Geldinstitute > Security

15.02.2018 von hs

Lokale Administrationsrechte eliminieren

Die BAFin hat schon vor längerem die Direktive herausgegeben, dass Finanzinstitute komplett auf lokale Administrationsrechte verzichten sollen. Die kürzlichen Angriffe krimineller Hacker haben aufgezeigt, dass sich Finanzinstitute an die Umsetzung der BAFin Vorgaben machen und auch die letzten lokalen Admin-Rechte entziehen müssen. 

Damit stehen viele eingespielte Prozesse in Frage, die Helpdesk-Kosten explodieren. Der Sicherheitsanbieter Avecto schlägt vor, die Admin-Rechte auf die Ebene von Applikationen, Tasks und Scripts zu heben. Damit sind die Geräte geschützt und die eingespielten Prozesse weiterhin möglich.

 

Kriminelle Hacker brauchen Schwachstellen, an denen sie die Systeme ihrer Opfer angreifen können. Als Eldorado der Angreifer gelten die Admin-Rechte. Diese erlauben einfachen Zugriff auf hunderte Schwachstellen in Betriebssystemen und Anwendungen wie Browsern und MS Office, um die Verwaltung oder die Produktion eines Unternehmens lahmzulegen.

 

Für viele IT-Abteilungen kommt diese Nachricht unerwartet. Aber tatsächlich kennen die Angreifer die Programme häufig besser als deren Anwender. Eben weil sie aus der Perspektive des Angreifers auf die Systeme schauen, der zuvor alle Schwachstellen detailliert analysiert hat.

 

„Kriminelle Hacker müssen auf die Admin-Rechte zugreifen, wenn sie mit Erpressersoftware Schaden anrichten wollen. Das ist immer der erste Punkt an dem sie angreifen“, sagt Michael Frauen, Vice President DACH bei Avecto. „Finden sie aber diese Administrationsrechte nicht, können sie relativ wenig Schaden anrichten. Oft bleiben ihre Angriffsmöglichkeiten damit auf das einzelne Gerät beschränkt.“

 

Diesen Zusammenhang habe Avecto im „Microsoft Vulnerability Report“ nachgewiesen. „Die Verantwortlichen erhöhen den Schutz eines Systems mit einem Schlag um über 90 Prozent, indem sie den Mitarbeitern die im Betriebssystem festgelegten Administrationsrechte entziehen.“

 

Inzwischen haben auch Gesetzgeber und Behörden die Angriffe analysiert, die Gefahren und Schwachstellen erkannt. Jetzt drängen sie die IT-Verantwortlichen dazu, diese Sicherheitslücken zu schließen. So hat die Bundesanstalt für das Finanzwesen – BaFin – die Banken verpflichtet, den Mitarbeitern die lokalen Admin-Rechte zu entziehen.

 

Die IT-Verantwortlichen sehen sich jetzt in einer paradoxen Situation. Denn gemeinhin gilt neue Software als besonders sicher. Doch genau das Gegenteil ist der Fall – noch nie zuvor war ein Betriebssystem so angreifbar wie Windows 10.

 

Und typischerweise haben die IT-Abteilungen ihre Prozesse darauf angestimmt, dass die Mitarbeiter selbstverständlich auf die Admin-Rechte zugreifen. Etwa wenn sie einen Drucker einrichten, wenn sie Anwendungen installieren oder Dokumente aus dem Internet, aus Verzeichnissen oder dem Mailfach aufrufen und bearbeiten.

 

„Die Kunst bei der Verteidigung des Unternehmens und bei der Compliance mit den Bafin-Vorgaben ist es, die Admin-Rechte abzuschaffen und trotzdem innerhalb der Arbeitsprozesse die Balance zwischen Sicherheit und Anwenderbedürfnissen zu wahren“, sagt Frauen.

 

Das Problem sei tatsächlich, dass Mitarbeiter viele Anwendungen oder Prozesse in Zukunft nicht mehr so ausführen können, wie sie es bislang gewohnt waren. Davon sind viele nicht nur sehr genervt, sondern gleichzeitig steigen die Kosten für Support und Helpdesk. Sie brauchen eine elegante Sicherheitslösung, um aus diesem Dilemma herauszufinden“, erklärt Frauen. „Die Lösung, die Avecto vorschlägt, ist es, die Rechte auf die Ebene von Applikationen, Tasks und Skripten zu heben.“ Damit seien innerhalb der lokalen Arbeitsplätze die Rechte entzogen, aber die Mitarbeiter könnten ihre Geräte weiter benutzen wie gewohnt.