Wie gefährlich sind Privileged Accounts für Banken und Versicherer wirklich?

Der Umgang mit vertraulichen Kundendaten gehört insbesondere bei Versicherern und Finanzinstituten zum Tagesgeschäft. Datenschutz und -sicherheit haben oberste Priorität. Vor allem privilegierte Konten, wie sie Administratoren besitzen, bleiben aber oft als zentrale IT-Schwachstelle unberücksichtigt. Mit einer Lösung im Bereich Privileged Account Security kann diese Sicherheitslücke zuverlässig geschlossen werden.

Ein Plädoyer für Privileged Account Security
von Stephan Zimmermann, CyberArk

Die Verwaltung privilegierter Konten ist bei einem Finanzinstitut oder Versicherungsunternehmen prinzipiell keine einfache Aufgabe, da eine typische IT-Infrastruktur eine Vielzahl von Servern, Datenbanken und sonstigen Infrastrukturkomponenten umfasst. Sie werden alle über privilegierte, standardmäßig in den Systemen verfügbare Konten mit weitreichenden Rechten gesteuert und administriert. Die zuverlässige Verwaltung und Überwachung der IT-Berechtigungen ist dabei unverzichtbar, da über privilegierte Konten ein unbeschränkter Zugriff auf alle unternehmenskritischen Daten möglich ist.

Sicherheits-Katastrophe: Shared Accounts

Unter Sicherheitsaspekten problematisch sind vor allem die von mehreren Personen genutzten „Shared Accounts“, zum Beispiel Administratoren- und Dienste-Konten in Windows, lokale privilegierte Konten auf Desktops, Root-Konten in Unix oder Linux, root in ESX, system/sys in Oracle-Datenbanksystemen oder sa in MSSQL. Bei ihnen kann nicht kontrolliert werden, welche Person ein Konto wann und wozu verwendet hat, das heißt, eine revisionssichere Überprüfung der Verwendung eines generischen Kontos bis auf die Personenebene ist nicht möglich.

Ebenso problematisch sind SSH-Keys, die häufig für direkte Zugriffe auf kritische Unix-Systeme – oft auch als „root“ – verwendet werden. Eine zentrale Verwaltung oder Überwachung der Keys gibt es in der Regel nicht. Wenn aber SSH-Keys einen unkontrollierten privilegierten Zugriff auf die jeweiligen Zielsysteme ermöglichen, ist das Sicherheitsrisiko für Unternehmen ebenfalls sehr hoch.

Leider sehr eindeutig … die rechtliche Seite

Beseitigen Versicherungsunternehmen oder Finanzdienstleister die mit privilegierten Konten und Zugriffen verbundenen Gefahren nicht zuverlässig, verletzen sie damit allein schon zahlreiche Compliance-Richtlinien. Zu nennen sind hier vor allem das BDSG (Bundesdatenschutzgesetz), die Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik) und der Standard ISO/IEC 27002. Für Banken sind zusätzlich auch die MaRisk und PCI-DSS relevant sowie für die Versicherungsbranche die MaRisk (VA) und das Strafgesetzbuch (StGB).

So heißt es etwa in der Anlage zu §9 Satz 1 des Bundesdatenschutzgesetzes in aller Deutlichkeit: Es ist zu „gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle).“ In die gleiche Richtung zielen auch die Prüfungen durch Wirtschaftsprüfungsgesellschaften, in denen aktuell verstärkt die Thematik Passwort-Management aufgegriffen wird. Dabei wird insbesondere bemängelt, dass zu viele Mitarbeiter im Unternehmen umfangreiche Privilegien besitzen – Privilegien, die sie nicht oder nur selten benötigen.

Konkrete Vorgaben zum Passwort-Management sind auch in den Richtlinien des BSI vorhanden. In den IT-Grundschutz-Katalogen des BSI wird zum Thema „Passwortschutz für IT-Systeme“ ausgeführt: „Der Passwortschutz eines IT-Systems soll gewährleisten, dass nur solche Benutzer einen Zugriff auf die Daten und IT-Anwendungen erhalten, die eine entsprechende Berechtigung nachweisen.“

Klare Regelungen zu den Themen Überwachung und Zugangskontrolle finden sich zudem im Standard ISO/IEC 27002. Gefordert wird dort unter anderem die „Überwachung privilegierter Operationen“, die „Überwachung unbefugter Zugriffsversuche“ und die „Protokollierung von Administratortätigkeiten“. Im Hinblick auf den Aspekt „Zugangskontrolle“ werden folgende konkrete Maßnahmen zur Verbesserung der Informationssicherheit aufgelistet:

1. Etablierung eines formellen Verfahrens zur Registrierung von Nutzern und zur Vergabe sowie zum Entzug von Rechten
2. Vergabe von eindeutigen Benutzerkennungen
3. Pflege eines Nutzerverzeichnisses
4. Regelmäßige Überprüfung auf redundante Benutzerkennungen und Konten
5. Einschränkung und Kontrolle der Vergabe von privilegierten Rechten
6. Fallweise Vergabe von privilegierten Rechten bei Bedarf
7. Protokollierung der Verwendung von privilegierten Rechten

Branchenspezifische Regelungen nach MaRisk, MaRisk (VA) und PCI-DSS

In den von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichten MaRisk (Mindestanforderungen an das Risikomanagement) für Banken beziehungsweise MaRisk (VA) für Versicherungsunternehmen, heißt es im Hinblick auf die technisch-organisatorische Ausstattung von Finanzinstituten und Versicherungsunternehmen, dass „bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen“ ist. Konkret verwiesen wird hier auf die Einhaltung der Standards IT-Grundschutz-Katalog des BSI und ISO/IEC 2700X.

