Keine Admin-Rechte für Nutzer!

Wenn jemand um Erlaubnis bitten würde, systematisch die IT-Infrastruktur einer Firma zu zerstören, was letzten Endes das Unternehmen in die Knie zwingen würde, lautete die Antwort selbstverständlich »NEIN«. Aus unerfindlichen Gründen wird den Mitarbeitern eines Unternehmens jedoch oft genau dies möglich gemacht.

In der Praxis treffen Unternehmen die Entscheidung darüber, wie mit Admin-Rechten zu verfahren ist, leider sehr häufig auf Kostenbasis.

Das kleinere Übel

Im Allgemeinen haben Führungskräfte die Wahl zwischen zwei Optionen: Entweder man gibt den Nutzern keine Admin-Rechte, wobei dann zusätzliche Ressourcen für Support bereitgestellt werden müssen, oder man gibt den Nutzern Admin-Rechte, wodurch die Support-Kosten kurzfristig gesenkt werden können, und lebt mit den Konsequenzen.

Unter idealen Voraussetzungen würde sich jedes Unternehmen für die erste Möglichkeit entscheiden.

Aber unsere Welt ist nicht ideal, und Tatsache ist, dass die zweite Option auf den ersten Blick kosteneffektiver ist. Wenn also ein Nutzer anruft und darum bittet, eine fehlende Software installieren zu dürfen, ist die schnellste (und normalerweise günstigste) Lösung, dem Nutzer Admin-Rechte zuzuweisen.

Sie hätten dem Nutzer genauso gut eine Zeitbombe geben können, damit er sie im Netzwerk verstecken kann.

Die meisten Unternehmen haben nicht die Möglichkeit, nachzuvollziehen, was ein Nutzer mit Admin-Rechten während der Zeit, in der er oder sie diese Privilegien genossen hat, getan hat und darüber hinaus werden Admin-Rechte oft genug nicht sofort wieder entzogen, wodurch dem Missbrauch auf dem Desktop und der gesamten IT-Infrastruktur Tür und Tor geöffnet wird.

Das Einfallstor steht offen

Was also sind die Risiken, wenn Nutzern Admin-Rechte zugewiesen werden? Das sind die Top Ten:

1. Nutzer können unabsichtlich oder absichtlich Kernel-Rootkits installieren. Der Kernel stellt die unterste Softwareschicht des Betriebssystems dar und hat damit die weitreichendsten Zugriffsrechte auf den Rechner oder Server. Ein Rootkit ist ein Stück Code, das im Kernel abläuft. Antiviren- und Anti-Spyware-Programme nutzen diese Technik, aber Rootkits werden auch von Schadsoftware verwendet – diese Software kann dann verheerenden Schaden anrichten, während sie unsichtbar und unentdeckt bleibt und es daher beinahe unmöglich ist, sie zu entfernen.

2. Nutzer können Keylogger und andere Spyware installieren. In erster Linie stellt dies eine Verletzung der Privatsphäre dar, aber es können damit auch Login-Daten und andere Zugangsdaten gestohlen werden.

3. Nutzer können schädliche ActiveX-Komponenten installieren. Viele Webseiten nutzen ActiveX-Komponenten, um eine Fülle an interaktiven Funktionen zur Verfügung zu stellen, wobei sie die Besucher ständig darauf hinweisen, die entsprechenden Komponenten zu installieren. Da jedoch der Browser letzten Endes ein Fenster zur Internet-Welt der Web-Services, Anwendungen und Inhalte darstellt, ist dies der einfachste Weg, um in den PC des Anwenders und damit in das Unternehmen zu gelangen. So genannte »Drive-By«-Downloads nutzen häufig ActiveX-Komponenten, wobei der Nutzer nicht weiß, welche Datei bzw. Dateien gerade installiert werden.

4. Nutzer können illegale, unerlaubte oder nicht lizenzierte Software installieren. Abgesehen vom Risiko versteckter Schadsoftware spielen hier auch wirtschaftliche Aspekte eine Rolle, da die Herkunft der Software unbekannt ist. Kostenlose »Lizenzsoftware« kann unter Umständen teuer zu stehen kommen.

