Principle of Least Privilege: PoLP als unverzichtbares Element für die IT-Sicherheit
In der modernen Unternehmenswelt, in der Cyberbedrohungen immer raffinierter werden, steht die IT-Sicherheit im Fokus wie nie zuvor. Ein essenzieller Baustein für den Schutz sensibler Daten und IT-Systeme ist das Principle of Least Privilege, kurz PoLP. In diesem Artikel erfahren Sie, wie das Prinzip der geringsten Privilegien Risiken minimiert, sensible Unternehmensdaten und -systeme schützt und die Einhaltung von Sicherheitsstandards gewährleistet – und welche gravierenden Folgen drohen, wenn es nicht berücksichtigt wird.
Mehr erfahren
Inhalte
Warum ist das Principle of Least Privilege (PoLP) wichtig für die IT-Sicherheit?
Welche Vorteile bietet das Least Privilege-Prinzip?
Welche Risiken entstehen ohne PoLP?
Wie können Unternehmen das PoLP umsetzen?
Principle of Least Privilege (PoLP): Warum ist es essenziell für die IT-Sicherheit?
Das Prinzip der geringsten Privilegien (Principle of Least Privilege oder kurz PoLP) bzw. das Prinzip des minimalen Zugangs (Least Privilege Access) bedeutet, dass Mitarbeitenden in Software und technischen Systemen nur die minimalen Zugriffsrechte verliehen werden, die sie für ihre Arbeit benötigen. Dies soll Schäden durch kompromittierte Zugangsdaten oder sogar Innentäter verhindern. In Kombination mit kryptografisch abgesicherter Authentifizierung wird sichergestellt, dass ausschließlich autorisierte User entsprechend ihren Rollen im Unternehmen agieren können. Zugriffe auf IT-Systeme, Kundendaten, Finanzinformationen und weitere sensible Firmeninterna werden somit effektiv geschützt und kontrolliert.
Für die effiziente und sichere Umsetzung des Least Privilege Prinzips ist eine zentrale Verwaltung von Identitäten und Benutzerkonten erforderlich, um in den typischerweise heterogenen IT-Systemen von Unternehmen eine einheitliche Rechteverwaltung zu ermöglichen. Die Lösung hierfür ist eine Identity und Access Management (IAM) Software, die auf individuelle organisatorische Anforderungen und die verschiedenen Benutzerrollen zugeschnitten ist.
Welche Vorteile bietet das Least Privilege-Prinzip?
Das Principle of Least Privilege ist ein fundamentaler Bestandteil der IT-Sicherheit und somit ein Grundbaustein der Zero-Trust-Architektur. Bei diesem Konzept wird keinem Benutzer oder System implizit vertraut. Es genügt nicht, Berechtigungen nur einmalig am Netzwerkperimeter zu prüfen – vielmehr müssen sie kontinuierlich bei jeder Anfrage validiert werden, um sicherzustellen, dass der Zugriff im jeweiligen Kontext zulässig ist. Strenge Zugriffsrichtlinien nach dem PoLP gewährleisten, dass auch bereits in das Innere des Netzwerks vorgedrungene Angreifer erhebliche Hindernisse überwinden müssen, um unberechtigten Zugang zu Systemen und Daten zu erlangen.
Ein konsequenter Einsatz des Least Privilege-Prinzips bringt zahlreiche Vorteile mit sich, die wesentlich zur Stärkung der gesamten Sicherheitsarchitektur beitragen.
Reduktion von Sicherheitsrisiken durch kompromittierte Accounts
Durch sinnvolle Einschränkungen der Zugriffsrechte von Benutzern lässt sich der Handlungsspielraum von Hackern begrenzen. Je feingranularer Berechtigungen verschiedenen Rollen zugeteilt sind, desto mehr einzelne Accounts müssten Angreifer für das Erweitern ihrer Berechtigungen kompromittieren.
Dies erhöht die Schwierigkeit für Angreifer erheblich und verbessert die Chancen, unautorisierte Anmeldeversuche frühzeitig zu erkennen und rechtzeitig Gegenmaßnahmen einzuleiten, um größere Schäden zu verhindern. PoLP reduziert zudem die Anzahl der privilegierten Accounts, was ein effektiveres Monitoring ermöglicht und das sogenannte „Lateral Movement“ erschwert, bei dem sich Angreifer von System zu System bewegen.
