Erweiterung der BAIT: Überwachung privilegierter Benutzer

Publish date:

Durch die Erweiterung der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) konkretisierte die BaFin ihre Vorgaben zur Umsetzung von Geschäftsprozessen mithilfe von IT in allen deutschen Kreditinstituten und Finanzdienstleistungsinstituten. Einer der Fokusbereiche liegt hierbei auf der Überwachung privilegierter Nutzer, wie zum Beispiel administrative Nutzerkonten oder Nutzerkonten mit erweiterten Rechten (Poweruser/ Superuser). Diese bieten uneingeschränkten und oft auch unüberwachten Zugriff auf kritische Ressourcen des Unternehmens, wodurch für sie ein besonderer Bedarf an Verwaltung und Überwachung gilt. Wir möchten hier aufzeigen, welche Möglichkeiten es zur Überwachung gibt.

Erweiterung der BAIT – Die verschärften Anforderungen an das User-Access-Management

 Die-Uebearbeitung-der-BAIT-vom-26.10.2020_Capgemini-Invent
Abbildung 1: Die Übearbeitung der BAIT vom 26.10.2020

Die Überarbeitung/Erweiterung der BAIT vom 26.10.2020 spezifiziert die acht in der Grafik sichtbaren Bereiche. Wir widmen uns hier im weiteren Detail dem Bereich User-Access-Management, welcher in neun Themen gegliedert ist (siehe Abbildung 1).

Ein Großteil der spezifizierten Bereiche werden bereits durch die strikte Einhaltung des klassischen User-Access-Managements/Identity-Access-Managements (IAM) abgedeckt. Ein besonderer Fokus liegt deshalb auf der Verwaltung administrativer und privilegierter Berechtigungen. Das Gefahrenpotenzial dieser Berechtigungen ist deutlich erhöht und wird im klassischen IAM häufig nicht ausreichend berücksichtigt und auch vom IT-Audit nicht mehr als ausreichend bewertet. Dadurch sind folgende Punkte aus der erweiterten Fassung der BAIT besonders relevant:

  • Alle, aber insbesondere kritische Privilegien, müssen immer wieder überprüft und der Prozess der Vergabe und Rezertifizierung angemessen dokumentiert werden. [Abschnitte 6.2, 6.6]
  • Jeder privilegierte Zugriff muss – auch bei nicht personalisierten Aktivitäten – einer handelnden bzw. verantwortlichen Person zuzuordnen sein [Abschnitt 6.3]
  • Es sind Regeln zu definieren, die ungewöhnliche Verhaltensmuster – auch mit den nötigen Privilegien – erkennen [Abschnitt 5.4]

Privileged Identity/-Access-Management

Durch eine erweiterte Überwachung, Protokollierung und effiziente Verwaltung privilegierter Identitäten und Accounts mittels PIM/PAM (Privileged Identity/­Access Management) können regulatorische und Informationssicherheitsanforderungen an Cyber-Security erfüllt werden. Die Verantwortlichkeit für die Einführung dieser liegt typischerweise im Informationssicherheitsmanagement, speziell im Berechtigungsmanagement. Bei der Implementierung eines effizienten PAM stehen erfahrungsgemäß zunächst folgenden Schlüsselfragen im Raum:

  • Werden die regulatorischen und informationssicherheitsrelevanten Vorgaben in der Governance und den Prozessen berücksichtigt?
  • Ist ein umfassendes Eventmanagement im Sinne der Überwachung und Protokollierung von sicherheitsrelevanten Vorfällen (SIEM – Security Incident & Eventmanagement) etabliert?
  • Ist die Implementierung eines PAM-Tools in den Systemen hinsichtlich der Überwachung, Protokollierung und Auswertbarkeit realisierbar?
  • Sind informationsrisikomitigierende Maßnahmen bis hin zu organisatorischen Regelungen im Rahmen eines umfassenden PAMs im Unternehmen etabliert und anerkannt/akzeptiert?

Kosteneffizient regulatorisch compliant und sicher vor Angriffen

Die Überwachung privilegierter Rechte und Konten ist keineswegs nur für die Erreichung der regulatorischen Compliance sinnvoll. Sie kann durch innovative Ansätze kosteneffizient Sicherheit vor Angriffen bieten und das Unternehmen somit vor Risiken schützen.

