+49 30 3642803 0 | info@permsecure.com​

Principle of Least Privilege (PoLP): Sicherheit durch limitierte Zugriffsrechte

permSECURE - Principle of Least Privilege

Die Datenschutz-Grundverordnung der Europäischen Union (EU-DGSVO) ist seit Mai 2018 in Kraft und stellt jedes Unternehmen vor neue und erhöhte Anforderungen an den Datenschutz.  
Das Verarbeiten personenbezogener Daten, sei es von Kunden, Geschäftspartner und auch der eigenen Mitarbeiter, ist durch geeignete Maßnahmen zu schützen, um Missbrauch derer zu unterbinden. Bei Nichteinhaltung der DSGVO drohen neben empfindlichen Bußgeldern auch ein Gesichtsverlust, weil jeder Vorfall gemeldet und alle betroffenen Personen darüber informiert werden müssen. 

Das Principle of Least Privilege kann ein Mittel sein, um die im Unternehmen verarbeiteten Personendaten zu schützen, ohne den Betriebsablauf zu beeinträchtigen.

Inhalt

Was ist das Principle of Least Privilege (PoLP)?

Das Least Privilege Prinzip (PoLP – Principle of Least Privilege) ist ein Konzept, welches der Daten- und Informationssicherheit dient. 
Es basiert darauf, dass ein Benutzer (oder ein System) nur so viele Berechtigungen auf bestimmte Daten erhält, die er für die Ausführung seiner Aufgaben im Unternehmen benötigt – und nicht mehr. 

Die ursprüngliche Formulierung dieses Prinzips stammt von Jerome Saltzer, einem US-Computerwissenschafler am MIT und erschien zum ersten Mal im Fachjournal „Communications of the ACM“: 

“Every program and every privileged user of the system should operate using the least amount of privilege necessary to complete the job.”

Man geht beim PoLP von der Grundannahme aus, dass ein Mitarbeiter seiner Arbeit nicht nachgehen kann, wenn er nicht über Mindestzugriffe im Unternehmen verfügt.  

Dieses Prinzip ist noch heute ein wichtiger Bestandteil einer professionellen Identity- und Access Management-Strategie.

permSECURE - Shouting Man

Laden Sie unser Whitepaper herunter!

Darin erfahren Sie alle notwendigen Schritte zur erfolgreichen Implementierung eines IAM Systems.

PoLP und die Realität

Historisch bedingt sieht die Realität in vielen Unternehmen so aus, dass weiterhin ein sog. „Privilege Creep“ betrieben wird. Darunter versteht man das Sammeln von Berechtigungen und Zugriffen durch einen Mitarbeiter, während seines gesamten User LifeCycles. Doch wie kommt es zu dieser Sammelflut? Ein Beispiel. 

Zum Beginn seiner Tätigkeit wird der neue Mitarbeiter mit den geringsten Berechtigungen ausgestattet, weil es der Onboarding-Prozess so vorsieht. Dann bekommt der Benutzer z.B. nur seinen Account, ein Postfach, ein Homeverzeichnis und Zugriffe auf Ordner seiner Abteilung und derer, welche für alle im Zugriff sind. So weit, so gut.  

Häufig kommt es aber auch vor, dass Berechtigungen eines bestehenden oder ehemaligen Mitarbeiters aus Zeitgründen auf den neuen Mitarbeiter kopiert werden – ohne diese vorher zu überprüfen. 

Dann bekommt der Mitarbeiter seine ersten Projekte und seine Zugriffe werden erweitert.  
Das Gleiche gilt bei ad hoc-Aufträgen. Diese sollen schnellstens erfüllt werden und wobei Berechtigungen auch schnell mal am Genehmigungsprozess vorbei vergeben werden.  

Auch ein Abteilungswechsel des Mitarbeiters ist mit neuen Berechtigungen und Zugriffen verbunden. 

Auch der Trend zum HomeOffice in den letzten zwei Jahren tut sein Übriges, um einem Mitarbeiter seinen Zugriff zu erweitern (z.B. durch einen VPN-Zugang oder Zugang zu Webanwendungen, welche er vom HomeOffice nutzen soll/muss). 

Alle oben beschriebenen Szenarien sind nicht unüblich und kommen sehr häufig in Unternehmen vor. Das eigentliche Problem dabei ist, dass die alten bzw. nicht mehr notwendigen Berechtigungen dem Mitarbeiter während seines LifeCycles (und häufig auch darüber hinaus), nicht mehr entfernt werden. Somit sammelt der Mitarbeiter fleißig Zugriffe im Unternehmen und wird zu einem „Privilege Creeper“.

Warum ist das Least Privilege Prinzip wichtig?

Das Least Privilege Prinzip kann als Bestandteil der Endpoint-Security dabei helfen, dass sich Malware, Trojaner und Ramsonware nicht unkontrolliert in Systemen und der Infrastruktur ausbreiten können. Durch eine kontrollierte Berechtigungssteuerung schränken Sie die Fortbewegungsmöglichkeiten der Schadsoftware direkt von Ihrem Einfallstor (Phishing-Mails, Zero-Day-Exploits, Software Security Bugs, …) ein.  
Besonderes Merkmal ist in diesem Zusammenhang auf Administrator- und Superuser-Konten (z.B. Datenbank-, Netzwerks- und Systemadministratoren) zu legen. Da diese Kontenarten in der Regel über wenige, aber dafür weitreichende Berechtigungen verfügen, sind sie für Angriffe ein gern gesehenes Ziel. 