Einen Schritt weiter gehen noch die MaRisk für Banken. Hier finden sich klare Vorgaben für die Vergabe und Kontrolle von Zugriffsrechten. Deren Einhaltung wird im Rahmen der Jahresabschlussprüfung geprüft und ist auch häufig Gegenstand von Sonderprüfungen nach § 44 Abs. 1 KWG. In den MaRisk heißt es beispielsweise: „Die eingerichteten Berechtigungen dürfen nicht im Widerspruch zur organisatorischen Zuordnung von Mitarbeitern stehen. Insbesondere bei Berechtigungsvergaben im Rahmen von Rollenmodellen ist darauf zu achten, dass Funktionstrennungen beibehalten beziehungsweise Interessenkonflikte vermieden werden.“

Für Banken, die Kreditkartendaten verarbeiten, sind zudem die PCI-DSS (Payment Card Industry Data Security Standard)-Richtlinien relevant. Das Datenschutz-Regelwerk der Kreditkartenindustrie wurde zuletzt Ende 2013 modifiziert und hat dabei teilweise eine deutliche Verschärfung der Sicherheitsvorgaben mit sich gebracht. Mehrere Neuerungen wirken sich direkt auf das Management und die Sicherung privilegierter Benutzerkonten aus. Zwei Beispiele zeigen dies: In Anforderung 2 (Keine vom Anbieter gelieferten Standardeinstellungen für Systemkennwörter und andere Sicherheitsparameter verwenden) wird die Änderung von Default-Kennwörtern geregelt. In der aktuellen Version wurde dabei verdeutlicht, dass diese Anforderung für alle Standardkennwörter gilt. Konkret genannt werden zum Beispiel Anwendungs- und Systemkonten, Betriebssysteme, Sicherheitssoftware oder POS (Point of Sale)-Terminals. In der PCI-Regelung 10 (Verfolgung und Überwachung des gesamten Zugriffs auf Netzwerkressourcen und Karteninhaberdaten) wird das Protokollieren und Prüfen aller Zugriffe auf Daten von Kreditkarteninhabern gefordert. Dabei wird in der jetzigen Version explizit herausgestellt, dass eine Überprüfung von Protokollen und Systemereignissen auf Unregelmäßigkeiten oder verdächtige Aktivitäten zu erfolgen hat. Das heißt, es wurde verdeutlicht, dass das Ziel von Protokollüberprüfungen auch in der Identifikation von Anomalien liegt.

Für Versicherungsunternehmen ist nicht zuletzt auch der § 203 „Verletzung von Privatgeheimnissen“ (1) des StGB (Strafgesetzbuch) von Relevanz, der Freiheitsstrafen von bis zu einem Jahr oder Geldstrafen bei Verstößen vorsieht.

Es führt kein Weg vorbei: Privileged-Account-Security-Lösung

Um die geschilderten Compliance-Vorgaben zuverlässig erfüllen zu können, empfiehlt sich der Einsatz einer Privileged-Account-Security-Lösung. Sie sollte neben einer regelmäßigen Änderung der Server-, Datenbank- und Netzwerk-Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit aller Aktivitäten bietet. Mittels solcher Session-Protokolle kann nicht nur überprüft werden, wer Zugang zu vertraulichen Informationen hat, sondern auch, was er mit diesen Informationen macht. Idealerweise können mit einer Privileged-Account-Security-Lösung zudem neben privilegierten Passwörtern auch SSH-Keys verwaltet und gesichert werden.

Im Einzelnen muss eine Sicherheitslösung drei Grundvoraussetzungen erfüllen: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Unerlässlich ist, dass eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Unternehmenssysteme vorhanden ist. Zudem muss eine vollständige Überwachung der Nutzung privilegierter Konten gewährleistet sein. Nur dadurch können Unternehmen irreguläre oder gefährliche Aktivitäten identifizieren. Nicht zuletzt sollte die Lösung natürlich auch eine sofortige Reaktion bei Sicherheitsvorfällen ermöglichen – ist es durch den Entzug von privilegierten Zugriffsberechtigungen oder durch das Schließen einer identifizierten Sicherheitslücke. Neben diesen Leistungsmerkmalen bietet eine zukunftsweisende Applikation auch eine Alarmierung in Echtzeit bereits bei einer verdächtigen Nutzung privilegierter Konten.

Setzt ein Versicherungsunternehmen oder Finanzinstitut eine Privileged-Account-Security-Lösung ein, bringt das mehrere Vorteile mit sich: von der durchgängigen Prozessoptimierung und Effizienzsteigerung im Passwort-Management bis hin zur deutlichen Erhöhung der Transparenz bei der Systemnutzung im Hinblick auf Personen, Zeitpunkt oder konkrete Aktivitäten. Außerdem können damit die Gefahren des Datenmissbrauchs und -diebstahls durch eine missbräuchliche Nutzung privilegierter Konten zuverlässig ausgeschlossen werden. Und nicht zuletzt erfüllt ein Finanzdienstleister oder Versicherer damit alle einschlägigen Anforderungen aus gängigen Compliance-Vorschriften und gesetzlichen sowie aufsichtsrechtlichen Bestimmungen – und zwar effizient und ohne hohen Administrationsaufwand.