Ziel 1: Sicherheit

Die uneingeschränkte, nicht überwachte und gemeinsame Nutzung privilegierter Konten schränkt die Überprüfbarkeit und die Nachvollziehbarkeit persönlicher Verantwortlichkeiten stark ein. Beispiel hierfür kann die Berechtigung aller Entwickler oder Systemadministratoren mit vollumfänglichen Superuser-Rechten sein. Dies stellt mitunter einen massiven Verstoß gegen das Prinzip minimaler Rechte dar, was in diesem Fall besonders brisant ist, da privilegierte Rechte betroffen sind. Eine mangelhafte Zugriffsverwaltung privilegierter Konten kann darüber hinaus zur Anhäufung übermäßiger Privilegien (Rechteakkumulation), verwaisten Konten, Inhaberschaftskonflikten und anderen Governance-Problemen führen. Die Risiken sind enorm:

  • über diese Benutzerkonten und kompromittierte Anmeldeinformationen ist ein uneingeschränkter Zugriff auf Unternehmenssysteme und vertrauliche Daten möglich
  • bestehende Security-Barrieren können umgangen und ausgeschaltet werden

In der Folge können sensible Unternehmensdaten entwendet oder der reguläre Geschäftsbetrieb beeinträchtigt werden. Im Fall eines erfolgten ungewollten Zugriffs kann nicht kontrolliert werden, welche*r Mitarbeitende ein Konto wann und wozu verwendet hat, da eine revisionssichere Überprüfung der Verwendung eines generischen Kontos bis auf die Personenebene oft nicht möglich ist.

Daher besteht hinsichtlich der privilegierten IT-Berechtigungen nicht nur ein erhöhter regulatorischer Druck, sondern auch ein hohes Eigeninteresse der Banken speziell die Aktivitäten administrativer Accounts über eine entsprechende Aufzeichnung (detektiv) und angemessene Überwachung (präventiv) abzusichern.

Ziel 2: Kosteneffektivität und Performance

Das Risk- und Security Management der Banken steht in der Pflicht, die privilegierten Zugriffe risikobewusst zu verwalten. Gleichzeitig sollen die Service-Leistungen der IT durch das Management privilegierter Zugriffe nicht übermäßig beeinträchtigt und nicht unnötig zusätzliche Aufwände verursacht werden.

Die Lösung ist der Ansatz, das klassische Identity und Access Management (IAM) um das Management privilegierter Identitäten & Konten zu erweitern.

Identity & Access Management befasst sich im klassischen Sinne mit der Verwaltung und Pflege von Befugnissen von Identitäten der gesamten IT-Infrastruktur. D.h. wer darf welche Berechtigungen haben? Privileged Access Management erweitert diese Funktionalität um den Anspruch der Überprüfbarkeit aller Aktionen, die mit privilegierten Berechtigungen innerhalb der Applikation bzw. IT-Komponente durchgeführt wurden. D.h. wer hat was konkret mit seinen Berechtigungen innerhalb einer Anwendung real getan?

Für IT-Systeme, welche keine ausreichende Protokollierung aller Aktivitäten selbst vorhalten, wird dies typischerweise mit marktgängigen PAM-Lösungen erzielt. Diese Lösungen sind oftmals mit hohen Kosten für Software und Einführung verbunden, es gibt jedoch weitere innovative Ansätze, um ein effizientes und nachhaltiges PAM zu etablieren:

  • Nutzung des Event-Managements für die Überwachung
  • Automatisierung der Kontrollen über Schnittstelle zwischen den ITSM-Prozessen
  • Nutzung des Incident-Prozesses auch für Security-Incidents
  • Abbildung der Kontrollen im Incident-Prozess
  • Nutzung von Einmal-Passwörtern für privilegierte Konten
  • Führung von Listen mit Benutzungszeiten von administrativen Accounts

Einführung von PAM durch einen klar definierten Prozess

Die Einführung eines effizienten PAM kann durch einen klar definierten Prozess erreicht werden. Die Grafik zeigt diesen in einem vier-Schritte Vorgehen auf:

