Der Schutz vertraulicher Kundendaten erfordert ein IT-Berechtigungsmanagement, das auch Konten mit privilegierten Rechten berücksichtigt. Ansonsten droht – insbesondere in der Finanzbranche – neben mangelnder Sicherheit auch die Verletzung zahlreicher Compliance-Vorgaben.
Die Verwaltung privilegierter Konten ist für ein Finanzinstitut keine einfache Aufgabe: Die IT-Infrastruktur umfasst in der Regel eine Vielzahl von Servern, Datenbanken und sonstigen Infrastrukturkomponenten. Sie werden über privilegierte, standardmässig in den Systemen verfügbare Konten mit weitreichenden Rechten gesteuert und administriert. Da diese Konten unbeschränkten Zugriff auf alle unternehmenskritischen Daten erlauben, ist eine zuverlässige Verwaltung und Überwachung der IT-Berechtigungen unverzichtbar. Unter Sicherheitsaspekten problematisch sind vor allem die von mehreren Personen genutzten «Shared Accounts», zum Beispiel Administrator- und Dienste-Konten in Windows, lokale privilegierte Konten auf Desktops, Root-Konten in Unix oder Linux, root in ESX, system/sys in Oracle-Datenbanksystemen oder sa in MSSQL. Ebenso problematisch sind SSH-Keys, die häufig für direkte Zugriffe auf kritische Unix-Systeme – oft auch als «root» – verwendet werden.
Rechtliche Vorgaben Beseitigen Banken die mit privilegierten Konten und Zugriffen verbundenen Gefahren nicht zuverlässig, verletzen sie damit zahlreiche Compliance-Richtlinien. Relevant für Schweizer Finanzdienstleister sind neben allgemein gültigen Standards wie ISO/IEC 27002 oder dem Payment Card Industry Data Security Standard (PCI-DSS) vor allem die Vorgaben der Eidgenössischen Finanzmarktaufsicht Finma. Konkrete Vorgaben zum IT-Berechtigungsmanagement finden sich im «Rundschreiben 2008/21 Operationelle Risiken Banken» der Finma. Ende 2013 hat die Finma hierzu eine «definitive Fassung des teilrevidierten Rundschreibens» veröffentlicht, das per 1. Januar 2015 in Kraft getreten ist. Verschärfte und zusätzliche Richtlinien betreffen hauptsächlich den Umgang mit elektronischen Kundendaten. Das hat direkte Auswirkungen auf die Verwaltung und Überwachung privilegierter Benutzerkonten. Die Finma fordert explizit, dass die Datenzugriffsmöglichkeiten gemäss dem «Need-to-know»-Prinzip geregelt sind. Konkret: «Personen dürfen nur auf diejenigen Informationen oder Funktionalitäten Zugriff haben, die für die Wahrnehmung ihrer Aufgaben erforderlich sind.» Und zum Thema Zugriffsberechtigung auf Kundenidentifikationsdaten (Client Identifying Data, CID) heisst es: «Die Bank hat über ein rollen- und funktionsspezifisches Autorisierungssystem zu verfügen, welches die Zugriffsberechtigungen von Mitarbeitenden und Dritten auf CID eindeutig regelt. Um sicherzustellen, dass nur aktuell autorisierte Personen auf CID Zugriff haben, sind Berechtigungen regelmässig zu bestätigen.» Unter dem Aspekt der Sicherheit weist das revidierte Rundschreiben vor allem auf die besondere Bedeutung privilegierter Accounts hin und konstatiert: «Erhöhte Sicherheitsanforderungen müssen für privilegierte IT-Benutzer und Anwender mit funktionalem Zugriff auf Massen-CID (Schlüsselmitarbeitende) gelten.» Unter Schlüsselmitarbeitenden werden «alle internen und externen im IT-Bereich sowie in weiteren Unternehmensbereichen tätigen Mitarbeitenden» verstanden, die «aufgrund ihres Tätigkeitsprofils und ihrer Aufgaben privilegierten Zugriff auf CID im grossen Umfang haben (z.B. Datenbankadministratoren, Mitglieder des obersten Managements).»
Richtlinien für Kreditkarten Für Banken, die Kreditkartendaten verarbeiten, sind zudem die Richtlinien des PCI-DSS (Payment Card Industry Data Security Standard) relevant. Darin finden sich mehrere Datenschutzvorgaben, die sich direkt auf das Management und die Sicherung privilegierter Benutzerkonten beziehen. Beispielsweise regelt die Anforderung 2 die Änderung von Default-Kennwörtern. Sie gilt für alle Standardkennwörter – als Beispiele werden Anwendungs- und Systemkonten, Betriebssysteme, Sicherheits-Software oder POS (Point of Sale)-Terminals genannt. Die PCI-Regelung 10 fordert die Protokollierung und Prüfung aller Zugriffe auf Daten von Kreditkarteninhabern. Dabei hält die aktuelle PCI-Version erstmals explizit fest, dass Protokolle und Systemereignisse auf Unregelmässigkeiten oder verdächtige Aktivitäten zu prüfen sind. Normen von ISO/IEC Schliesslich finden sich zur Thematik der privilegierten Benutzerkonten auch Best Practices im Standard ISO/IEC 27002. Dieser listet im Hinblick auf die Zugangskontrolle folgende Massnahmen zur Verbesserung der Informationssicherheit auf: Etablierung eines formellen Verfahrens zur Registrierung von Nutzern und zur Vergabe sowie zum Entzug von Rechten Vergabe eindeutiger Benutzerkennungen Regelmässige Überprüfung auf redundante Benutzerkennungen und Konten Protokollierung der Verwendung von privilegierten Rechten Privileged Account Security Um die geschilderten Compliance-Vorgaben zuverlässig zu erfüllen, empfiehlt sich der Einsatz einer Privileged-Account-Security-Lösung. Sie sollte neben einer regelmässigen Änderung der Server-, Datenbank- und Netzwerkpasswörter auch die vollständige Nachvollziehbarkeit aller Aktivitäten ermöglichen. Mittels solcher Session-Protokolle kann nicht nur überprüft werden, wer Zugang zu vertraulichen Informationen hat, sondern auch, was er mit diesen Informationen macht. Idealerweise können mit einer Privileged-Account-Security-Lösung auch SSH-Keys verwaltet und gesichert werden. Die Sicherheitslösung muss drei Voraussetzungen erfüllen: Zugriffskontrolle, Überwachung und Reaktionsmöglichkeit. Unerlässlich ist erstens eine Kontrollfunktion für die Verwendung von Passwörtern und den Zugriff auf Unternehmenssysteme. Zweitens muss die vollständige Überwachung der Nutzung privilegierter Konten gewährleistet sein. Nur dadurch können Unternehmen irreguläre oder gefährliche Aktivitäten identifizieren. Und drittens sollte die Lösung natürlich auch eine sofortige Reaktion bei Sicherheitsverstössen ermöglichen – sei es durch den Entzug privilegierter Zugriffsberechtigungen oder durch das Schliessen der Sicherheitslücke. Darüber hinaus ist eine zukunftsweisende Applikation in der Lage, bereits bei einer verdächtigen Nutzung privilegierter Konten sofort Alarm zu schlagen. Fazit: mehrere Vorteile Setzt ein Finanzinstitut eine Privileged-Account-Security-Lösung ein, bringt ihm das mehrere Vorteile: von der durchgängigen Prozessoptimierung und Effizienzsteigerung im Passwortmanagement bis zur Erhöhung der Transparenz bei der Systemnutzung im Hinblick auf Personen, Zeitpunkt oder konkrete Aktivitäten. Ausserdem können die Gefahren des Datenmissbrauchs und -diebstahls durch privilegierte Konten zuverlässig ausgeschlossen werden. Und nicht zuletzt erfüllt ein Finanzdienstleister damit alle einschlägigen Anforderungen aus gängigen Compliance-Vorschriften und gesetzlichen sowie aufsichtsrechtlichen Bestimmungen – und zwar effizient und ohne hohen Administrationsaufwand. Stephan Zimmermann ist Technical Account Manager DACH bei CyberArk. Firmenfachbeitrag als PDF downloaden PDF Download
