InfoGuard Cyber Security & Cyber Defence Blog

Die Risiken und der richtige Umgang mit privilegierten Accounts 

Geschrieben von Markus Limacher | 25. Aug 2016

Dieses Problem kennen Sie bestimmt: Während die Zugriffe der User auf die IT-Infrastruktur und Applikation bereits heute Kontrollen unterworfen sind, gehen Superuser und Accounts mit Administratorenrechten noch immer weitgehend unter dem Radarschirm durch. Dabei sind es genau diese, die speziell überprüft werden sollten.Die Sicherung und Überwachung privilegierter Accounts muss deshalb von den Unternehmen so schnell als möglich an die Hand genommen werden. Aber wie kriegen Sie das Privileged-User-Management in den Griff ohne dabei die Produktivität der Benutzer zu mindern. Wir zeigen es Ihnen – anhand von 7 Best-Practices.

Accounts mit lokalen Adminrechten sind ein erhebliches Sicherheitsrisiko

Erinnern Sie sich an Jérôme Kerviel? Jener Börsenhändler, der vor ein paar Jahren Schlagzeilen machte, als er die französische Bank Société Générale um 4.9 Milliarden (!) Euro erleichterte. Kerviel war ursprünglich IT-Administrator, verfügte jedoch nach seinem internen Stellenwechsel noch immer über privilegierte Adminrechte.


Privilegierte Zugänge sind ein beliebtes Einfallstor für Datensabotage oder –diebstahl. Sowohl Cyber-Attacken, als auch Insider-Angriffe sind vielfach auf eine missbräuchliche Nutzung zurückzuführen. Insbesondere Accounts mit Administratorenrechten sind häufig das Ziel fortschrittlicher Angriffe.

Die Lösung: Privileged Account Security

Die klassische Perimeter-Sicherheit wie Firewalls und Co. greifen hier leider viel zu kurz. Die Bedrohung durch Privileged Account kann nur mit einer strikten Vergabe, Kontrolle, Speicherung und ggf. Löschung oder Entzug von Berechtigungen und der Überwachung der Aktivitäten dieser Accounts zuverlässig beseitigt werden. Will ein Unternehmen das effizient, prozessorientiert und mit minimalem Administrationsaufwand realisieren, führt kein Weg an einer Lösung im Bereich Privileged Account Security vorbei. 

Spagat zwischen Sicherheit und Benutzerfreundlichkeit meistern

Gerade im Bereich der Benutzerrechte sind Sie als Sicherheitsverantwortlicher Ihres Unternehmens gefordert! Sie müssen jenen Mittelweg zwischen Sicherheit und Benutzerfreundlichkeit finden, um die Angriffsfläche effektiv zu verkleinern und gleichzeitig die Produktivität der Nutzer zu gewährleisten; gleichzeitig müssen Sie auch noch Ihr IT-Team entlasten. Unmöglich? Mitnichten!

7 Best-Practices für Least Privilege und Application Control

Erreichen lässt sich dieses Gleichgewicht - aus unserer Sicht - mit einem Ansatz, welcher die beiden Aspekte «Privilegienverwaltung» und «Anwendungskontrolle» vereint und folgende Möglichkeiten bietet:

  • Automatische Erstellung von Richtlinien zur Privilegien- und Anwendungskontrolle auf Basis vertrauenswürdiger Quellen.
  • Entzug von lokalen Administratorenrechten und nahtlose Ausweitung von Benutzerrechten nach Bedarf.
  • Durchsetzung granularer Least-Privilege-Richtlinien für Windows-Administratoren.
  • Kontrolle der Ausführung von vertrauenswürdigen Anwendungen, automatische Blockierung schädlicher Applikationen und Einschränkung der Rechte für unbekannte Anwendungen.
  • Sichere, zentrale Speicherung aller Anmeldedaten von Administratorkonten in einem digitalen Tresor, welcher starke Authentisierung unterstützt und gleichzeitig Revisionssicherheit bietet.
  • Rotation der Anmeldedaten eines Administrators nach jeder Verwendung um das Risiko von Pass-the-Hash-Angriffen zu mindern.
  • Überwachung der Aktivitäten von Administratorenkonten zur Erkennung und Alarmierung bei Unregelmässigkeiten.

Hier gibt’s die kostenlose Anleitung

Wie Sie mehr Sicherheit und Produktivität mit Least Privilege & Application Control erhalten, erfahren Sie im eBook unseres strategischen Partners CyberArk. Hier geht’s zum kostenlosen Download:

Mit InfoGuard und CyberArk zu mehr Sicherheit!

Die Verwaltung privilegierter Benutzerkonten ist kein Pappenstiel: Da sich eine IT-Infrastruktur nicht nur aus einigen wenigen, sondern aus Dutzenden Servern, Applikationen, Netzwerk- und Sicherheitskomponenten sowie unzähligen Endgeräten zusammensetzt, welche über diverse Administrations-Accounts gesteuert werden, ist sie äusserst komplex.

Zusammen mit unserem Partner CyberArk unterstützen wir Sie beim Aufbau und Betrieb eines Privileged Account Managements, welches den Spagat zwischen Sicherheit und Benutzerfreundlichkeit schafft. Durch den Entzug unnötiger lokaler Administratorenrechte, die Unterbindung von Angriffen mit Malware und die Erhöhung der Sicherheit privilegierter Accounts hilft Ihnen die Lösung, die Angriffsfläche massiv zu verringern. Die CyberArk Privileged Account Security Lösung schützt, isoliert, kontrolliert und überwacht dabei kontinuierlich privilegierte Accounts auf Endgeräten, virtuellen und physischen Servern und Maschinen, Hypervisoren, Sicherheits-Appliances und Netzwerkgeräten sowie in Datenbanken, Anwendungen und weiteren Systemen.