PAM-Einführung-mithilfe-eines-klar-definierten-Prozesses_Capgemini-Invent
Abbildung 2: PAM-Einführung mithilfe eines klar definierten Prozesses
  1. Im ersten Schritt sind zunächst alle IT-Berechtigungen in Abhängigkeit vom Schutzbedarf über alle Ebenen des „IT-Stacks“, d. h. von der Anwendungsschicht bis hin zu den Netzwerkkomponenten zu überwachen. PAM-relevant sind dabei vornehmlich die Berechtigungen der höheren Schutzklassen, die es Usern ermöglichen, sich über Beschränkungen, Vorgaben und Kontrollen hinwegzusetzen. Zum Beispiel sind das Rechte, die das Umgehen/Aushebeln von Sicherheitsmechanismen oder die Veränderung von Konfigurationseinstellungen ermöglichen.
  2. Anschließend an diese Bewertung des Berechtigungsbestands müssen Anzahl und Umfang im Rahmen einer Bereinigung und anschließenden Rezertifizierung minimiert werden. Das Prinzip der minimalen Rechte wird somit auch im Rahmen privilegierter Berechtigungen erzwungen und die Menge der privilegierten Konten wird auf ein nötiges Minimum reduziert.
  3. Für betroffene Systeme müssen PAM-Prozesse und Steuerelemente eingeführt und in die bestehenden IAM-Prozesse integriert werden. Ein möglicher Ansatz hierfür ist die Implementierung eines PAM-Tools, das vertrauenswürdige Authentifizierungsmethoden für privilegierte Zugriffe und die Protokollierung sowie Überwachbarkeit mittels Session Recording sicherstellt. Geeignete PAM-Tools und andere kompensierende Methoden, etwa innerhalb der Systeme oder über ein existierendes Security Information & Event Management (SIEM), müssen dafür evaluiert werden. Aufeinander abgestimmt, kann so ein effektives Zugriffs- und Aktions-Management implementiert werden, welches eine toolbasierte veränderungssichere Protokollier- und Überwachbarkeit aller Aktivitäten im Zusammenhang mit privilegierten Rechten ermöglicht.
  4. In einem weiteren Schritt ist die Zuweisung privilegierter Berechtigungen durch eine definierte Verantwortlichkeit zu managen. Auch die Möglichkeit der zeitlichen Beschränkung ist hierbei vorzusehen. So kann eine privilegierte Zugriffsverwaltung/-steuerung in Kraft treten und es werden lediglich kurzfristig Mindestprivilegien gewährt, die zur Ausführung entsprechender Tätigkeiten erforderlich sind. Mit Blick auf die Nachhaltigkeit ermöglicht dieses Vorgehen auch nach einer initialen Bereinigung die Menge der privilegierten Konten und Rechte dauerhaft gering zu halten. Denn das Ziel einer solch komplexen und aufwändigen Methodik ist die langfristige Gewährleistung der vollumfänglichen Transparenz über die Nutzung der relevanten privilegierten Konten sowie deren Aktivitäten und die Möglichkeit zeitnaher mitigierender Maßnahmen.

Fazit – Der Mehrwert effizient verwalteter Rechte ist vielfältig

Bisher umgesetzte regulatorische Vorgaben im Rahmen des IAM waren der initiale Baustein für ein effizientes und nachhaltiges Berechtigungsmanagement. Ein Risiko-orientierter Blickwinkel richtet sich nun auf die Notwendigkeit des PAM und dessen risikomitigierenden Nutzen. Im Jahr 2021 werden Unternehmen mit Privileged Identity & Access Management ein um mindestens 50 Prozent geringeres Risiko durch die Auswirkungen von Advanced Threats als Marktteilnehmer ohne entsprechend umgesetzte Maßnahmen aufweisen. Der aktuelle Umsetzungsstand unserer Kunden zeigt uns, wie herausfordernd die Umsetzung eines integrierten Ansatzes ohne entsprechende Best Practices-Erfahrungen ist. Gleichwohl ein Großteil der Banken bereits mit der Einführung sogenannter PAM-Tools begonnen hat, so gilt es nun, die angeschafften Technologien sinnvoll und effizient zu orchestrieren. Aus Angemessenheits- und Kostensicht sind zudem die Regelwerke institutsspezifisch zu optimieren, da das Handling von übermäßig vielen „false positives“ wichtige und essenzielle Ressourcen bindet.

Weitere Posts

BAIT

BAIT 2021 (FS) – Haben Sie bereits die neuen Anforderungen der BAIT umgesetzt?

Friedrich Haase
Date icon September 9, 2021

Die bankaufsichtlichen Anforderungen an die IT (BAIT) werden erstmals seit 2018 aktualisiert...