interview - Hackner Security Intelligence
interview - Hackner Security Intelligence
interview - Hackner Security Intelligence
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
24<br />
NEWS<br />
Wetten, dass ... Ihr größtes<br />
Betriebsgeheimnis ungeschützt ist?<br />
Wie ein schlechter Sickerwitz, stellt man sich zuerst die Frage,<br />
was ist unser größtes Betriebsgeheimnis: Die Kundenlisten,<br />
die Projektdokumentationen und Strategiepapiere, die Zahlen<br />
auf den Bankkonten oder gar die private Telefonnummer vom<br />
Vorstandsvorsitzenden? Schlussendlich sind es die Passwörter<br />
und Zugangsberechtigungen auf sämtliche Anwendungen und<br />
Datenbanken in jedem Unternehmen oder Organisation.<br />
Tausende Passwörter von Usern und<br />
Administratoren sind im Umlauf<br />
Man stelle sich komplexe IT Landschaften vor, die geografisch<br />
verteilt sind und viele Mitarbeiter, die in verschiedene<br />
„Rollen“ schlüpfen. Eine Buchhalterin hat nicht nur<br />
Zugang zu standardisierten Anwendungen, sondern auch<br />
zum Internetbanking, der FIBU Software und anderen<br />
kaufmännischen Programmen wie SAP. Interessant und<br />
zunehmend komplex wird es bei den IT Administratoren.<br />
Natürlich können sich diese, von vielen für ihre mathematischen<br />
Fähigkeiten bewunderten, auch nicht dutzende<br />
von Passwörtern merken, sondern helfen etwas nach: Pro<br />
Anwendung wird ein Passwort vergeben, das sich diese<br />
dann für längere Zeit im Gedächtnis behalten. Mit dieser<br />
Feststellung wird die gesamte Problematik sofort offenbar,<br />
ohne in technische Details gehen zu müssen: ein Passwort<br />
... für längere Zeit ... im Gedächtnis.<br />
Guter Rat ist teuer - und umsonst<br />
Richtlinien zur Passwortgestaltung gibt es unzählige und<br />
viele sind gut gemeint: Die Länge wird vorgegeben und<br />
auch die zu verwendenden Zeichen, die alle 4 Wochen<br />
zu ändern sind und natürlich nicht auf einem Post-It unter<br />
der Tastatur kleben sollen. Selbst wenn dies eingehalten<br />
wird, vergisst man sein neues Passwort spätestens,<br />
wenn man 2 Wochen auf Urlaub war und auch der Help-<br />
Desk freut sich, dass man wieder zurück ist. Auch der<br />
Auditor ist zumindest milde gestimmt, wenn die zentralen<br />
Passwörter zumindest in einer gesicherten Excel Liste<br />
zusammengefasst sind. Von IT <strong>Security</strong> sollte man aber<br />
dabei besser nicht sprechen, da jeder Administrator auf<br />
alle Passwörter zugreifen kann. Spätestens bei automatisierten<br />
(unattended) Passwörtern, die via Skript fixiert<br />
sind und auf eine Anwendung oder Datenbank zugreifen,<br />
sind verhaltensorientierte Ansätze obsolete.<br />
Passwortstruktur ist unbekannt<br />
Kaum ein IT Verantwortlicher hat verlässliche Informationen<br />
über die Strukturen und Verbreitungsgrade von<br />
Passwörtern in einer Organisation. Bei Implementie-<br />
rung eines automatisierten Passwort-Managements<br />
wird oft erst festgestellt, dass zehntausende privilegierte<br />
Administratorkonten vorhanden sind, aber nur 20%<br />
davon als Administratorkonten dienen. Der überwiegende<br />
Teil der Passwörter sind Application-to-Application<br />
(A2A) und Application-to-Database (A2D) Konten, die<br />
in Skripts den Zugriff ermöglichen. Und natürlich nur in<br />
seltensten Fällen geändert werden und somit immer eine<br />
Hintertüre, auch für den Ex-Mitarbeiter, offenlassen.<br />
Die Passwort Autorität: Freiwilligkeit und<br />
Empfehlungen sind nicht angebracht<br />
Die Zugangsberechtigungen sind als Schlüssel für Safes<br />
mit allen Geheimnissen der Organisation anzusehen.. Das<br />
Ergebnis einer Reflektion der Problematik „Passwörter“<br />
kann nur sein, dass ein automatisiertes und auditierbares<br />
Software-Werkzeug in Frage kommen kann. Die Durchsetzung<br />
der Passwörter Policies, Zuteilung von Einmal-Passwörtern<br />
und vor allem eine sichere Authentifizierung und<br />
Ablage dieser ist natürlich ebenso ein Must-Have. In Zeiten<br />
wie diesen, sollte es auf Knopfdruck möglich sein, einen Administrator<br />
zu sperren oder zeitlich begrenzte Passwörter<br />
für externe Dienstleister ausstellen zu können.<br />
Antares NetlogiX empfiehlt nach eingehender Analyse<br />
- des sehr überschaubaren Marktes - die Lösung<br />
„Cloakware Password Authority“. Die ersten erfolgreichen<br />
Referenzprojekte und Kundenmeinungen haben<br />
diese Meinung weiter verstärkt.<br />
9/2010