Sie kennen das Szenario: Beauftragt wird ein externer Mitarbeiter auf Zeit, damit gewisse Projekte oder Aufgaben geleitet und erfolgreich umgesetzt werden. Sehr wahrscheinlich wird der externe Auftragnehmer irgendwann (temporär) ein Login für eines Ihrer Systeme benötigen – dabei ist die Verwaltung von externen Benutzerkonten nicht so leicht wie es klingt. Konten für externe Mitarbeiter müssen nicht nur vergeben und gepflegt aber auch wieder rechtzeitig gesperrt werden da sonst „verwaiste“ Benutzerkonten entstehen. Ein verwaistes Konto – ein Konto, das nicht mehr verwendet wird, aber immer noch im System aktiv ist – kann die Quelle einer Datenverletzung werden und bildet zudem einer der häufigsten, unbeabsichtigten Insider-Bedrohungen für Unternehmen und Organisationen. Erfahren Sie, wie sie externe Benutzerkonten verwalten können und worauf Sie definitiv achten müssen!
Gefahren bei der Einrichtung von externe Benutzerkonten
Das vermeintliche simple Einrichten der Benutzerkonten für Ihre „Mitarbeiter auf Zeit“ birgt einige Gefahren mit sich, die unterschätzt werden. So kann es sein, dass eines der größten Gefahren für Ihr Unternehmen das Vergessen jener Konten ist. So kommt es immer wieder mal vor, dass ein temporärer Zugriff auf ein System zwar für einen gewissen Zeitraum geplant ist, jedoch über diesen hinausgeht. Denn zum Öffnen jener Konten gehört auch das anschließende Schließen, unabhängig davon ob das Konto bei einem weiteren Arbeitsauftrag oder einer Wiedereinstellung verwendet werden soll.
So kann es sein, dass ein Abteilungsleiter Ihrer Organisation der Meinung wäre, das Konto über den Beschäftigungszeitraum hinweg aktiv zu halten, um Zeit bei der Re-Einstellung zu sparen und um „Dinge zu vereinfachen“.
Klingt zu Beginn plausibel, stellt aber in Zeiten in denen das Konto nicht genutzt wird eine große Schwachstelle für Ihre Datensicherheit dar. Jetzt Fragen Sie sich wohl, welche Auswirkungen ein ungenutztes Konto für ein Unternehmen haben kann? Fragen Sie einfach Colonial Pipeline!
Der große Ransomware-Angriff, den Colonial Pipeline im Jahr 2021 erlitt, war das Ergebnis eines Hackers, der sich über ein ungenutztes VPN-Konto Zugang verschaffte. Die Kosten für das Unternehmen beliefen sich auf mehr als 4 Millionen US-Dollar in Form von „Lösegeld“. Der Betrag sollte an den Angreifer gezahlt werden. Zudem entstanden weitere Kosten, durch eine Betriebsunterbrechung: Die Ölproduktion in den Anlagen des Unternehmens wurden fast eine Woche lang unterbrochen.
Ein weiterer Aspekt, der unterschätzt und oftmals nicht beachtet wird ist die Privilegierung des Kontos für den externen Mitarbeiter:
Bei der Einrichtung eines Benutzerkontos in Ihrem System ist es wichtig, die Regel der geringsten Privilegien anzuwenden. Diese besagt, dass einem Benutzer nur der niedrigste Zugriff gewährt werden sollte, der es ihm ermöglicht seine Arbeit zu erledigen.
Klingt simpel? Ist bei der Einrichtung von Konten für externe Mitarbeiter jedoch oft nicht der Fall: Es kann nämlich sein, dass die Person, die das Konto einrichtet nicht weiß, welche Zugriffstufe erforderlich ist. Die mögliche, fatale Folge: Es wird ein höherer Zugriff gewährt als berechtigt.
Wenn die Person nur für kurze Zeit Administratorrechte benötigt, gibt es keinen Mechanismus, um die Berechtigungen nach Ablauf der Zeit zu verringern oder zu entziehen.
Bei Konten mit höheren Berechtigungen sind Ihre Systeme am stärksten gefährdet, da ein Angreifer mehr Schaden anrichten kann, wenn sie missbraucht werden.
