User-Konten verwalten
So sollten Sie mit verwaisten Konten umgehen
Foto: 22 TREE HOUSE - shutterstock.com
Wie oft haben Sie bereits für einen einmaligen Anlass ein Konto auf einer Webseite erstellt und es danach nicht mehr genutzt? Zum Beispiel, wenn es den gewünschten Artikel auf der sonst genutzten Shopping-Seiten nicht mehr gibt, aber ein anderer Online-Händler diesen vorrätig hat. Oder wenn man ein Test-Abonnement abschließt, dieses dann aber nicht verlängern möchte. Statt das Konto nun zu löschen, lässt man es ruhen, weil man es ja nochmal brauchen könnte oder weil man es schlicht vergessen hat.
Im Alltag haben triviale Fälle dieser sogenannten verwaisten Konten meist keine gravierenden Konsequenzen, solange man sie ausreichend schützt und keine sensiblen Zahlungsinformationen hinterlegt hat, die entwendet werden können.
Was sind verwaiste Konten?
In der IT-Sicherheit haben diese verwaisten Konten jedoch eine weitere Bedeutung und beschreiben Konten, die nicht über einen aktiven Benutzer verfügen. Aktive Identitäten sind solche, die innerhalb einer Organisation derzeit eine Verantwortlichkeit inne haben, sei es als Voll- oder Teilzeitangestellter, Drittanbieter oder Maschinenidentität. Viele Identitäten benötigen eine Vielzahl von Konten, um auf verschiedene Anwendungen oder Datensätze zugreifen zu können, da ihre Aufgaben je nach aktueller Funktion variieren können. Wenn Personen oder Maschinenidentitäten jedoch nicht mehr in einer bestimmten Rolle oder überhaupt nicht mehr in der Organisation tätig sind, sollten die Konten gelöscht werden. Das geschieht aber oft nicht.
Ein verwaistes Konto kann daher für Unternehmen schwerwiegende Spätfolgen nach sich ziehen, darunter Sicherheits-, Effizienz- und Compliance-Gefahren. Außerdem sind sie ein einfaches und begehrtes Ziel von Hackern, da diese Konten eine Kombination aus übermäßiger Bereitstellung von Privilegien und unzureichender Überwachung darstellen. Deshalb ist ihr Vorhandensein oft eine Schlüsselkomponente bei Sicherheitsprüfungen. Unternehmen sollten also ihre Identitäten im Blick behalten. Dafür gibt es Technologien, die die Verwaltung erleichtern und somit auch die Erfüllung von Compliance- und Audit-Vorgaben.
Identity Governance and Administration
Für Identity-and-Access-Management-Gruppen (IAM) ist der richtige Umgang mit verwaisten Konten von entscheidender Bedeutung, damit keine Schlupflöcher in der eigenen IT-Abwehr entstehen. Denn diese Konten können mit sehr vielen Privilegien über ihre Lebenszeit ausgestattet worden sein, aber nun ist der zugehörige Mitarbeiter nicht mehr tätig und das Konto fliegt unter dem Radar der Sicherheitskräfte – ein gefundenes Fressen für Hacker.
Die Einrichtung von Kontrollen in Form von Lösungen für die Identity Governance and Administration (IGA), die solche Konten automatisch identifizieren und melden, trägt daher viel zum Erfolg jeder Firma bei. Die Konten müssen entweder eliminiert oder neu zugewiesen werden. Es sollte niemals ein Konto existieren, hinter dem kein Angestellter steht.
Sicherheitsteams sollten hierbei den Unterschied zwischen IAM- und IGA-Lösungen beachten: IGA gilt als der Oberbegriff und hilft dabei, IAM-Richtlinien zu definieren und durchzusetzen.
Identitäten stetig überwachen
Die Sicherheitsmitarbeiter müssen äußerst wachsam sein, wenn es darum geht, Konten zu identifizieren, die nicht genutzt werden, anderweitig nicht mit einem aktiven Benutzer verknüpft sind, oder deren Besitzer seine Rolle im Unternehmen geändert hat. Es reicht nicht, das Nutzerkonto einmal anzulegen. Sie müssen den gesamten Lebenszyklus einer Identiät verfolgen. Entsprechende Lösungen entziehen automatisch den Zugriff, wenn ein Nutzer eine Position im Unternehmen ablegt. Dies lohnt sich besonders für Konten, die mit einem Active-Directory-Benutzer zugeschrieben sind und somit hohe Nutzerberechtigungen haben.
Vorsorge ist besser als Nachsicht
Verwaiste Konten können eine enorme Gefahr darstellen, wenn sie nicht beseitigt werden, denn es drohen Datenschutzverletzungen, Hacker-Angriffe, Verwirrung, Bußgelder und vieles mehr. Aus diesem Grund ist es sinnvoll, entweder von Beginn an eine IGA-Lösung zu implementieren, um stets Ordnung zu halten, oder in einem bestehenden Netzwerk so schnell wie möglich eine solche Lösung einzuführen, um die Unordnung endlich aufzuräumen. Das schafft mehr Sicherheit, spart Zeit, Geld und Nerven. (ms)