Principle of Least Privilege: PoLP als unverzichtbares Element für die IT-Sicherheit

• Warum ist das Principle of Least Privilege (PoLP) wichtig für die IT-Sicherheit?

• Welche Vorteile bietet das Least Privilege-Prinzip?

• Welche Risiken entstehen ohne PoLP?

• Wie können Unternehmen das PoLP umsetzen?

Principle of Least Privilege (PoLP): Warum ist es essenziell für die IT-Sicherheit?

Das Prinzip der geringsten Privilegien (Principle of Least Privilege oder kurz PoLP) bzw. das Prinzip des minimalen Zugangs (Least Privilege Access) bedeutet, dass Mitarbeitenden in Software und technischen Systemen nur die minimalen Zugriffsrechte verliehen werden, die sie für ihre Arbeit benötigen. Dies soll Schäden durch kompromittierte Zugangsdaten oder sogar Innentäter verhindern. In Kombination mit kryptografisch abgesicherter Authentifizierung wird sichergestellt, dass ausschließlich autorisierte User entsprechend ihren Rollen im Unternehmen agieren können. Zugriffe auf IT-Systeme, Kundendaten, Finanzinformationen und weitere sensible Firmeninterna werden somit effektiv geschützt und kontrolliert. 

Für die effiziente und sichere Umsetzung des Least Privilege Prinzips ist eine zentrale Verwaltung von Identitäten und Benutzerkonten erforderlich, um in den typischerweise heterogenen IT-Systemen von Unternehmen eine einheitliche Rechteverwaltung zu ermöglichen. Die Lösung hierfür ist eine Identity und Access Management (IAM) Software, die auf individuelle organisatorische Anforderungen und die verschiedenen Benutzerrollen zugeschnitten ist.

Welche Vorteile bietet das Least Privilege-Prinzip? 

Das Principle of Least Privilege ist ein fundamentaler Bestandteil der IT-Sicherheit und somit ein Grundbaustein der Zero-Trust-Architektur. Bei diesem Konzept wird keinem Benutzer oder System implizit vertraut. Es genügt nicht, Berechtigungen nur einmalig am Netzwerkperimeter zu prüfen – vielmehr müssen sie kontinuierlich bei jeder Anfrage validiert werden, um sicherzustellen, dass der Zugriff im jeweiligen Kontext zulässig ist. Strenge Zugriffsrichtlinien nach dem PoLP gewährleisten, dass auch bereits in das Innere des Netzwerks vorgedrungene Angreifer erhebliche Hindernisse überwinden müssen, um unberechtigten Zugang zu Systemen und Daten zu erlangen. 

Ein konsequenter Einsatz des Least Privilege-Prinzips bringt zahlreiche Vorteile mit sich, die wesentlich zur Stärkung der gesamten Sicherheitsarchitektur beitragen. 

Reduktion von Sicherheitsrisiken durch kompromittierte Accounts

Durch sinnvolle Einschränkungen der Zugriffsrechte von Benutzern lässt sich der Handlungsspielraum von Hackern begrenzen. Je feingranularer Berechtigungen verschiedenen Rollen zugeteilt sind, desto mehr einzelne Accounts müssten Angreifer für das Erweitern ihrer Berechtigungen kompromittieren.  

Dies erhöht die Schwierigkeit für Angreifer erheblich und verbessert die Chancen, unautorisierte Anmeldeversuche frühzeitig zu erkennen und rechtzeitig Gegenmaßnahmen einzuleiten, um größere Schäden zu verhindern. PoLP reduziert zudem die Anzahl der privilegierten Accounts, was ein effektiveres Monitoring ermöglicht und das sogenannte „Lateral Movement“ erschwert, bei dem sich Angreifer von System zu System bewegen. 

Eindämmung von Malware und Exploits

Gestohlene Anmeldedaten sind nur ein Weg, wie Hacker unberechtigten Zugang erhalten können. Oftmals werden nicht nur die Accounts selbst angegriffen, sondern Software und Dienste mit Sicherheitslücken, die mit den Rechten eines lokalen Benutzers agieren. Bei den Sicherheitslücken handelt es sich um Implementierungsfehler, durch die Angreifende unbeabsichtigtes Verhalten hervorrufen können. Das kann vom Programmabsturz über das Auslesen von Daten bis hin zur Ausführung von Code reichen. 

Auch hier ist das Principle of Least Privilege wichtig. Denn läuft die Software unter einem Benutzer mit vielen Rechten, können Angreifer damit im schlimmsten Fall auf dem System Befehle ausführen. Falls beispielsweise eine Software unter dem Root-Benutzer ausgeführt wird und eine Remote Code Execution (RCE) möglich ist, kann das gesamte System übernommen werden. Derartige schwerwiegende Sicherheitslücken sind leider keine Seltenheit.  