Eindämmung von Malware und Exploits
Gestohlene Anmeldedaten sind nur ein Weg, wie Hacker unberechtigten Zugang erhalten können. Oftmals werden nicht nur die Accounts selbst angegriffen, sondern Software und Dienste mit Sicherheitslücken, die mit den Rechten eines lokalen Benutzers agieren. Bei den Sicherheitslücken handelt es sich um Implementierungsfehler, durch die Angreifende unbeabsichtigtes Verhalten hervorrufen können. Das kann vom Programmabsturz über das Auslesen von Daten bis hin zur Ausführung von Code reichen.
Auch hier ist das Principle of Least Privilege wichtig. Denn läuft die Software unter einem Benutzer mit vielen Rechten, können Angreifer damit im schlimmsten Fall auf dem System Befehle ausführen. Falls beispielsweise eine Software unter dem Root-Benutzer ausgeführt wird und eine Remote Code Execution (RCE) möglich ist, kann das gesamte System übernommen werden. Derartige schwerwiegende Sicherheitslücken sind leider keine Seltenheit.
Lücken, die aktiv ausgenutzt werden, werden im CISA-Katalog „Known Exploited Vulnerabilities“ (KEV) der US-amerikanischen Cybersecurity & Infrastructure Security Agency (CISA) genannt. Sofern es möglich ist, die Rechte für Software und technische Benutzer zu limitieren, sollte diese Option genutzt werden. Damit wird Angreifern die Rechteausweitung (Privilege Escalation) erschwert.
Transparenz für vergebene Berechtigungen
Durch die für PoLP notwendige regelmäßige Prüfung von vergebenen Berechtigungen ist ein detaillierter Einblick in die Berechtigungsstrukturen und deren Anwendung im Unternehmen möglich. Auf Basis dieser Informationen lassen sich falsch zugewiesene oder nicht mehr benötigte Berechtigungen identifizieren oder über Richtlinien bereits im Vorfeld verhindern. In Kombination mit externem Monitoring und Logging können diese Information essenziell für die Untersuchung von Sicherheitsvorfällen sein.
Einhaltung gesetzlicher Bestimmungen und Industrienormen
Die Umsetzung einer Zugriffskontrolle nach dem Principle of Least Privilege unterstützt maßgeblich die Einhaltung gesetzlicher Vorgaben und Industrienormen. So fordert DORA (Digital Operational Resilience Act), die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor, in ihren Regulierungsstandards (RTS) ausdrücklich die Einhaltung des PoLP. Ebenso schreibt die NIS2-Richtlinie (EU) 2022/2555 für Kritische Infrastrukturen die Anwendung von Zero-Trust-Prinzipien vor, zu denen auch PoLP gehört. Darüber hinaus verlangen sowohl ISO/IEC 27001 im Kapitel 9 „Access Control“ als auch der BSI IT-Grundschutz im Modul ORP.4.A2 die Umsetzung des Prinzips. Für die meisten Unternehmen ist die Implementierung daher unumgänglich.
Welche Risiken entstehen ohne PoLP?
Welche Risiken ohne eine Umsetzung des Prinzips der geringsten Privilegien auftreten können, veranschaulicht das nachfolgende Fallbeispiel.
Berechtigungen entsprechend der Rolle im Unternehmen
Ein Mitarbeiter eines Finanzdienstleisters ist im IT-Support tätig und nutzt einen Laptop, auf dem er sich standardmäßig als lokaler Administrator anmeldet. Diese privilegierte Zugangsform bevorzugt er, da sie ihm erlaubt, selbst Software zu installieren, die er für seine tägliche Arbeit benötigt. Zudem hat er Zugriff auf ein Ticket-System zur Aufgabenplanung und -verteilung, einen VPN-Zugang für das Home-Office sowie administrative Zugänge zu bestimmten Tools, Programmen und Diensten (Zielsysteme), für die er die Wartung durchführt.
Positionswechsel innerhalb des Unternehmens
Nach zwei Jahren übernimmt der Mitarbeiter die Leitung eines Teams im technischen Customer-Support. Seine Rolle im Unternehmen hat sich damit geändert: Er ist nun nicht mehr mit der Wartung von Systemen, sondern mit der Planung und Koordination von Aufgaben für sein Team in einer anderen Abteilung betraut. Er nutzt dafür weiterhin dasselbe Ticket-System. Allerdings gibt es auch dedizierte Projekte für den Customer-Support, die vom internen IT-Support getrennt sind.
