Best Practices Cyber-Sicherheit: inaktive Accounts

12 April 2024

Verwaiste Benutzerkonten stellen ein Cyber-Risiko dar

Ein verlassenes Haus ist eine fantastische Gelegeheit für Diebe. Genau diese Situation finden Hacker täglich bei Benutzerkonten vor. Egal ob geschäftlich oder privat, ein nicht genutzter Account stellt ein großes Cyber-Risiko dar. Er lädt Hacker ein, sich aus dem Vollen zu bedienen. Denn den Zugang zu knacken ist mittlerweile keine große Sache mehr. Es kommt weiterhin noch sehr häufig vor, dass Nutzer die gleichen Passwörter für verschiedene Zugänge zu Webanwendungen verwenden. Oder dass Betreiber auf den zusätzlichen Schutz von Accounts durch einen oder mehrere Faktoren, kurz 2- oder Multi-Faktor-Authentifizierung verzichten.

Ungenutzte Accounts laden Hacker ein

Im NIST Cybersecurity Framework beschreiben Cyber-Experten unter AC-2(3): Disable Accounts oder unter 5.3: Disable Dormant Accounts und 16.9 die Kriterien, dass Unternehmen Accounts deaktivieren oder löschen sollten, um das von ihnen ausgehende Cyber-Risiko zu minimieren. Die Empfehlung gilt für Benutzerkonten:

  • mit ausgelaufenen oder gekündigten Verträgen
  • die nicht länger mit einem Nutzer oder einem Individuum verknüpft sind
  • die im Widerspruch mit geltenden Organisationsregeln stehen, insbesondere die damit verbundenen Berechtigungen oder
  • die eine gewisse Zeit inaktiv bzw. ungenutzt sind

Hierbei ist zu beachten, dass der Betreiber in seinem System eine Routine implementiert haben sollte, die regelmäßig alle bestehenden Konten auf dieses Sicherheitsrisiko prüft. Über die verschiedensten Konten hinweg sollte es Regeln geben, wann ein Benutzerkonto als inaktiv einzustufen ist.

Die Best Practice-Regel zur Erhöhung der Cybersicherheit ist hier: Man verfolgt das Prinzip, mit den geringsten Privilegien und der geringsten Funktionalität, die Angriffsfläche des Systems zu verringern.

Konten sind regelmäßig auf ihre Aktivität hin zu prüfen

Die Nutzung von Konten kann sehr individuell sein. Genauso wie der Zweck und zu welchen Berechtigungen der jeweilige Zugang führt.

Ein Social Media-Konto kann ich mehrmals täglich nutzen, wohingegen mein Zugang zum Online-Banking nur dann aktiv ist, wenn ich meine Bankgeschäfte erledigen will. Genauso gilt das für geschäftliche Konten, ob Kundenkonten oder die Zugänge der Mitarbeiter. Mitarbeiterkonten sind zudem sehr sensibel, da sie Tür und Tor zu firmeneigenen und geheimen Daten offerieren.

BSI-Grundschutz: ungenutzte Konten soll der IT-Betrieb deaktivieren oder löschen

Gemäß dem BSI-Grundschutz hat der Gesetzgeber es als Basis-Anforderung formuliert, dass die Einrichtung und Löschung von Benutzerkonten durch den IT-Betrieb des Unternehmens geregelt sein muss. Der BSI bezeichnet diese als „Benutzendenkennung“ – kurz Benutzer-ID, welche einem Konto oder Account eindeutig zugeordnet ist. Weiter schreibt der BSI-Grundschutz vor, dass „nicht benötigte Benutzendenkennungen, wie z. B. standardmäßig eingerichtete Gastkonten oder Standard-Administrierendenkennungen, geeignet deaktiviert oder gelöscht werden MÜSSEN.“ Diese Information findest du im IT-Grundschutz-Baustein „Organisation und Personal“ ORP.4 Identitäts- und Berechtigungsmanagement als pdf zum Downloaden.

Und auf ComputerWeekly kannst du mehr zu dem Cyber-Risiko lesen, was es mit ungenutzten oder ehemaligen Mitarbeiterzugängen auf sich hat: Verwaistes Nutzerkonto oder orphaned account.

