Fahrlässiger Umgang mit SSH-Schlüsseln in Firmen an der Tagesordnung

SicherheitSicherheitsmanagement

Nur 35 Prozent der Unternehmen wechseln SSH-Schlüssel zuverlässig aus, wenn Administratoren ausscheiden oder neu zugewiesen werden. 61 Prozent haben dagegen kaum Kontrolle über privilegierten Zugriff durch SSH, so das Ergebnis einer Umfrage von Dimensional Research im Auftrag von Venafi.

SSH-Schlüssel sind praktisch und vielfältig einsetzbar, ermöglichen sie es doch, den Zugriff des Administrators auf wichtige Geschäftsfunktionen abzusichern oder die Kommunikation zwischen Maschinen untereinander zu automatisieren missbrauchen. Sie bergen aber auch erhebliche Risiken, da sie ein besonders hohes Maß an administrativem Zugriff bieten. Analog zu den wesentlich verbreiteteren Systemen für das Passwort-Management wäre es also auch angeraten, SSH-Schlüssel und den Zugriff darauf am besten weitgehend automatisch zu verwalten. Genau das geschieht aber in Firmen in der Regel nicht, wie eine von Dimensional Research im Auftrag von Venafi in den USA, Großbritannien und Deutschland durchgeführte Umfrage ergeben hat.

Venafi (Grafik: Venafi)

Dabei räumten 90 Prozent der Befragten ein, dass sie kein vollständiges und genaues Verzeichnis aller SSH-Schlüssel führen. Sie könnten daher auch nicht feststellen, ob diese gestohlen oder missbraucht wurden oder inwieweit sie vertrauenswürdig sind. 61 Prozent der Befragten haben keine systematischen Maßnahmen ergriffen, die Anzahl der SSH-Administratoren zu begrenzen oder deren Tätigkeiten zu überwachen. Nur 35 Prozent der Firmen haben Richtlinien formuliert und setzen diese auch durch, die es SSH-Nutzern verbieten, ihre autorisierten Keys zu konfigurieren. Dies bietet Mitarbeitern mit böswilligen Absichten oder auch Angreifern, die deren Benutzerkonten knacken konnten, umfangreiche Möglichkeiten, Schaden anzurichten.

Lediglich von 23 Prozent der Umfrageteilnehmer werden Schlüssel mindesten einmal im Quartal getauscht. Bei 40 Prozent werden Schlüssel überhaupt nicht oder nur „gelegentlich“ gewechselt. Damit haben potenzielle Angreifer, nachdem sie einmal Zugriff auf SSH-Schlüssel erlangt haben, unter Umständen sehr lange privilegierten Zugriff.

Dass die Umfrage weit verbreitete Mängel an SSH-Sicherheitskontrollen aufdeckt, überrascht nicht grundsätzlich. Schließlich ist der Auftraggeber Venafi einer der wesentlichen Anbieter von Lösungen, die diesen Missbrauch verhindern könnten. Letzendlich sind aber die Prozentwerte auch nicht entscheiden. Wesentlich an der Umfrage ist, dass sie grundsätzliche Fragen nach dem Umgang mit privilegierten Benutzerkonten aufwirft, die sich eigentlich alle Unternehmen stellen sollten.

Risiken durch SSH-Keys (Grafik: Venafi)
Risiken durch SSH-Keys (Grafik: Venafi)

Denn erstens geraten genau diese, mit vielfältigen Rechten ausgestatten Benutzerkonten, immer stärker ins Visier von Angreifern, die es auf unauffällige Aktionen wie Wirtschaftsspionage oder Datenklau abgesehen haben. Das belegt zum Beispiel auch Verizons diesjähriger Data Breach Investigations Report. Demnach ist der Missbrauch von Rechten, über die sogenannte “privilegierte Nutzer” verfügen, die dritthäufigste Ursache von Datenschutzverletzungen.

Zweitens ist die Überwachung, Kontrolle und Verwaltung von Administrator-Konten in vielen Firmen traditionell ein stiefmütterlich behandeltes Thema. Der Grund dafür ist vielfach schlicht, dass sich Administratoren eben nicht gerne überwachen lassen und von sich aus daher keine Maßnahmen dafür eingeleitet haben.

Vorteile unabhängiger Konten- und Zugriffsverwaltung

Genau die sollten aber auch die Vorteile einer unabhängigen, revisionssicheren und transparenten Konten- und Zugriffsverwaltung wahrnehmen: Schließlich kann ihnen die im Zweifelsfall umgekehrt auch helfen, nachzuweisen dass sie alles richtig gemacht haben. Dafür gibt es inzwischen zahlreiche Angebote. Venafi konzentriert sich mit seinen auf die Schlüssel- und Zertifikatsverwaltung – ein Bereich, den andere Angebote kaum abdecken.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.

“Ein kompromittierter SSH-Schlüssel in den falschen Händen kann extrem gefährlich sein”, so Nick Hunter, Senior Technical Manager bei Venafi, in einer Pressemitteilung. „Cyberkriminelle können ihn nutzen, um per Fernzugriff auf Systeme zu gelangen und Sicherheitsinstrumente zu umgehen. Oftmals verwenden sie dabei den gleichen Schlüssel für den Zugang auf mehrere Systeme.“ Hunter zufolge machen die Ergebnisse der Umfrage deutlich, dass vielfach keine SSH-Sicherheitsstrategien eingeführt wurden und SSH-Zugriffskonfigurationen nicht begrenzt wurden. Seiner Ansicht nach ist der Grund dafür, dass Unternehmen die Risiken von SSH vielfach noch nicht verstanden haben oder noch nicht einsehen, wie dadurch ihre Sicherheit beeinträchtigt werden kann.