Problematik der Rechteanhäufung ohne IAM-System
Da das Unternehmen keine adäquate IAM-Lösung verwendet, werden seine Berechtigungen nicht ordnungsgemäß angepasst. Er behält sowohl seine neuen als auch die alten Zugriffsrechte, was zu einer Rechteanhäufung führt. Der Mitarbeiter kann weiterhin auf IT-Support-Tickets zugreifen und hat administrativen Zugang zu Systemen, für die er zuvor zuständig war. Diese Ansammlung an nicht mehr benötigten Berechtigungen aus unterschiedlichen Unternehmensbereichen, die nicht zur aktuellen Rolle des Mitarbeiters gehören, bezeichnet man auch als „Permission Creep“.
Leichtes Spiel für Hackerangriffe
In einem gezielten Angriff auf das Unternehmen zeigen sich die gravierenden Folgen der Vernachlässigung des Least Privilege-Prinzips. Über Spear-Phishing kontaktieren Angreifer den Mitarbeiter und täuschen ein dringendes technisches Problem bei einem Großkunden vor. Der Mitarbeiter öffnet den E-Mail-Anhang, der einen Zero-Day-Exploit enthält, und infiziert dadurch sein System mit Malware. Da er als lokaler Administrator angemeldet ist, kann die Malware maximale Rechte erlangen und Anti-Viren- bzw. EDR-Software umgehen.
Die Angreifer erbeuten seine Zugangsdaten, darunter SSO-Passwort, SSH-Schlüssel, Master-Passwort für den Passwort-Safe des Mitarbeiters sowie die darin enthaltenen Daten mitsamt der Recovery-Codes für die Multi-Faktor-Authentifizierung (MFA). Mit diesen Informationen verschaffen sich die Hacker Zugang zu zahlreichen Systemen, bei dem sich der Mitarbeiter anmelden kann – einschließlich des Ticket-Systems und der Server, die er zuvor administrierte. Sie erhalten detaillierte Einblicke in die IT-Infrastruktur mitsamt den Schwachstellen und Sicherheitslücken. Tickets mit Logdaten, in denen Token und Passwörter protokolliert und fehlerhaft maskiert wurden, geben den Hackern Zugriff auf weitere Zugangsdaten von Kunden.
Home-Office: Verbreitung der Malware im Firmennetzwerk
Sobald sich der Mitarbeiter aus dem Home-Office über VPN in das Firmennetzwerk einwählt, lädt die Malware zusätzliche Payloads. Da die Malware lokal auf dem Laptop des Mitarbeiters läuft, kann diese trotz MFA für das VPN ebenfalls die VPN-Verbindung nutzen, um interne Systeme anzugreifen und sich im Firmennetzwerk auszubreiten (Lateral Movement).
Über die administrativen Zugänge des Mitarbeiters verschaffen sich die Hacker persistenten Zugang zu internen Systemen. Mithilfe weiterer erbeuteter Zugangsdaten und „Hands On Keyboard“-Angriffen installieren sie Ransomware auf vielen Systemen des Unternehmens. Der IT-Betrieb wird weitgehend lahmgelegt.
Verheerende Folgen
Die Absicherung des Netzwerks und Wiederherstellung der Systeme erfordert einen langwierigen und kostspieligen Prozess, einschließlich der Beauftragung von Experten für Digital Forensics und Incident Response (DFIR). Die durch die Ransomware stark eingeschränkte Verfügbarkeit der IT-Systeme führt zu erheblichen finanziellen Verlusten. Durch die Veröffentlichung von Unternehmens- und Kundendaten im Dark Web entsteht zudem ein schwerer Reputationsschaden und Vertrauensverlust bei Bestands- und Neukunden.
Viele der beschriebenen Risiken hätten durch die Umsetzung des Prinzips der geringsten Privilegien vermieden oder zumindest stark reduziert werden können. Dazu gehören:
Entzug nicht benötigter Berechtigungen: Nicht mehr benötigte Berechtigungen, insbesondere bei einem Rollenwechsel oder nach dem Verlassen des Unternehmens, müssen konsequent entzogen werden.
Beschränkung privilegierter Accounts: Privilegierte Accounts sollten nur Mitarbeitenden zur Verfügung gestellt werden, die diese für ihre Tätigkeiten zwingend benötigen.
Nutzung unprivilegierter Accounts: Privilegierte Accounts dürfen nur für die Administration von IT-Systemen verwendet werden. Außerhalb dieses Anwendungsfalls muss dieselbe Person mit einem unprivilegierten Account arbeiten, der auf den Minimalsatz der notwendigen Berechtigungen für ihre Rolle beschränkt ist.
Wie können Unternehmen das PoLP umsetzen?
