Sicherheit

Benötigen Sie eine Cyber-Versicherung? Dann benötigen Sie wahrscheinlich auch PAM.

Immer mehr Anbieter von Cyber-Versicherungen verlangen als Voraussetzung für den Versicherungsschutz, dass Unternehmen über eine Verwaltung privilegierter Zugriffe (PAM) verfügen. In diesem Artikel gehen wir der Frage nach, warum die Versicherungsunternehmen diesen Standpunkt vertreten und zeigen auf, welche Kontrollen durch PAM sie erwarten.

Maurice Côté

Still a software developer at heart, I am the products VP at Devolutions, tasked with helping our corporate customers in using our products efficiently, and making sure that our products fulfill their needs by monitoring our workspace in the IT industry. I have worked many years in the Medical Software field, and was 'that' Dev who was always taking care of the network infrastructure because... well... we could not afford to hire an IT guy. This makes me especially in tune with the business requirements of IT staff. Some would say I know just enough to be dangerous, but that's another story...

View more posts

Diese neueste Meldung aus der Landschaft der Cybersicherheit enthält einige gute... und einige schlechte Nachrichten. Wie es Tradition ist, befassen wir uns zunächst mit dem Negativen, bevor wir uns dem Positiven zuwenden.

Stabil? Ja. Aber undurchdringlich? Nein.

Die schlechte Nachricht ist, dass das Cybersicherheitsprofil eines Unternehmens, so stabil, aktuell und umfassend es auch sein mag, niemals zu 100 % und in jeder Hinsicht dicht und unangreifbar sein kann. Mit genügend Zeit und Ressourcen können Hacker jeden Angriffsvektor ausnutzen und jeden Abwehrmechanismus überwinden.

Und auch wenn sie vielleicht nicht die „Kronjuwelen“ (d. h. äußerst wertvolle vertrauliche oder firmeneigene Daten) in die Hände bekommen, können Hacker dennoch einen enormen finanziellen Schaden und jede Menge Verwüstung anrichten. Die durchschnittlichen durch einen Cyberangriff verursachten Kosten liegen heute bei kleinen Unternehmen zwischen 120,000 und 1.24 Millionen Dollar pro Vorfall (alle Zahlen in diesem Artikel sind in US-Dollar angegeben) und bei großen Unternehmen bei 4.54 Millionen Dollar pro Vorfall. Hinzu kommt, dass innerhalb von sechs Monaten nachdem sie gehackt wurden, 60% der kleinen Unternehmen Ihren Betrieb einstellen müssen.

Der Aufstieg der Cyber-Versicherung

Und nun zu der guten Nachricht: Einige Unternehmen, die Opfer eines Cyberangriffs werden, müssen möglicherweise keine enormen - und in einigen Fällen unerschwinglichen - Summen für die Untersuchung und Beseitigung der Trümmer und (gegebenenfalls) für die damit verbundenen Kosten wie Geldbußen, Vergleiche, Gerichtsurteile und die Wiederherstellung ihres Rufs zahlen. Was ist dieses magische Ding, das Unternehmen vor dem Albtraum eines Cyberangriffs bewahrt, der sich über Wochen, Monate oder sogar Jahre hinziehen kann? Betrachten wir den Helden, der als Cyber-Versicherung bekannt ist, in all seiner versicherungstechnischen Pracht.

Anbieter von Cyber-Versicherungen: „Zeigen Sie uns Ihre PAM!“

Die Cyber-Versicherung ist nichts Neues; ihre früheste Form geht zurück auf das Jahr 1997. Was sich jedoch in den letzten Jahren herauskristallisiert hat, ist die Rolle und Bedeutung der Verwaltung privilegierter Zugriffe (PAM).