Lücken, die aktiv ausgenutzt werden, werden im CISA-Katalog „Known Exploited Vulnerabilities“ (KEV) der US-amerikanischen Cybersecurity & Infrastructure Security Agency (CISA) genannt. Sofern es möglich ist, die Rechte für Software und technische Benutzer zu limitieren, sollte diese Option genutzt werden. Damit wird Angreifern die Rechteausweitung (Privilege Escalation) erschwert. 

Transparenz für vergebene Berechtigungen

Durch die für PoLP notwendige regelmäßige Prüfung von vergebenen Berechtigungen ist ein detaillierter Einblick in die Berechtigungsstrukturen und deren Anwendung im Unternehmen möglich. Auf Basis dieser Informationen lassen sich falsch zugewiesene oder nicht mehr benötigte Berechtigungen identifizieren oder über Richtlinien bereits im Vorfeld verhindern. In Kombination mit externem Monitoring und Logging können diese Information essenziell für die Untersuchung von Sicherheitsvorfällen sein. 

Einhaltung gesetzlicher Bestimmungen und Industrienormen

Die Umsetzung einer Zugriffskontrolle nach dem Principle of Least Privilege unterstützt maßgeblich die Einhaltung gesetzlicher Vorgaben und Industrienormen. So fordert DORA (Digital Operational Resilience Act), die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor, in ihren Regulierungsstandards (RTS) ausdrücklich die Einhaltung des PoLP. Ebenso schreibt die NIS2-Richtlinie (EU) 2022/2555 für Kritische Infrastrukturen die Anwendung von Zero-Trust-Prinzipien vor, zu denen auch PoLP gehört. Darüber hinaus verlangen sowohl ISO/IEC 27001 im Kapitel 9 „Access Control“ als auch der BSI IT-Grundschutz im Modul ORP.4.A2 die Umsetzung des Prinzips. Für die meisten Unternehmen ist die Implementierung daher unumgänglich.

Welche Risiken entstehen ohne PoLP?

Welche Risiken ohne eine Umsetzung des Prinzips der geringsten Privilegien auftreten können, veranschaulicht das nachfolgende Fallbeispiel.

Berechtigungen entsprechend der Rolle im Unternehmen

Ein Mitarbeiter eines Finanzdienstleisters ist im IT-Support tätig und nutzt einen Laptop, auf dem er sich standardmäßig als lokaler Administrator anmeldet. Diese privilegierte Zugangsform bevorzugt er, da sie ihm erlaubt, selbst Software zu installieren, die er für seine tägliche Arbeit benötigt. Zudem hat er Zugriff auf ein Ticket-System zur Aufgabenplanung und -verteilung, einen VPN-Zugang für das Home-Office sowie administrative Zugänge zu bestimmten Tools, Programmen und Diensten (Zielsysteme), für die er die Wartung durchführt.

Positionswechsel innerhalb des Unternehmens

Nach zwei Jahren übernimmt der Mitarbeiter die Leitung eines Teams im technischen Customer-Support. Seine Rolle im Unternehmen hat sich damit geändert: Er ist nun nicht mehr mit der Wartung von Systemen, sondern mit der Planung und Koordination von Aufgaben für sein Team in einer anderen Abteilung betraut. Er nutzt dafür weiterhin dasselbe Ticket-System. Allerdings gibt es auch dedizierte Projekte für den Customer-Support, die vom internen IT-Support getrennt sind.

Problematik der Rechteanhäufung ohne IAM-System

Da das Unternehmen keine adäquate IAM-Lösung verwendet, werden seine Berechtigungen nicht ordnungsgemäß angepasst. Er behält sowohl seine neuen als auch die alten Zugriffsrechte, was zu einer Rechteanhäufung führt. Der Mitarbeiter kann weiterhin auf IT-Support-Tickets zugreifen und hat administrativen Zugang zu Systemen, für die er zuvor zuständig war. Diese Ansammlung an nicht mehr benötigten Berechtigungen aus unterschiedlichen Unternehmensbereichen, die nicht zur aktuellen Rolle des Mitarbeiters gehören, bezeichnet man auch als „Permission Creep“.

Leichtes Spiel für Hackerangriffe

In einem gezielten Angriff auf das Unternehmen zeigen sich die gravierenden Folgen der Vernachlässigung des Least Privilege-Prinzips. Über Spear-Phishing kontaktieren Angreifer den Mitarbeiter und täuschen ein dringendes technisches Problem bei einem Großkunden vor. Der Mitarbeiter öffnet den E-Mail-Anhang, der einen Zero-Day-Exploit enthält, und infiziert dadurch sein System mit Malware. Da er als lokaler Administrator angemeldet ist, kann die Malware maximale Rechte erlangen und Anti-Viren- bzw. EDR-Software umgehen.

