20.04.2007, 08:55 Uhr

Wer überwacht denn die Kontrolleure?

Unternehmen müssen heute für die Integrität ihrer Daten gerade stehen. Doch wie können sie garantieren, dass kein Administrator mit Superuser-Rechten Daten manipuliert und anschliessend alle Spuren gründlich verwischt hat?
Laut Sarbanes-Oxley-Act muss ein CFO nachweisen, dass seine Finanzdaten nicht modifiziert wurden - auch nicht durch den Administrator.
Oliver Desch ist Leiter technischer Vertrieb DACH bei Balabit IT Security in München.
Vertrauen ist gut, Kontrolle ist besser. Über dieses Zitat streiten sich die Geister: Die einen unken, Kontrolle sei ein Motivationskiller und somit kontraproduktiv. Andere hingegen sind überzeugt, dass nichts besser hilft, Fehler zu vermeiden, als die gegenseitige Kontrolle. Zur Bestätigung dieser Theorie wird das tägliche Leben zitiert. Etwa die Tatsache, dass sich das «Vier-Augen-Prinzip» im Cockpit von Verkehrsflugzeugen bewährt hat, um Katastrophen durch menschliches Versagen so weit irgend möglich zu verhindern. Doch unabhängig davon, welche Stellung man persönlich in dieser Diskussion bezieht: Manchmal hat ein Unternehmen gar keine andere Wahl, als das Handeln seiner Mitarbeiter in besonders sensiblen Bereichen zu kontrollieren - auch wenn es ihnen vertraut. Dies trifft im besonderen Masse auf Sicherheitsexperten mit Administratorrechten zu.

Super-User und Sarbanes-Oxley

Jede IT-Abteilung braucht einen oder mehrere Administratoren. Diese sind im Gegensatz zu den «normalen» Benutzern mit so genannten Superuser-Rechten ausgestattet, welche ihnen beliebige Änderungen an allen IT-Systemen ermöglichen. Natürlich benötigen sie diese Rechte auch, um ihre Arbeit effizient erledigen zu können. Andererseits befähigen die Superuser-Rechte die Administratoren, vertrauliche Daten auf sensiblen Systemen zu manipulieren. Und Administratoren können anschliessend auch alle Spuren tilgen, die sie bei ihren Manipulationen hinterlassen haben. Eine Krux, welche gerade das Management eines Unternehmens in grosse Verlegenheit bringen kann.
So muss beispielsweise der Finanzvorstand eines amerikanischen, börsennotierten Unternehmens entsprechend dem Sarbanes-Oxley-Act (SOX) nachweisen, dass seine Finanzdaten akkurat sind und nicht in irgendeiner Weise modifiziert wurden. Andere regulative Vorschriften, wie der Health Insurance Portability and Accountability Act (HIPAA) aus der Gesundheitsbranche oder der Payment Card Industry Data Security Standard (PCI), machen ähnliche Vorgaben zum Schutz persönlicher Daten oder von Kreditkarteninformationen. Doch während legitime Veränderungen von Finanzdaten, etwa durch die Buchhaltungsabteilung, in aller Regel revisionssicher von den entsprechenden ERP-Anwendungen protokolliert werden, sieht es bei den Administratoren anders aus. Die entsprechende kriminelle Energie, das nötige Fachwissen und Superuser-Rechte vorausgesetzt, können sie beispielsweise Bilanzdaten direkt in der Datenbank verändern - ohne dass die ERP-Anwendung dies mitbekommt. Anschliessend säubern sie noch die Protokolle des Datenbankservers, und schon gibt es keine Hinweise mehr darauf, dass Zahlen manipuliert wurden. Dabei müssen die Übeltäter nicht einmal aus den eigenen Reihen stammen. Denn im Zuge des Outsourcings lagern viele Unternehmen die Administration einzelner IT-Bereiche an externe Dienstleister aus und geben so die Entscheidung über das verantwortliche Personal aus der Hand.
Natürlich wäre es völlig verfehlt, Administratoren per se unter Generalverdacht zu stellen. Zumal die Erkenntnis, dass Administratoren Superuser-Rechte besitzen (müssen) keineswegs neu ist. Trotzdem stehen Unternehmen nun vor einem Dilemma: Denn wie können sie einerseits SOX-konform sein und andererseits ihren Systembetreuern ein effektives Arbeiten ermöglichen? Um diese Frage zu beantworten, muss man zunächst die Werkzeuge betrachten, mit denen Administratoren ihre Server verwalten.