Externe Nutzerkonten stellen ein besonderes Risiko dar

Denn ein gängiges Einfallstor zu Firmen- und personenbezogenen Daten sind verwaiste Accounts von externen Mitarbeitern, Partnern oder Lieferanten. Meist verwalten Administratoren des Unternehmens diese manuell. Das stellt ein doppeltes Sicherheitsrisiko dar: Zum einen ist die manuelle Administration sehr fehleranfällig. Automatisierung gepaart mit einem Nutzer-Self-Service macht es Hackern grundsätzlich schwer regulär ins System zu kommen. Zum anderen weiß ein zentraler und meist überlasteter Administrator kaum, ob ein externer Nutzer gar nicht mehr auf seiner Position arbeitet. Es ist daher wenig verwunderlich, wenn solche ungenutzten Accounts die Hacker einladen sie zu kompromittieren.

Kompromittierte Konten sind oft das Einfallstor zu großen Cyber-Attacken

Wie kann das passieren? Wir schauen uns einen erfolgreichen Hackerangriff genauer an:

Bei der Neuen Zürcher Zeitung und dem Verlagshaus CH Media gab es im Jahr 2023 einen Hackerüberfall mit fatalen Folgen. Der Druck der Zeitung war zeitweise ausgesetzt. Eine zum Verbund gehörende Radiostation hatte keinen Zugriff mehr auf ihre Musikdaten. Ganz zu schweigen von der typischen Erpressungsmasche, die die Hacker an den Tag legten, vertrauenswürdige Mitarbeiterdaten ins Internet zu stellen. Es begann leise und längere Zeit (20 Tage) unbemerkt, wie bei so vielen anderen Attacken. Mit Ransomeware verschlüsselten die Hacker wichtige Server. Die eingesetzten Sicherheitssysteme sperrten zwar betroffene Konten, jedoch nicht alle. Es stellte sich heraus, dass die Angreifer erstmalig über ein ungenutztes Konto eines externen Softwarelieferanten in das Netzwerk der NZZ gelangten. Das besagte Konto verfügte nur über einen einfachen Zugang ohne den Schutz durch einen zweiten Faktor für die Authentisierung. Das Passwort und den Benutzernamen zum Konto hatten die Hacker vermutlich über einen Phishing-Angriff erbeutet. Da eine zuständige Sicherheitssoftware auch keinen Alarm schlug, ist der ganze Fall durchaus brisant. Denn er zeigt, wie erfahren mittlerweile Internetkriminelle agieren, um zu ihrem Ziel zu gelangen. Und, wie zerbrechlich eine solche Sicherheitskette sein kann, wenn es nur wenige unsichere Stellen gibt.

Unbedingt erforderlich: zeitnahe Löschung ungenutzter Lieferanten-Accounts

Da Unternehmen mit der voranschreitenden Digitalisierung oft überfordert sind, liegt es nahe, dass auch wenig Augenmerk auf die Zentralisierung von Diensten gelegt wird. Wie auch, mehr als 90 % aller Unternehmen setzen ein Active Directory ein zur Verwaltung ihrer Mitarbeiter. Solange dieses interne System auch schön getrennt war von äußeren Einflüssen und Anwendungen, kein Problem. Durch den Einsatz von Cloudtechnologien, dem Einbinden externer Nutzer und der Forderung nach mehr Automatisierung, gerät ein manuell administriertes System ins Stocken und offenbart große Cyber-Lücken. Es kommt zum Wildwuchs, wie es der IT-Grundschutz-Baustein beschreibt: Ein Nutzer verfügt meist über Konten für diverse IT-Systeme, die sich in unterschiedlichen Zuständigkeitsbereichen befinden. Zudem verwalten diese unterschiedliche Administrierende. Aus der Brille des Identity & Access Management ist das ein absoluter Alptraum.

Digitalisierung: interne und externe Systeme verschmelzen miteinander

Das Web ist in vielen Fällen direkter Umsatzträger und hat somit einen großen Einfluss auf den Geschäftserfolg eines Unternehmens. So steht die Forderung einer möglichst uneingeschränkten Nutzung im ständigen Zielkonflikt mit den Erfordernissen der Sicherheit. Das BSI schreibt zur Sicherheit von Webanwendungen: „Neben Webanwendungen, die zum Beispiel nur firmenintern über das Intranet bereitgestellt werden, finden sich im Internet häufig auch kostenpflichtige Anwendungen, deren Verfügbarkeit für den Anbieter von existenzieller Bedeutung ist. Anbieter, die diese kostenpflichtigen Dienste bereitstellen, müssen umfassende Sicherheitsmaßnahmen ergreifen, um das Risiko eines Umsatzausfalls zu minimieren.“ Dieser Wandel hin zu mehr webbasierter Nutzung aller Anwendungen erfordert andere Maßnahmen, wie die bisher gewählten.