Die Angreifer erbeuten seine Zugangsdaten, darunter SSO-Passwort, SSH-Schlüssel, Master-Passwort für den Passwort-Safe des Mitarbeiters sowie die darin enthaltenen Daten mitsamt der Recovery-Codes für die Multi-Faktor-Authentifizierung (MFA). Mit diesen Informationen verschaffen sich die Hacker Zugang zu zahlreichen Systemen, bei dem sich der Mitarbeiter anmelden kann – einschließlich des Ticket-Systems und der Server, die er zuvor administrierte. Sie erhalten detaillierte Einblicke in die IT-Infrastruktur mitsamt den Schwachstellen und Sicherheitslücken. Tickets mit Logdaten, in denen Token und Passwörter protokolliert und fehlerhaft maskiert wurden, geben den Hackern Zugriff auf weitere Zugangsdaten von Kunden.

Home-Office: Verbreitung der Malware im Firmennetzwerk

Sobald sich der Mitarbeiter aus dem Home-Office über VPN in das Firmennetzwerk einwählt, lädt die Malware zusätzliche Payloads. Da die Malware lokal auf dem Laptop des Mitarbeiters läuft, kann diese trotz MFA für das VPN ebenfalls die VPN-Verbindung nutzen, um interne Systeme anzugreifen und sich im Firmennetzwerk auszubreiten (Lateral Movement).

Über die administrativen Zugänge des Mitarbeiters verschaffen sich die Hacker persistenten Zugang zu internen Systemen. Mithilfe weiterer erbeuteter Zugangsdaten und „Hands On Keyboard“-Angriffen installieren sie Ransomware auf vielen Systemen des Unternehmens. Der IT-Betrieb wird weitgehend lahmgelegt.

Verheerende Folgen

Die Absicherung des Netzwerks und Wiederherstellung der Systeme erfordert einen langwierigen und kostspieligen Prozess, einschließlich der Beauftragung von Experten für Digital Forensics und Incident Response (DFIR). Die durch die Ransomware stark eingeschränkte Verfügbarkeit der IT-Systeme führt zu erheblichen finanziellen Verlusten. Durch die Veröffentlichung von Unternehmens- und Kundendaten im Dark Web entsteht zudem ein schwerer Reputationsschaden und Vertrauensverlust bei Bestands- und Neukunden.

Viele der beschriebenen Risiken hätten durch die Umsetzung des Prinzips der geringsten Privilegien vermieden oder zumindest stark reduziert werden können. Dazu gehören:

• Entzug nicht benötigter Berechtigungen: Nicht mehr benötigte Berechtigungen, insbesondere bei einem Rollenwechsel oder nach dem Verlassen des Unternehmens, müssen konsequent entzogen werden.

• Beschränkung privilegierter Accounts: Privilegierte Accounts sollten nur Mitarbeitenden zur Verfügung gestellt werden, die diese für ihre Tätigkeiten zwingend benötigen.

• Nutzung unprivilegierter Accounts: Privilegierte Accounts dürfen nur für die Administration von IT-Systemen verwendet werden. Außerhalb dieses Anwendungsfalls muss dieselbe Person mit einem unprivilegierten Account arbeiten, der auf den Minimalsatz der notwendigen Berechtigungen für ihre Rolle beschränkt ist.

Wie können Unternehmen das PoLP umsetzen?

Für die Umsetzung des Least Privilege-Prinzips sollten die folgenden Schritte ergriffen werden:

PoLP mit der Garancy® IAM-Suite umsetzen

Die Einführung des Principle of Least Privilege ist ein komplexes Projekt, bietet aber zahlreiche Sicherheitsvorteile. Eine manuelle Prüfung und Umsetzung der Prozesse ist aufgrund der Komplexität und des hohen Ressourcenaufwands nicht realistisch, und der Einsatz eines IAM-Tools unerlässlich. Beta Systems bietet mit der Garancy® Suite, Garancy® Password Management und Garancy® Data Access Governance moderne und zuverlässige Lösungen, auf die Unternehmen weltweit vertrauen.

Beta Systems Professional Service unterstützt Sie dabei, die Garancy® Produkte in Ihrem Unternehmen zu etablieren und bestehende Systeme zu migrieren. Falls Sie Individualsoftware nutzen, ist ein Customizing für Konnektoren möglich, um Ihre Zielsysteme an die IAM-Lösung anzubinden.