Compliance ist noch lange keine IT-Sicherheit
Mit Compliance-Regeln beseitigen Unternehmen weder IT-Schwachstellen, noch verhindern sie Cyberangriffe. Gerade Versicherungen müssen den elementaren Schutz privilegierter Konten in den Mittelpunkt stellen, wenn sie ihre IT absichern wollen.
Eine Schwalbe macht noch keinen Sommer, und so ist Compliance auch keine Garantie für eine bessere IT-Sicherheit: Compliance-Regeln stellen oft die Dokumentationspflicht in den Mittelpunkt und liefern kaum konkrete Ansatzpunkte für eine gezielte Erhöhung der IT-Sicherheit. Auch das für Versicherungen geltende IT-Sicherheitsgesetz für Kritische Infrastrukturen macht primär Vorgaben zur Überwachung und Dokumentation. Versicherungen fallen aber auch unter die Auflagen der BaFin, die deutlich konkretere Vorgaben enthalten. So sind die festgelegten Regelungen für den Umgang mit privilegierten Accounts in den versicherungsrechtlichen Anforderungen an die IT (VAIT) beschrieben: Dazu zählen unter anderem Absicherung der privilegierten Zugänge, Protokolle über die genaue Nutzung der Accounts und die Einführung eines Informationssicherheitsbeauftragten.
Viele Anbieter von Sicherheitslösungen verbinden Compliance- und Sicherheitsaspekte mittlerweile deutlich enger miteinander, vor allem innerhalb von Lösungen für die automatisierte Verwaltung von privilegierten Benutzerkonten, wie sie beispielsweise Administratoren einsetzen. Das ist eine erfreuliche Entwicklung, denn ungesicherte privilegierte Accounts stellen ein zentrales Einfallstor für Insider- und Cyber-Attacken dar. Angreifer eignen sich nach Überwindung der Firewall einen weitreichenden Administrations-Zugriff auf IT-Systeme an. Damit können sie innerhalb des Unternehmensnetzwerks wie Administratoren agieren, auf jede Datei und Information zugreifen und verändern sowie sich selbst beliebige Berechtigungen erstellen.
Eine Lösung für die Verwaltung von privilegierten Benutzerkonten, auch PAM (Privileged-Access-Management) genannt, muss mindestens diese Funktionen bieten: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit
Privilegierte Zugriffe in der Versicherungsbranche absichern
Versicherungen müssen zunächst privilegierte und administrative Benutzerkonten identifizieren, bevor sie entsprechend gesichert werden können. Privilegierte Accounts finden sich neben der allgemeinen IT im Versicherungswesen zusätzlich vor allem dort, wo mit Kundendaten gearbeitet wird, da hier neben der allgemeinen Schutzanforderung noch die besondere Schutzwürdigkeit hinsichtlich der DSGVO hinzukommt. Diese Daten liegen auf Datenbanken, die auf zentralen Servern gespeichert sind. IT-Administratoren nutzen hochprivilegierte Zugriffe, um auf der Datenbank arbeiten, Konfigurationen anpassen, Rechte verändern und Updates aufspielen zu können. Wenn Angreifer sich diese Passwörter aneignen, erlangen sie Zugriff auf das Admin-Konto und können so Kundendaten abgreifen oder verändern. Eine Verschlüsselung der Daten innerhalb der Datenbank bietet in diesem Angriffsszenario wohlgemerkt keinen Schutz, da es sich um einen aus technischer Sicht legitimen Zugriff handelt.