Genauso wie die meisten Autoversicherer verlangen, dass Autofahrer Sicherheitsvorkehrungen wie Alarmanlagen und Wegfahrsperren verwenden, bestehen immer mehr Anbieter von Cyber-Versicherungen darauf, dass Unternehmen als Bedingung für den Versicherungsschutz starke PAM-Kontrollen einrichten. Und die Versicherungsunternehmen haben in der Tat Recht, wenn sie die Liste der privilegierten Kontotypen als einen wichtigen — und oft schlecht oder gar nicht geschützten — Angriffsvektor betrachten. Bedenken Sie dies:

SecurityWeek.com hat in einem Artikel über die globale Versicherungsbranche für Cybersicherheit, die derzeit einen Wert von $13.9 Milliarden US-Dollar hat und bis 2032 um 20.7 % steigen soll, Folgendes festgestellt: „Eine der größten Wahrscheinlichkeiten für die kommenden Jahre ist die Zunahme der Anforderungen für die Cybersicherheit, d.h. Versicherer werden die Deckung verweigern, wenn der Versicherte nicht einen bestimmten Sicherheitsstatus erfüllt.“

Natürlich werden strenge PAM-Kontrollen nicht die einzige „spezifische Sicherheitsmaßnahme“ sein, auf der die Versicherungsgesellschaften als Voraussetzung für den Versicherungsschutz bestehen. Es besteht jedoch kein Zweifel daran, dass PAM bald (wenn nicht schon jetzt) nicht nur als bewährtes Verfahren, sondern als grundlegende Notwendigkeit angesehen werden wird.

Was wollen die Versicherungsanbieter?

Die PAM-Anforderungen variieren von Versicherungsanbieter zu Versicherungsanbieter. Im Allgemeinen wollen sie jedoch wissen, ob die Unternehmen über ein Mindestmaß an Kontrollen, vorzugsweise aber über erweiterte Kontrollen, verfügen. Im Folgenden finden Sie eine Zusammenfassung der beiden Kontrollstufen:

Tools & Taktiken einer minimalen PAM-Kontrollstufe Tools & Taktiken einer erweiterten PAM-Kontrollstufe
Einsatz einer Multi-Faktor-Authentifizierung (MFA) für den Fernzugriff, entweder durch integrierte Funktionen oder durch die Integration von Drittanbieter-Tools. Dabei ist zu bedenken, dass die SMS-basierte MFA aufgrund des Umfangs erfolgreicher SIM-Swap-Angriffe schrittweise eingestellt wird. Implementierung erweiterter Authentifizierungsoptionen wie den Nummernabgleich für alle Benutzer - nicht nur für privilegierte Benutzer. Die 2016 eingeführte MFA-Basisversion wird von Sicherheitsexperten inzwischen weitgehend als unsicher angesehen.
Durchsetzung des Prinzips der geringsten Privilegien (POLP), bei dem die Endnutzer nur die Zugriffsrechte erhalten, die sie für die Ausführung ihrer täglichen Aufgaben benötigen. POLP ist auch entscheidend für die Verhinderung des oben erwähnten „Privilege Creep“. Und die Kontrolle des Zugriffs auf vordefinierte privilegierte Konten reduziert die Angriffsfläche und sorgt dafür, das POLP eingehalten wird. Implementierung einer Just-In-Time (JIT) Erhöhung von Berechtigungen, die die Risiken noch weiter reduziert, indem sie zuvor hoch privilegierte Konten in ZERO-STANDING-PRIVILEG-Konten umwandelt. Anstatt rund um die Uhr und 365 Tage im Jahr Zugriff zu haben, werden privilegierten Konten nur für die Dauer der jeweiligen Aufgabe Rollen zugewiesen.
Aktualisierung der Standard-Administratorkonten und -konfigurationen, um zu verhindern, das böswillige Akteure die allgemein zugänglichen Anmeldedaten ausnutzen. Kontrolle des Zugriffs auf PAM-Konten durch stabile Check-out-Funktionen. Dazu sollten integrierte Genehmigungen gehören, um die Zahl der Personen, die Zugriff auf ein privilegiertes Konto beantragen können, und die Dauer des Zugriffs zu begrenzen. Die Einführung einer JIT-Erhöhung von Berechtigungen zum Zeitpunkt des Check-Out erhöht auch die Produktivität der Nutzer.
Je nach Bedarf Entfernung lokaler Administratorrechte auf Desktops/Laptops und Verwaltung lokaler Workstation-Konten. Implementierung einer JIT-Nutzerbereitstellung, die der nächste Schritt einer JIT-Erhöhung von Berechtigungen ist. Erstellung privilegierter Konten nach Bedarf für eine bestimmte Dauer und deren vollständige Entfernung, wenn die Operation abgeschlossen ist.
Vermeidung langer, ausdauernder Remote-Sitzungen durch angemessene Beschränkungen der Sitzungszeiten. Eine privilegierte Sitzung sollte nur so lange wie nötig offen sein.
Einrichtung mehrerer privilegierter Konten statt eines mächtigen Administratorkontos, die die Berechtigungsanforderungen für jedes System festlegen, auf das die Administratoren zugreifen müssen.