Administration mit SSH und RDP

Üblicherweise stehen Server in physikalisch gesicherten Räumen - bei grösseren Unternehmen auch in einem oder mehreren Rechenzentren - während der Admini-strator von seinem Büro aus über das Netz-werk auf die Systeme zugreift. Dabei spielt es keine Rolle, ob die Server im selben Gebäude oder am anderen Ende der Welt stehen. Denn mit Hilfe der Protokolle SSH (Secure Shell) für Unix- und Linux-Rechner sowie RDP (Remote Desktop Protocol) für Windows-Systeme kann der Systembetreuer die Server von seinem lokalen Arbeitsplatz aus so bedienen, als sässe er direkt davor. Verschlüsselungsmechanismen sorgen bei beiden Protokollen dafür, dass eine Administrationssitzung - auch Session genannt - vertraulich bleibt.
Um nun alle Tätigkeiten der Administratoren an sensiblen Systemen revisionssicher aufzeichnen und archivieren zu können, kommen so genannte Proxys zum Einsatz, die auf die Protokolle SSH und RDP spezialisiert sind. Ein Proxy klinkt sich dabei in die Verbindung zwischen Administrator und Server ein und verhält sich dem Administrator gegenüber zunächst wie der ursprüngliche Zielserver. Allerdings terminiert der Proxy erst einmal die Verbindungsaufforderung des Administrators und prüft, ob die jeweilige Person überhaupt zum Zugriff auf das gewünschte System berechtigt ist. Ist dies der Fall, baut der Proxy eine zweite Verbindung zum Zielserver auf. Ab diesem Zeitpunkt kann der Administrator den Server wie gewohnt verwalten. Alle seine Eingaben per Tastatur und Maus laufen jedoch ebenso über den Proxy wie die Antworten des Servers beziehungsweise dessen Bildschirminhalt. Und alle diese Daten kann der Proxy dann in einer verschlüsselten Datei - dem so genannten Audit-Trail - revisionssicher wegschreiben und archivieren. Mit Hilfe einer speziellen Audit-Player-Software können Revisoren zu einem späteren Zeitpunkt jede beliebige Administrationssitzung nachvollziehen, als würden sie dem Administrator live über die Schulter sehen. Eine Manipulation der archivierten Daten lässt sich durch die Verschlüsselung der Audit-Trails ausschliessen.

Problemfall Verschlüsselung

Technisch anspruchsvoll wird es dann, wenn sich der Proxy transparent in das Unternehmensnetz integrieren soll und die zu archivierenden Protokolle verschlüsselt sind - wie es auch bei SSH und RDP der Fall ist. Hier muss der Proxy zunächst die verschlüsselte Verbindung des Administrators terminieren, anschliessend die empfangenen Daten entschlüsseln, analysieren und neu verschlüsselt archivieren. Dann muss er eine zweite verschlüsselte Verbindung zum Zielsystem herstellen, die Daten nochmals chiffrieren und an das Zielsystem übergeben. Soll der Proxy zudem Entscheidungen darüber treffen, welche Operationen innerhalb einer SSH- oder RDP-Session erlaubt sind, muss er das jeweilige Protokoll auch vollständig verstehen. Bei SSH könnte ein Unternehmen so eine Policy einrichten, die Administratoren beispielsweise den Fernzugriff per SSH auf eine Serverkonsole erlaubt - die Übertragung von Dateien über den SSH-Tunnel jedoch verbietet.
Mit Hilfe von Proxys, die SSH und RDP verstehen, lässt sich entsprechend das Vier-Augen-Prinzip bei der Systemadministration umsetzen. Die Idee dahinter: Ein einzelner Administrator erhält niemals ohne Wissen einer weiteren Person Zugang zu einem sensiblen Server. In der Praxis terminiert der Proxy wie gehabt die Verbindung des ersten Administrators. Allerdings baut er die Verbindung zum Zielserver erst dann auf, wenn sich ein zweiter Administrator mit dem Proxy erfolgreich verbunden hat.
Ob Vertrauen oder Kontrolle - wer den Anforderungen des Sarbanes-Oxley-Acts und anderen regulativen Vorgaben bei der Systemadministration entsprechen will, kommt um den Einsatz solcher Proxys kaum herum. Gleichzeitig müssen Unternehmen jedoch sicherstellen, dass durch physikalische Sicherungsmassnahmen ein lokaler Zugriff auf die sensiblen Systeme nicht möglich ist. Da ein Proxy die Verbindung zwischen Administrator und Server unterbricht, stellt er gleichzeitig immer auch einen Single-Point-of-Failure dar. Daher sollte er - am besten in Form einer dedizierten Appliance - redundant auslegbar sein. Und schliesslich kann es für Administratoren auch von Vorteil sein, wenn ihre Tätigkeiten an kritischen Systemen protokolliert werden - gerade, wenn externe Dienstleister im Spiel sind. Denn wenn einmal etwas schief geht, lassen sich gegenseitige Schuldzuweisungen durch Abspielen des Audit-Trails schnell aus der Welt schaffen.
Weitere Informationen

«SSH und RDP»

Die Secure Shell (SSH) ermöglicht es Administratoren, einen verschlüsselten Kanal zwischen zwei Rechnern aufzubauen und darüber Dateien zu übertragen, Systeme zu administrieren oder Befehle auf entfernten Systemen auszuführen. Während die Administration von Unix- und Linux-Servern, Routern und anderen Netzwerkkomponenten per SSH normalerweise textbasiert erfolgt, ermöglicht das Remote Desktop Protocol (RDP) von Microsoft die Administration von entfernten Windows-Servern über die vertraute grafische Benutzeroberfläche.
Oliver Desch



Das könnte Sie auch interessieren