Wie lässt sich sicherstellen, dass privilegierte Computernutzer wie Admins korrekt handeln? Ähnlich wie bei den Geheimdiensten könnte man ein gegenseitiges Überwachungsmonster schaffen. Man kann auch blind vertrauen. Besser, man findet einen klugen Weg zwischen diesen Extremen.
Warum gibt es so viele US-amerikanische Geheimdienste? Da finden sich natürlich einige offizielle Erklärungen; das FBI ist nur im eigenen Land zuständig, der CIA spioniert so ein bisschen, die NSA cybert, was das Zeug hält und alle anderen haben auch ihr Einsatzgebiet und ihre eigene Agenda. Alle gehören irgendwie zur Regierung. Bestimmt ließe sich da etwas zusammenlegen, Geld einsparen und die Verwaltung vereinfachen. Aber so richtig gewollt ist das nicht. Wären Sie beispielsweise ein US-Präsident mit leichter Paranoia, würden Sie feststellen: Jeder, den Sie zur Überwachung der Wächter mit besonderen Befugnissen ausgestattet haben, kann Sie ja auch wieder austricksen.
Privilegierte Nutzer sind notwendig
Das Grundprinzip dieses Beispiels lässt sich auch auf andere Länder übertragen – und auf die Welt der Computer.
Auch hier gibt es nahezu auf allen Systemen einen Benutzer, der über mehr Privilegien verfügt als die anderen Benutzer. Sei es ein Administrator auf Windows oder root auf Linux, der Domänen-Admin in einem Benutzerverzeichnis oder ein beliebiger anderer besonderer Benutzer. Natürlich werden diese Benutzer benötigt. Es wäre ein Sicherheitsrisiko, jedem alle Rechte zu geben, um ein System einzurichten, zu konfigurieren, neue Software zu installieren, es abzuschalten etc.
Andere Privilegien ergeben sich aus den Arbeitsgebieten. Nicht jeder Benutzer innerhalb einer Firma sollte Firewall-Regeln ändern dürfen, die Anwesenheitszeiten am Zeitserver korrigieren oder das Gehalt in verschiedene Richtungen justieren können. Das erscheint selbstverständlich.
Handlungen müssen nachvollziehbar sein
Auf technischer Ebene, also bei Servern, Firewalls und allen Geräten im Netzwerk spricht man vom „Audit-Trail“: Gemeint ist damit, dass für einen Auditor oder sachverständigen Dritten jederzeit nachvollziehbar ist, welcher Administrator oder Sonderbenutzer an welchem Gerät zu welchem Zeitpunkt welche Änderung vorgenommen hat.
Vier-Augen-Prinzip und Authentifizierung
Die Arbeit der privilegierten Benutzer wird also dokumentiert – natürlich unter Einhaltung aller relevanten Gesetze, Datenschutzrichtlinien und betrieblichen Vorgaben. Kritische Systeme, die z. B. für den reibungslosen Ablauf in der Produktion zentral wichtig sind, bieten auch häufig die Möglichkeit, dass eine Aktion von mehr als einer Person durchgeführt oder überwacht werden muss. Etwa eine neue Konfiguration wichtiger Server oder das Abschalten von produktiven Systemen. Das reicht vom Vier-Augen-Prinzip, bei dem mindestens zwei Personen bei dem Vorgang dabei sind und ihn überwachen, bis zu technischen Systemen, bei denen sich z. B. mindestens fünf von neun hinterlegten Personen authentifiziert haben müssen und ihre Zustimmung gegeben haben, bevor etwas ausgeführt wird.
Hoher Detailgrad entlastet
Stehen deshalb alle privilegierten Benutzer unter Generalverdacht? Im Gegensatz zu den Geheimdiensten, nein. Menschen, die für ihre Arbeit privilegierte Accounts benutzen müssen, werden auch entlastet: durch die Audit Trails und durch einen hohen Detailgrad bei der Aufzeichnung ihrer Tätigkeiten.
Die Mischung aus etwas Vertrauen und Nachvollziehbarkeit ist in jedem Falle zielführender und nachhaltiger als eine Spirale der Paranoia.
Über den Autor
Stefan Hager ist im Team Internet-Security bei DATEV. Analyse neuartiger Bedrohungsszenarien und Vorträgen rund um Internet-Security gehören genauso zu seinem Arbeitsalltag wie die Arbeit mit privilegierten Accounts.