In der Umfrage geben 41 Prozent der Befragten etwa an, “keine Port-Weiterleitung” für SSH nicht durchzusetzen. Solch eine Port-Weiterleitung ermöglicht es aber, Firewalls zwischen Systemen zu umgehen. Damit könnte sich ein Angreifer mit SSH-Zugriff leicht von einem Netzwerksegment auf ein anderes Zugriff verschaffen.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

Ebenfalls problematisch sieht Venafi, dass 44 Prozent der Befragten die Standorte, von denen aus SSH-Schlüssel genutzt werden können, nicht begrenzen. Dafür bietet das Unternehmen selbstverständlich eine Möglichkeit an. Sinnvoll ist die insbesondere bei ortsgebundenen Anwendungen. Die Beschränkung der SSH-Nutzung auf eine bestimmte IP-Adresse kann dann schon verhindern, dass Angreifer einen kompromittierten SSH-Schlüssel aus der Ferne nutzen.

Anbieter von Privileged Access Management (PAM)

Mit dem Schwerpunkt auf Schlüssel- und Zertifikats-Management ist Venafi nicht direkt ein Mitbewerber, sondern eher eine Ergänzung zu anderen Anbietern von Produkten zur Absicherung und Verwaltung der Konten privilegierter Nutzer. Dazu gehören etablierte, breit aufgestellte Firmen wie CA Technologie ebenso wie die Spezialisten Avecto, Balabit, Centrify oder CyberArk.

Avecto hat gerade Version 5.0 seines Defendpoint genannten Produkts vorgestellt hat. Der US-Anbieter kombiniert damit die Bereiche Privilege Management und Applikationskontrolle. Er setzt dazu auf Listen mit erlaubten Anwendungen und Gleichbehandlung aller Nutzer. Benutzerrechte werden nur bei Bedarf und befristet ausgeweitet. Einen ähnlichen Ansatz verfolgt auch Centrify.

CA Technologies bietet mit dem in die CA Identity Suite integrierten CA Privileged Access Manager Sicherheits- und Compliance-Funktionen. CA Privileged Access Management (PAM) wurde Anfang des Monats aktualisiert. Es kann nun abteilungsübergreifend genutzt werden und bietet laut Anbieter Managed Service Providern jetzt die Möglichkeit, mehrere Produktinstanzen für ihre Kunden plattformübergreifend zu verwalten. Außerdem seien Funktionen hinzugekommen, die Reglementierung, Kontrolle und Überwachung von Benutzern erweitern – insbesondere in Hinblick auf die zunehmende Cloud-Nutzung in Unternehmen.

CyberArk bietet eine ganze Reihe von Produkten rund um die Verwaltung privilegierter Nutzerkonten. Dazu gehört auch ein Passwort-Manager, ein Werkzeug zur Analyse der Bedrohungen durch derartige Benutzerkonten sowie der SSH-Key-Manager, mit dem es mit Venafi konkurriert.

Ausgewähltes Webinar

Wie modernes Endgeräte-Backup das Problem der Datenmigration löst

Eine durchschnittliche technische Erneuerung beschäftigt die IT sowie den Benutzer ungefähr 2 ½ Stunden. Das geht aber auch anders. Wie, erfahren Sie in diesem Whitepaper.

Balabit legt den Schwerpunkt auf “Privileged Session Management” und “Privileged Account Analytics”. Beides soll Unternehmen helfen, Cyber-Angriffe im Zusammenhang mit privilegierten Accounts zu verhindern oder zumindest zu erkennen und rasch darauf reagieren zu können. Um den Missbrauch gestohlener Accounts zu unterbinden, nutzt der europäische Anbieter zum Beispiel Informationen zu den Tipp-Gewohnheiten oder andere, digital erfassbare Eigenheiten des rechtmäßigen Konto-Inhabers.

Martin Grauel, Pre-Sales Manager EMEA bei Balabit IT Security Deutschland (Bild: Balabit)
“Wir setzen bei unserer PAA-Lösung (Privileged-Account-Analytics), die das Verhalten privilegierter Nutzer in Echtzeit analysiert, auf maschinelles Lernen und KI, wodurch das System von der Norm abweichendes, potenziell gefährliches Verhalten von Nutzern selbstständig erkennen und darauf reagieren kann”, erklärt Martin Grauel, Pre-Sales Manager EMEA bei Balabit IT Security Deutschland. (Bild: Balabit)

Das, so betont das Unternehmen, sei durchaus rechtskonform und mit Billigung des Betriebsrates einführbar – wenn man es denn richtig mache. Und es betont den Wert solch einer Lösung auch für die Absicherung der zunehmend üblichen, erlaubten und erwünschten Zugriffe externer Drittanbieter. Diese würden als potenzielle Bedrohung für eine Organisation leicht übersehen, hätten aber oft ebenfalls Zugang zu vertraulichen Informationen.

Grundsätzlich regt Balabit aus drei Gründen zur Beschäftigung mit dem Thema Privileged Access Management an: Erstens nehme gerade durch externe Dienstleister die Zahl der Nutzer zu (und damit auch das Risiko), die ähnliche Privilegien und Zugriffsrechte haben wie reguläre Mitarbeiter. Zweitens werde es aufgrund der gängigen Praxis der “Shared Accounts” immer schwieriger nachzuvollziehen, wer innerhalb des IT-Systems für welche Aktionen verantwortlich war. Und drittens mahnt der Anbieter dazu, sich Gedanken um Passwortsicherheit zu machen, die er dadurch gefährdet sieht, dass sich oft mehrere Nutzer privilegierte Konten und Passwörter teilen.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen