5. Mai 2015
„Least Privilege“-Prinzip: Das richtige Maß entscheidet
Das „Least Privilege“-Prinzip (oder „Need to know“-Prinzip) ist eines der wichtigsten Konzepte für Informationssicherheit: Jeder Benutzer soll genau jene Berechtigungen haben, die er benötigt, um seine Aufgaben zu erledigen – und nicht mehr. In der physischen Welt ist dieses Prinzip in unterschiedlichen Bereichen verwirklicht. So bieten Autohersteller sogenannte „Valet Keys“ an: Wenn ein Hotelgast sein Auto an einen Parkservice-Mitarbeiter übergibt, ermöglicht er diesem damit nur, das Auto zu parken. Handschuhfach oder Kofferraum kann man mit diesem Schlüssel nicht öffnen. Einzelne Autohersteller entwickeln dieses System laufend weiter: Mit der von Tesla angebotenen Technologie lässt sich definieren, wie schnell oder wie weit man mit einem Auto fahren darf. Werden die Limits überschritten, verweigert das Fahrzeug die Überschreitung bzw. den Dienst. Der Besitzer wird sofort verständigt.
Voller Zugriff auf alle Daten?
Im Bereich der IT-Sicherheit ist dieses Prinzip genauso wichtig wie in der physischen Welt. Nicht jeder Mitarbeiter in einem Unternehmen muss Zugriff auf alle Systeme bzw. Informationen haben, um seine Aufgaben erledigen zu können. So benötigt zum Beispiel ein Mitarbeiter einer Marketingabteilung keinen Zugriff auf die Produktionsdaten. Ein Produktionsleiter wiederum muss auf diese Daten zugreifen können – aber wiederum nicht auf die Vorbereitungen des Marketingmitarbeiters für die nächste Werbekampagne. Vor allem in kleineren Unternehmen ist es nach wie vor weit verbreitet, dass der System-Administrator das Root-Passwort für alle Systeme kennt. Damit hat er den vollen Zugriff auf alle Daten im gesamten Unternehmen. Auch wenn er dieses Wissen nicht selbst missbraucht, ist das Sicherheitsrisiko enorm: Mit einem erfolgreichen Angriff auf ihn verfügt jeder Angreifer über dieselben Zugriffsberechtigungen.
„Support“ für Angreifer
Die Verletzung des „Least Privilege“-Prinzips sollte sich kein Unternehmen mehr leisten. Nur so war es etwa der NSA und dem GCHQ möglich, kryptographische Schlüssel von SIM-Karten der Firma Gemalto zu erlangen: Durch automatisierte E-Mail-Überwachung (Suche nach bestimmten Schlüsselwörtern) wurden jene Personen herausgefiltert, die potentiell Zugriff auf diese Daten hatten. Personen, bei denen eine besondere hohe Wahrscheinlichkeit bestand, dass sie Zugriff auf die geheimen Schlüssel hatten, wurden besonders intensiv überwacht – und angegriffen. Dabei handelte es sich in mehreren Fällen um Support-Mitarbeiter, die für ihre Tätigkeit eigentlich keinen Zugriff auf diese Daten benötigt hätten.
Klares Konzept, mehr Sicherheit
Der Fall Gemalto zeigt eindringlich, wie wichtig ein klares Berechtigungskonzept für geheime Informationen im Unternehmen ist. Mitarbeiter, die diese Informationen tatsächlich für ihre Tätigkeit brauchen, können noch gezielter für Sicherheitsfragen eingeschult werden. Und weil es sich in der Folge um einen eingeschränkten Personenkreis handelt, lassen sich noch strengere Sicherheitsmaßnahmen treffen (z.B. verpflichtende Kommunikation über verschlüsselte Mails).
Die Praxis zeigt zudem: Auch der ständige Zugriff auf heikle Informationen ist oft gar nicht notwendig. Ein Administrator braucht zum Beispiel den Root-Zugriff auf ein System nur dann, wenn für das Betriebssystem neue Updates verfügbar sind. Notwendige Zugriffe lassen sich daher zeitlich einschränken: Ist die festgelegte Aufgabe erfüllt, wird dem Administrator die Berechtigung wieder entzogen. Das „Least Privilege“-Konzept schützt so nicht nur heikle Unternehmensinformationen, sondern auch einzelne Mitarbeiter vor gezielten Angriffen auf ihre Person.
[share title=“Teilen“ facebook=“true“ twitter=“true“ email=“true“]