Für die Umsetzung des Least Privilege-Prinzips sollten die folgenden Schritte ergriffen werden:
Berechtigungen überprüfen
Es ist wichtig, alle Accounts – insbesondere privilegierte – hinsichtlich ihrer Berechtigungen zu überprüfen und zu inventarisieren. Dabei sollten nicht nur Benutzerkonten auf Betriebssystemen betrachtet werden, sondern auch Zugänge zu Applikationen und Diensten im Netzwerk, VPN, Cloud/ VPCs sowie angeschlossene SaaS-Anbieter. Diese Zugänge können über verschiedene Methoden wie Passwörter, SSH-Schlüssel, Token oder API-Keys realisiert sein. Zusätzlich ist eine Risikoanalyse empfehlenswert, um zu bestimmen, welche Systeme und Daten besonders schützenswert sind.
Rollen und minimale Berechtigungen festlegen
Basierend auf den gesammelten Informationen sollte ein Rollenkonzept erarbeitet werden, das die Geschäftsprozesse des Unternehmens abbildet. Dabei ist zu identifizieren, welche Zugriffsberechtigungen auf Systeme, Applikationen und Daten für die jeweilige Mitarbeiterrolle notwendig sind.
Richtlinien und Prozesse für die Rechtevergabe bestimmen
Für die Umsetzung müssen Richtlinien und Prozesse etabliert werden, die vorgeben, wie die Rechtevergabe und -kontrolle im Unternehmen erfolgt. Beispielsweise ist zu definieren, unter welchen Umständen ein Systemverantwortlicher oder Vorgesetzter bestimmte Rechte an Mitarbeitende vergeben darf und welche Kontrollinstanz diese Vergabe gegebenenfalls bestätigen muss. Zudem sollte klar festgehalten werden, wer für die Überwachung des PoLP zuständig ist.
Mitarbeiter-Lifecycle-Management
Um sicherzustellen, dass Berechtigungen kontinuierlich verwaltet und gepflegt werden, ist ein Lifecycle-Management für Mitarbeitende erforderlich. Dieses regelt, wie Berechtigungen bei Eintritt in das Unternehmen, bei Rollenänderungen und beim Austritt in den Zielsystemen aktualisiert werden.
Standardmäßige Rollenzuordnung für Mitarbeitende
Nachdem die Richtlinien und Prozesse festgelegt wurden, erfolgt die Zuordnung von Rollen für die bestehenden Mitarbeitenden. Die Berechtigungen in den Bestandssystemen sind entsprechend des PoLP anzupassen.
Reduktion von privilegierten Accounts
Falls die zugewiesenen Rollen keine privilegierten Accounts für bestimmte Mitarbeitende vorsehen, sind diese Zugänge zu sperren. Jede Person, die einen privilegierten Account benötigt, muss einen eigenen, personengebundenen Account im Zielsystem haben, der nicht mit anderen Mitarbeitenden geteilt wird.
Temporäre Rechtevergabe
Um die Anzahl privilegierter Accounts zu minimieren, sollten für Aufgaben, die erhöhte Rechte erfordern, Zugänge temporär auf Anfrage bereitgestellt werden. Diese Berechtigungen oder der temporäre Account sollten nach Abschluss der Aufgabe entfernt werden. Dieses Prinzip ist auch bekannt als „Just in Time“-Zugang.
Sperrung von Accounts
Bei verdächtigen Anmeldeaktivitäten, die auf einen möglichen Angriff hindeuten, sollten dem betroffenen Account umgehend die Berechtigungen entzogen werden.
PoLP mit der Garancy® IAM-Suite umsetzen
Die Einführung des Principle of Least Privilege ist ein komplexes Projekt, bietet aber zahlreiche Sicherheitsvorteile. Eine manuelle Prüfung und Umsetzung der Prozesse ist aufgrund der Komplexität und des hohen Ressourcenaufwands nicht realistisch, und der Einsatz eines IAM-Tools unerlässlich. Beta Systems bietet mit der Garancy® Suite, Garancy® Password Management und Garancy® Data Access Governance moderne und zuverlässige Lösungen, auf die Unternehmen weltweit vertrauen.
Beta Systems Professional Service unterstützt Sie dabei, die Garancy® Produkte in Ihrem Unternehmen zu etablieren und bestehende Systeme zu migrieren. Falls Sie Individualsoftware nutzen, ist ein Customizing für Konnektoren möglich, um Ihre Zielsysteme an die IAM-Lösung anzubinden.