Cyber-Regeln für Nutzerkonten helfen Hacker fernzuhalten

Zusammenfassend kannst du dir folgende Sicherheitsregeln für die Konten deiner Nutzer auf die Agenda schreiben:

  • Denke daran, dass deine Webanwendungen immer mit einem sicheren Logout ausgestattet sind, der für deine Nutzer einfach zugänglich ist. Das sorgt dafür, dass das zuvor genutzte Konto wieder inaktiv ist und keinen Angriffspunkt darstellt. Ein fehlender Logout ist vergleichbar mit einer nicht abgeschlossenen Eingangstür; wenn du außer Haus bist, schließt du sicherlich vorher deine Haustür ab, oder?
  • Biete deinen Nutzern einen umfangreichen Nutzer-Self-Service an. Die Datenschutzgrundverordnung, kurz DSGVO, schreibt sogar vor, dass Nutzer zum Schutz ihrer Daten das Recht haben, ihre ungenutzten Konten zu entfernen. Dabei musst du beachten, dass persönliche Daten nicht einfach so gelöscht werden, sondern sich der Nutzer diese vor der Löschung herunterladen darf oder du sie in einen portierbaren Zustand transformierst, bevor man sie löscht.
  • Stelle generelle Regeln auf, welche Konten oder Gruppen nur über minimale Berechtigungen verfügen sollten. Sichere hingegen administrative Konten durch ein geeignetes Berechtigungsmodell ab, z.B. PAM, Sicherheitsklassen, MFA, …
  • Trenne für alle Konten technisch den Zugang von den dazugehörenden Zugriffsberechtigungen. Das entspricht dem Zero Trust Prinzip und verhindert, dass Cyberkriminelle durch ein kompromittiertes Konto das System nicht nur lateral, sondern auch vertikal ausspionieren und dann attackieren.
  • Hinter jeder Anwendung steckt ein entsprechendes Business Modell, der Zweck des Einsatzes dieser Anwendung. Je nach Grund der Nutzung bestimmt sich auch die Regel, wann ein Konto, d.h. ein Zugang zu der Anwendung als inaktiv einzustufen ist oder eben noch nicht. Implementiere daraufhin eine automatische Routine, die alle Konten regelmäßig auf ihre Inaktivität prüft.
  • Statte Berechtigungen oder Kontengruppen (Mitarbeiter, Zeitarbeiter, Praktikant, Kunde, Lieferant, …) mit einem Zeitstempel aus. D.h. das System sperrt Berechtigungen oder Konten nach Ablauf einer gewissen Zeit bei Inaktivität. Eskaliere die Sperrung zu einer Löschung, wenn auch nach mehrfacher Benachrichtigung der Verantwortlichen (Kontonutzer und/oder zuständiger Administrator) keine Reaktion erfolgt.
  • Ernenne Delegierte Administratoren im Falle von externen, weiter entfernten oder dir unbekannten Nutzern. Delegierte Administratoren (Projekt- oder Teamverantwortliche, Kundenbetreuer, etc.) agieren wesentlich näher an diesen Nutzern und können die Situation zu deren Kontonutzung genauer einschätzen. Das erhöht stark die Sicherheit deiner Nutzerkonten. Mehr über das Thema Delegierte Administration kannst du hier erfahren.

All die oben beschriebenen Maßnahmen kannst du technisch mit einem IAM-System umsetzen. Sie sind Bestandteil des User-Life-Cycle, welcher automatisierte Routinen nutzt, um Daten und Konten zentral, sicher und aktuell zu speichern. Mit entsprechenden IAM-Workflows für den Bereich Housekeeping hast du so die Lage im Griff. Diese und viele weitere Cyber-Sicherheitsinstrumente sind Bestandteil unserer Philosophie sowie unserer Technologien, die wir einsetzen, da sie den Best Practices der Cyber-Sicherheit für Nutzerkonten entsprechen.

Willst du mehr darüber wissen? Kontaktiere uns gerne! Wir freuen uns über ein unverbindliches Gespräch mit dir zu den spannendsten IAM-Themen dieser Zeit.

Das war: Best Practices Cybersicherheit: inaktive Accounts

Hintergrund: Dass die Cyber-Kriminalität stetig ansteigt, ist kein Geheimnis. Es gibt Branchen, die besonders betroffen sind, wie z.B. der Gesundheitssektor oder die öffentliche Hand. Aber auch alle, insbesondere kleine und mittlere Unternehmen stehen häufig blank dar, wenn ihnen eine Hackergruppe die Zugänge sperrt und sie mit der Veröffentlichung sensibler Daten erpresst.