So kann Devolutions PAM-Lösung helfen

Die Sicherung und Verwaltung des Zugriffs auf privilegierte Konten ist für die Sicherheitsstrategie jedes Unternehmens von entscheidender Bedeutung. Lösungen zur Verwaltung privilegierter Zugriffe sollten mindestens Folgendes bieten:

  • Einen gesicherten Tresor für die Speicherung privilegierter Daten
  • Ein Mittel zur Durchsetzung des Prinzips der geringsten Rechte durch die Delegierung von Aktionen unter Verwendung rollenbasierter Zugriffskontrolle
  • Eine Methode zur Überwachung und Protokollierung von Maßnahmen zur Prüfung und Einhaltung der Regelkonformität

Zwar gibt es derzeit eine Vielzahl an PAM-Anbietern, aber die meisten ihrer Lösungen sind für die Bedürfnisse großer Unternehmen entwickelt worden. Für die Administratoren in KMUs sind diese Systeme oft schwer zu implementieren, für die Endnutzer zu komplex und sie übersteigen bei weitem die ohnehin schon knappen Budgets der KMUs. Daher verfügen viele KMUs nicht über die Tools, die sie benötigen, um die privilegierten Ressourcen des Unternehmens effektiv zu schützen.

Devolutions ist entschlossen, diese Lücke zu schließen. Hier sind einige der Funktionen, die unsere PAM-Lösung bietet:

  • Erkennung privilegierter Konten: Automatische Suche nach privilegierten Konten (Nutzer-, System-, Admin-, Service-, Datenbankkonten usw.) bei Ihrem/n Anbieter/n.
  • Automatische und festgelegte Passwortrotation: Durchsetzung der Rotation von Passwörtern beim Check-in eines privilegierten Kontos, oder Planung von Passwortrotationen. Dadurch werden sowohl die Anmeldeinformationen für das System wie auch für Devolutions Server geändert.
  • Sicheres Einfügen von Anmeldeinformationen: Einfügen von Anmeldedaten in Remote-Sitzungen, ohne dass der Nutzer das Passwort kennt.
  • Genehmigungsprozess für Check-out-Anfragen: Nutzer können Administratoren ganz einfach um Erlaubnis bitten, privilegierte Konten auszuchecken. Administratoren werden automatisch benachrichtigt und können die Anfrage je nach Bedarf genehmigen oder ablehnen.

Darüber hinaus freuen wir uns, Ihnen mitteilen zu können, dass wir an der JIT-Bereitstellung arbeiten und erwarten, in den kommenden Monaten erhebliche Fortschritte zu machen. Derzeit unterstützt unsere PAM-Lösung die JIT-Berechtigungserweiterung sowohl für Azure als auch für lokale AD.

Hier erfahren Sie mehr über Devolutions PAM-Lösung: Verwaltung privilegierter Zugriffe.

Ein abschließendes Wort

Die wachsende Welle und die schwindelerregenden Kosten der Cyber-Kriminalität sind etwas, das KMUs nicht ignorieren können. Denn entgegen der landläufigen Meinung sind KMUs nicht zu klein, um angegriffen zu werden. Tatsächlich machen sie die im Vergleich zu größeren Unternehmen relativ schwachen Abwehrmaßnahmen zu einem attraktiven und lukrativen Ziel.

Die düstere Realität ist, dass Unternehmen sich nicht mehr fragen sollten: „Was ist, wenn wir gehackt werden?“, sondern „Wie können wir die Kosten und Konsequenzen minimieren, WENN wir gehackt werden?“ Eine Cyber-Versicherung, die auf starken PAM-Kontrollen basiert, kann Unternehmen dabei helfen, Fortschritte zu machen und der Zukunft mit Klarheit und Zuversicht entgegenzusehen, statt mit Verwirrung und Angst.

Related Posts

Read more Sicherheit posts