Ein weiterer Einsatzpunkt für das PoLP gilt für die Verhinderung von Datenmissbrauch. Natürlich geht man nicht davon aus, dass ein Mitarbeiter Daten des Unternehmens stehlen wird. Trotzdem tut man gut daran, die Vergabe von Berechtigungen für einen Mitarbeiter auf das Minimum zu begrenzen. Häufig wird das Arbeiten von Zuhause über VPN den Mitarbeitern angeboten und dabei vergessen, sich über eine „Data Loss Prevention“ Gedanken zu machen.  
In diesem Zusammenhang darf man auch ehemalige Mitarbeiter nicht außer Acht lassen. Haben diese noch aktive Zugriffsberechtigungen, welche ggf. beim manuellen Offboarding übersehen wurden sind, bilden diese auch eine Gefahr für die Datensicherheit. 

Oft vergibt die IT-Abteilung Berechtigungen an z.B. Abteilungsleiter, damit diese die Berechtigungen auf ein System oder Bereich selber steuern können. Diese delegiert damit die Berechtigungssteuerung an den Fachbereich und spart zusätzlich Zeit, da es eine Aufgabe weniger zu erledigen gibt. Eigentlich ein guter Ansatz – jedoch mit einem Schönheitsfehler.  
Ohne den Einsatz einer IAM Lösung, in der das PoLP und die Genehmigungsregularien implementiert werden, ist die IT nicht mehr in der Lage, alle vergebenen Berechtigungen und Zugriffe der Mitarbeiter nachzuvollziehen und auszuwerten. Spätesten beim nächsten firmeninternen Audit ist die ursprüngliche Zeitersparnis dahin, weil man dann als IT-Abteilung jeden Fachbereich mit einbeziehen muss, um alle für das Audit erforderlichen Berichte zusammen zu sammeln. 

Durch den Einsatz von PoLP in Datenschutzkonzepten ist es möglich, Compliance-Anforderungen einzuhalten und interne Audits zu optimieren. Neben den Richtlinien der DSGVO sind in Deutschland auch die Vorgaben des BSI (Bundesamt für Sicherheit in der Informationstechnik) für Unternehmen relevant. Im Baustein ORP.4 des BSI steht geschrieben, dass der “Zugang zu schützenswerten Ressourcen einer Institution auf berechtigte Benutzer und berechtigte IT-Komponenten einzuschränken“ ist. Darüber hinaus müssen alle zugelassenen Benutzerkennungen, -gruppen und Rechteprofile lückenlos dokumentiert werden. 

Suchen Sie eine professionelle Beratung?

Benötigen Sie Unterstützung bei der Einführung eines IAM Systems? Sprechen Sie uns gerne an!

permSECURE - Shouting Woman

Effektiver Einsatz von PoLP

Die Grundvoraussetzung für einen effektiven Einsatz von PoLP ist die Implementierung eines Identity- und Access Management Systems (IAM Systems), welches Funktionalitäten zum regelkonformen Datenschutz bietet, sowie ein geregeltes Berechtigungsmanagement für alle im Unternehmen eingesetzten Systeme und die Infrastruktur. Das Konzept muss dabei sowohl eine „Inventur“ aller Berechtigungen im Unternehmen beinhalten als auch das Aufräumen überflüssiger und falscher und das Optimieren bestehender Berechtigungsstrukturen. 

Liegt diese vor, so kann dann das Least Privilege Prinzip darauf aufgesetzt werden, in dem man sog. Berechtigungspakete aufbaut und diese in das IAM mit einbindet. Solch ein Paket beinhaltet immer alle notwendigen Berechtigungen für einen Personenkreis (z.B. Abteilungen) oder eine Aufgabe (z.B. Systemverwalter CRM). Somit hat man klar voneinander abgegrenzte Berechtigungsstufen, welche an entsprechende Mitarbeiter vergeben werden können. Zusätzlich erleichtern solche Pakete die Dokumentation und die Nachvollziehbarkeit von vergebenen Berechtigungen. 
Die beschriebenen Berechtigungspakete lassen sich auch gut mit dem Role Based Access Control (RBAC) vergleichen. Dieses Konzept sieht vor, dass Zugriffsrechte nicht nach Einzelbenutzer, sondern anhand definierter Rollen vergeben werden, welche sich z.B. aus Abteilung, Funktion, Standort und Kostenstelle eines Mitarbeiters in der Organisation ergeben. 

Moderne IAM Systeme bieten die Möglichkeit, diese Berechtigungspakete abzubilden und auch automatisch und revisionssicher an die Mitarbeiter zu verteilen. Dabei setzt das System auf ein Regelwerk, welches die Personenstammdaten eines Mitarbeiters oder technische Accounts regelmäßig oder bei Änderungen überprüft und die Pakete entsprechend zuweist oder auch entzieht.  
Somit kann sichergestellt werden, dass ein Mitarbeiter im Rahmen seines Onboardings eine Grundausstattung von Rechten erhält, welche im Rahmen von Changes an den Mitarbeiter automatisch angeglichen und beim Offboarding auch komplett wieder entzogen werden. 

Zusammenfassend kann man sagen, dass das Least Privilege Prinzip ein guter Ansatz ist, um die Datensicherheit in einem Unternehmen zu steigern und die gesetzlichen Vorgaben durch die DSGVO und des BSI zu realisieren. Unabhängig davon, ob man als KMU die Berechtigungen anhand des festgelegten Konzeptes manuell verwaltet oder durch den Einsatz eines IAM Systems automatisiert.

Über den Autor:

Bartosz Grodzicki
Bartosz Grodzicki ist Senior Consultant bei der Firma permSECURE. Bereits seit 2013 konzeptioniert und begleitet er IAM-Projekte und unterstützt Kunden dabei, ihre Benutzer- und Ressourcenverwaltung zu optimieren.