IT-Security - 21. August 2017

Wer überwacht
die Wächter ?

Wie lässt sich sicher­stellen, dass privi­le­gierte Com­pu­ter­nutzer wie Admins korrekt handeln? Ähnlich wie bei den Ge­heim­diensten könnte man ein gegen­sei­tiges Über­wachungs­monster schaffen. Man kann auch blind ­vertrauen. Besser, man findet einen klugen Weg zwischen diesen Extremen.

Warum gibt es so viele US-amerikanische Geheim­dienste? Da finden sich natürlich einige offizielle Erklärungen; das FBI ist nur im eigenen Land zuständig, der CIA spioniert so ein bisschen, die NSA cybert, was das Zeug hält, und alle anderen haben auch ihr Einsatzgebiet und ihre eigene Agenda. Alle gehören irgendwie zur Regierung. Bestimmt ließe sich da etwas zusammenlegen, Geld einsparen und die Verwaltung vereinfachen. Aber so richtig gewollt ist das nicht. Wären Sie beispielsweise ein US-Präsident mit leichter Paranoia, würden Sie feststellen: Jeder, den Sie zur Überwachung der Wächter mit besonderen Befugnissen ausgestattet haben, kann Sie ja auch wieder austricksen.
Das Grundprinzip dieses Beispiels lässt sich auch auf andere Länder übertragen – und auf die Welt der Computer.
Auch hier gibt es nahezu auf allen Systemen einen Benutzer, der über mehr Privilegien verfügt als die anderen Benutzer. Sei es ein Administrator auf Windows oder Root auf Linux, der Domänen-Admin in einem Benutzerverzeichnis oder ein beliebiger anderer besonderer Benutzer. Natürlich werden diese Benutzer benötigt. Es wäre ein Sicherheitsrisiko, jedem alle Rechte zu geben, um ein System einzurichten, zu konfigurieren, neue Software zu installieren, es abzuschalten etc.
Andere Privilegien ergeben sich aus den Arbeitsgebieten. Nicht jeder Benutzer innerhalb einer Firma sollte Firewall-Regeln ändern dürfen, die Anwesenheitszeiten am Zeit-­Server korrigieren oder das Gehalt in verschiedene Richtungen justieren können. Das erscheint selbstverständlich.

Handlungen müssen nachvollziehbar sein

Auf technischer Ebene, also bei Servern, Firewalls und allen Geräten im Netzwerk, spricht man vom Audit Trail: Gemeint ist damit, dass für einen Auditor oder sachverständigen Dritten jederzeit nachvollziehbar ist, welcher Administrator oder Sonderbenutzer an welchem Gerät zu welchem Zeitpunkt welche Änderung vorgenommen hat.

Vieraugenprinzip und Authentifizierung

Die Arbeit der privilegierten Benutzer wird also dokumentiert – natürlich unter Einhaltung aller relevanten Gesetze, Datenschutzrichtlinien und betrieblichen Vorgaben. Kritische Systeme, die zum Beispiel für den reibungslosen Ablauf in der Produktion zentral wichtig sind, bieten auch häufig die Möglichkeit, dass eine Aktion von mehr als einer Person durch­geführt oder überwacht werden muss. Etwa eine neue Konfiguration wichtiger Server oder das Abschalten von produktiven Systemen. Das reicht vom Vier­augen­prin­zip, bei dem mindestens zwei Personen bei dem Vorgang dabei sind und ihn überwachen, bis zu technischen Systemen, bei denen sich zum Beispiel mindestens fünf von neun hinterlegten Personen authentifiziert haben müssen und ihre Zustimmung gegeben haben, bevor etwas ausgeführt wird.

Hoher Detailgrad entlastet

Stehen deshalb alle privilegierten Benutzer unter Generalverdacht? Im Gegensatz zu den Geheimdiensten, nein. Menschen, die für ihre Arbeit privilegierte Accounts benutzen müssen, werden auch entlastet: durch die Audit Trails und durch einen hohen Detailgrad bei der Aufzeichnung ihrer ­Tätigkeiten.
Die Mischung aus etwas Vertrauen und Nachvollziehbarkeit ist in jedem Falle zielführender und nachhaltiger als eine Spirale der Paranoia.

Zum Autor

SH
Stefan Hager

DATEV eG, Bereich Internet Security

Weitere Artikel des Autors