Dazu gehören Dinge wie:
- Hinzufügen von Benutzerkonten
- Ändern von Kennwörtern
- Zugriff auf sensible Daten
- Aussperren anderer aus dem System
- Einschleusen von bösartigem Code
Seien Sie sich nicht nur darüber bewusst, welche Gefahren das Einrichten von temporären Benutzerkonten mit sich bringt… sie müssen zudem die Bedrohungen verstehen, die von einem Benutzer ausgehen kann, der Zugriffsrechte auf Ihr System hat.
Realisieren Sie die Gefahr von Insider Konten
Seit 2020 sind die Kosten für den Umgang mit Insider-Sicherheitsproblemen um 34 % gestiegen, die Häufigkeit von Insider-Angriffen sogar um 44 %. Dabei ist nicht nur wichtig zu wissen, dass nicht immer die Person die Bedrohung für Ihre Organisation und den -Daten darstellt, sondern das Konto, das Sie zur Verfügung stellen.
Jede Anmeldung ist ein Zugangspunkt zu Ihrem Netzwerk und Ihren Daten, den ein Hacker nutzen kann, um sich Zugang zu verschaffen. Wenn Sie verstehen, wie wichtig der Schutz dieser Zugangspunkte ist, können Sie häufige Fehler bei der Einrichtung von Konten für Auftragnehmer oder Freiberufler vermeiden.
Verwenden Sie möglichst die niedrigste Berechtigung für externe Benutzerkonten
Wenn ein Auftragnehmer Zugriff auf eine Kontoverwaltungsaktivität benötigt, sollten Sie fragen, für welchen Zeitraum und für welche Zwecke, dieser benötigt wird. Verringern Sie das Risiko, indem Sie die Zahl der Benutzer mit administrativem Zugriff so weit wie möglich einschränken! Gewähren Sie die geringste Berechtigungsstufe. Wenn der Administratorenzugang nur vorübergehend benötigt wird, sollten Sie ihn entziehen, wenn er nicht mehr erforderlich ist.
Verwenden Sie ein System, dass externe Benutzerkonten automatisch unbrauchbar macht
Eine der größten Gefahren bei der Einrichtung eines zeitlich begrenzten Kontozugangs besteht darin, dass diese Konten vergessen werden und auf unbestimmte Zeit offenbleiben. Daher sollten Sie eine Lösung für die Bereitstellung von Konten verwenden, die es Ihnen ermöglicht, bei der Ersteinrichtung eines Kontos ein Ablaufdatum festzulegen.
So wird sichergestellt, dass kein Konto vergessen wird und im System herumlungert. Es ist auch effizienter, weil ein Administrator nicht erst eine Kalendererinnerung einstellen muss, wenn ein Konto abläuft und dann daran denken muss es zu deaktivieren. Stattdessen wird das Ablaufdatum bei der Einrichtung des Kontos eingegeben, der Zugriff wird automatisch – auf das Datum genau – beendet. Der Administrator bleibt außen vor und muss nichts Weiteres tun.
Klingt interessant? Klingt nach HelloID!
Warten Sie nicht lange und vereinbaren Sie einen Termin für eine Demo!
Verbessern Sie Ihre IT-Sicherheit, reduzieren Sie den Zeitaufwand für die Kontenverwaltung und vereinfachen Sie das Identity Management mit einer automatisierten und benutzerfreundlichen Lösung von Tools4ever!
Schließen Sie Sicherheitslücken und automatisieren Sie die Benutzerkontenverwaltung innerhalb Ihrer Organisation – Erfahren Sie mehr über HelloID und vereinbaren sie eine kostenlose Demo!
Geschrieben von:
Ali Özdogan
Senior Consultant IAM/SAP & HelloID
Ali Özdogan ist als Senior Consultant IAM/SAP seit mehr als 10 Jahren fester Bestandteil von Tools4ever. Er studierte Computer Engineering an der Galatasaray University in Istanbul und später an der RWTH in Aachen und ist unser Spezialist für Cloud-Access-Management mit HelloID.