Heilbronn, 14. Januar 2020 – Privilegierte Konten sind für Hacker attraktiv. Sobald Cyber-Kriminelle einen Fuß in der Tür haben, bewegen sie sich mit Hilfe der sensiblen Zugangsdaten ungehindert durch das Unternehmensnetzwerk. Mit PAM (Privileged Access Management)-Lösungen lässt sich dieses Risiko zwar vermeiden – ein korrumpiertes Endgerät kann trotzdem zum Einfallstor für Angreifer werden, warnt der Sicherheitsspezialist Bromium.
Privilegierte Benutzerkonten mit umfassenden Zugriffsrechten stehen bei Cyber-Kriminellen hoch im Kurs. Um dieses Risiko zu vermeiden, setzen Unternehmen PAM-Lösungen ein. Diese sorgen über dedizierte Sprungserver für einen zentralisierten Zugriff auf Administrator-, Service-, Root- oder Datenbank-Accounts inklusive Kontrolle und Überwachung. Hat sich der Angreifer allerdings bereits auf dem Endgerät des Anwenders oder Administrators eingenistet, stoßen PAM-Produkte an ihre Grenzen. Diese „Lücke“ schließt die Protected App von Bromium. Die Software-basierte PAW (Privileged Access Workstation) wird auf dem bestehenden Endgerät des Anwenders oder Administrators installiert.
Infiziertes Endgerät wird zum Einfallstor
Im Fall eines korrumpierten Endgerätes kann ein Hacker die Verbindungen mit Hilfe eines Keyloggers mitlesen und vertrauliche Informationen abgreifen oder sogar Schadcode über Trojaner bis auf die zu administrierenden Zielsysteme schleusen. Der Zugriff auf privilegierte Konten sollte deshalb niemals über einen „normalen“ Arbeitsplatzrechner erfolgen, weshalb eine Trennung von Administrator- und Arbeits-Rechner empfohlen wird. Diese dedizierte Privileged Access Workstation ist ein zweites physikalisches Gerät, das mit einem „sauberen“ Betriebssystem-Image und hochgradig restriktiven Sicherheitseinstellungen konfiguriert ist. Für Unternehmen bedeutet eine PAW zusätzliche Hardware-Ausrüstung, Softwarelizenzierungen und damit höhere Betriebskosten. Zugleich leidet der Benutzerkomfort, da die klassischen Arbeitswerkzeuge wie Office-, E-Mail- oder Chat-Clients, die als potenzielle Einfallstore für Cyber-Kriminelle gelten, auf der PAW nicht zur Verfügung stehen. Bei der Alternative, der Virtual PAW, brauchen Unternehmen zwar keine eigene Hardware – die Virtual PAW ist allerdings auf die Sicherheit von HyperV angewiesen und muss massive Einschränkungen bei der Anbindung von Peripheriegeräten hinnehmen. Der deutlich erhöhte Betriebsaufwand bleibt zudem erhalten.
„Privilegierte Accounts bedürfen eines besonderen Schutzes. Die Protected App von Bromium ist eine Software-basierte PAW, die auf dem bestehenden Endgerät installiert wird. Der große Vorteil liegt darin, dass die erforderliche Abschottung immer nur temporär dann etabliert wird, wenn kritische Benutzerzugriffe erfolgen“, erklärt Jochen Koehler, Regional VP Sales Europe bei Bromium in Heilbronn. „Durch Hardware-isolierte Virtualisierung sichert die Protected App dabei die Verbindung zwischen dem regulären Arbeitsplatz-PC und dem Sprungserver der PAM-Lösung. Das macht den Angreifer gewissermaßen ‚blind‘, was die Privileged Session betrifft, selbst wenn das Endgerät auf Windows-Betriebssystemebene zuvor kompromittiert worden ist.“