PAM-Lösungen müssen zunächst privilegierte Konten automatisch erkennen und analysieren. Priorität haben hier die Konten, von denen die größten Gefahren ausgehen. Dazu zählen sogenannte Shared Accounts wie Administratoren- und Dienste-Konten in Windows oder Administrator-Konten für Datenbanksysteme, die von mehreren Personen genutzten werden oder automatisch bei der Installation angelegt wurden. Bei solchen Shared Accounts kann nicht kontrolliert werden, welcher individuelle Mitarbeiter ein Konto wann und zu welchem Zweck verwendet hat. Das bedeutet, dass eine revisionssichere Überprüfung der Verwendung eines solchen Kontos bis auf die Personenebene nicht möglich ist. Nicht benutzte Konten, die noch aktiv sind, sind ebenfalls eine Einladung an Angreifer. Sie sind unbeobachtet und werden daher von Sicherheitsregeln oft nicht erfasst.
Lösungen zur Sicherung von Benutzerkonten sollten auf jeden Fall neben einer regelmäßigen, automatischen Änderung aller Passwörter auch die Möglichkeit einer vollständigen Nachvollziehbarkeit sämtlicher Aktivitäten bieten. Mittels solcher Session-Protokolle kann nicht nur überprüft werden, wer Zugang zu vertraulichen Informationen hatte, sondern auch, auf welche er zugegriffen und was er mit diesen Informationen gemacht hat.
Sofortmaßnahmen zur Sicherung privilegierter Accounts
Mit geringem Aufwand können Versicherungen diese Gefahren mit einer PAM-Lösung in kürzester Zeit abwehren. In einem ersten Schritt sollte die IT Sicherungsmaßnahmen für den Schutz privilegierter Zugangsdaten der Windows-Domäne implementieren. Drei zentrale Aufgaben sind für diese Implementierungsphase wichtig: Als erstes müssen die Accounts identifiziert werden; ohne großen Zeitaufwand können die Administrator-Accounts in Windows mithilfe des Active Directory und der lokalen Administrator-Gruppen ermittelt werden. Manuell vergebene Rechte müssen allerdings ebenfalls betrachtet werden. In einem zweiten Schritt sollte der Fokus auf die Accounts, die das größte Risiko darstellen, gelegt werden. Das betrifft die Verwaltung und Sicherung der Accounts mit den umfangreichsten Rechten, etwa Domain-Administrator-Accounts und Administrator-Accounts. Drittens sollte die IT als Sofortmaßnahme initiale Kontrollmechanismen implementieren, die dann im Laufe der Zeit erweitert werden; ein möglicher Startpunkt ist, den Accounts für Workstation-Nutzer administrative Privilegien zu entziehen.
Compliance-Regelungen geben zwar auch in der Versicherungsbranche die Richtung vor, aber erst die richtigen Lösungen schaffen auch die erwünschte hohe Sicherheit. Vor allem an der Nutzung einer Lösung zur Sicherung, Verwaltung und Überwachung privilegierter Accounts und Zugangsdaten führt kein Weg vorbei.
Im Gartner 2020 Magic Quadrant for Privileged Access Management¹ wird gezeigt, wie Privileged Access Management dazu beitragen kann, privilegierte Accounts und die wichtigsten Daten, Infrastrukturen und Vermögenswerte von Versicherungen zu schützen. Hier steht ein kostenloses Exemplar des Gartner 2020 Magic Quadrant for Privileged Access Management zum Download bereit.
¹ Gartner, Magic Quadrant for Privileged Access Management, Felix Gaehtgens, Abhyuday Data, Michael Kelley, 4. August 2020
Gartner empfiehlt keine der Lösungsanbieter, Produkte oder Dienstleistungen in seinen Forschungspublikationen und rät den Nutzern der Technologien auch nicht, ausschließlich Anbieter mit den höchsten Bewertungen oder anderen Einstufungen zu wählen. Die Forschungspublikationen von Gartner stellen die Meinung der Forschungsabteilung von Gartner dar und dürfen nicht als Tatsachenbericht verstanden werden. Gartner schließt alle ausdrücklichen oder stillschweigenden Gewährleistungen hinsichtlich dieser Recherche aus, einschließlich jeglicher Gewährleistung in Bezug auf Marktgängigkeit oder Eignung für einen bestimmten Zweck.