.

Außerdem hatten die meisten der am besten bewer­teten Unter­nehmen auch ein Tool zur Risi­ko­be­wertung. Die ver­schie­denen Anwen­dungen und Systeme stellen unter­schied­liche Risiken für ein Unter­nehmen dar. Um dieses Risiko richtig ein­schätzen zu können, muss es zunächst bewertet werden.

Eine Benutzer- und Rech­te­ver­waltung wird mitt­ler­weile schon vie­lerorts ein­ge­setzt. Um den vollen Nutzen zu erzielen muss bzw. pri­vi­le­gierte Nut­zer­konten sinnvoll und sicher zu ver­walten, gibt es noch etliche Punkte zu beachten.

Infos dazu: hier

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekann­ten­kreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.