5. Nutzer können Programmcode so einstellen, dass er beim Einloggen automatisch ausgeführt wird. Schadsoftware macht davon Gebrauch, oft in Kombination mit Rootkits, damit die Software nicht nur automatisch startet, sondern auch ihre Aktivitäten im Verborgenen bleiben.

6. Nutzer können Dienste abschalten (wie zum Beispiel HIPS, Firewalls) und andere IT-Sicherheitsmechanismen umgehen. Nutzer können unabsichtlich Sicherheitsanwendungen abschalten, wie zum Beispiel Antiviren-Software, Firewalls oder sogar Intrusion-Detection-Software. Wenn Schadsoftware unerkannt ins System eindringt und es infiziert, kann sie diese Dienste abstellen, damit sie nicht entdeckt wird.

7. Nutzer können lokale Nutzerkonten erstellen und verändern. Wenn ein Nutzer mit Schadsoftware in Berührung gekommen ist, wird normalerweise das entsprechende Nutzerkonto gelöscht und ein neues erstellt. Schadsoftware ist häufig so programmiert, dass sie ein lokales Admin-Konto auf dem Desktop-PC erstellt und dadurch nicht gelöscht wird.

8. Nutzer können Zugang zu den Daten von anderen Anwendern erhalten. Standard-Nutzer sollten normalerweise nicht dazu berechtigt sein, die Daten anderer Anwender einsehen zu können, aber mit einem Admin-Konto hindert sie nichts daran, einen Blick auf alles und jeden zu werfen.

9. Nutzer können wichtige Betriebssystem-Dateien durch Trojaner ersetzen. Wie bereits erwähnt, versteckt Schadsoftware sich im Betriebssystem und maskiert sich als echte Anwendung, zum Beispiel als eine Microsoft-Komponente oder -Anwendung, damit sie nicht durch die herkömmlichen Scan-Funktionen entdeckt werden kann.

10. Nutzer können ihren Rechner unbrauchbar machen. Schadsoftware ist dafür meist nicht verantwortlich. Sie ist so programmiert, dass sie unentdeckt bleibt, damit sie auf unbestimmte Zeit ihre Funktion erfüllen kann; Zerstörung ist meist nicht das Ziel. Ein unerfahrener Nutzer wäre jedoch in der Lage, eine Schlüsselanwendung zu löschen, zu installieren oder zu verändern – vielleicht nicht mit sofortiger Wirkung, aber wenn genügend Veränderungen durchgeführt werden, kann dies den Rechner unbrauchbar machen.

Obwohl jeder einzelne dieser Punkte Schäden zur Folge hat, muss sich Ihre Firma darauf einstellen, dass sie mit einer Kombination der oben genannten Risiken konfrontiert wird. Was können Sie also dagegen tun?

Die besten Tipps für sichere Desktop-PCs

Zusätzlich zu den üblichen Sicherheitsvorkehrungen, wie zum Beispiel der Installation von Antiviren-Software und der Verwendung von Firewalls, sollten Sie diese fünf Tipps beachten, mit denen Sie Missbrauch seitens der Anwender vermeiden können:

Tipp 1: Gruppenrichtlinien

Dies ist eine Funktion von Microsoft-Betriebssystemen. Sie können die Gruppenrichtlinien verwenden, um festzulegen, was Nutzer im System tun dürfen und was nicht. Indem Sie manche Funktionen sperren, wie zum Beispiel den Zugang zum Task-Manager, den Zugang zu manchen Verzeichnissen und das Herunterladen von ausführbaren Dateien etc., können Sie viele der vorher genannten Risiken minimieren.

Tipp 2: Vergeben Sie erst gar keine Admin-Rechte!

Fakt ist, dass zirka 90 Prozent aller Schadsoftware in irgendeiner Form auf Admin-Rechte angewiesen ist, um auf das System zuzugreifen und es zu infizieren. Daher kann die Rechtevergabe nach dem Least-Privilege-Prinzip das Risiko ausräumen, dass Schadsoftware installiert wird, entweder absichtlich oder unabsichtlich, außerdem halten sich dadurch die Folgen arglistigen oder unbedachten Verhaltens von Nutzern in Grenzen. Das heißt, dass entweder manuell oder per Software sichergestellt werden muss, dass jeder Prozess, jeder Nutzer oder jedes Programm nur auf die notwendigen Informationen und Ressourcen zugreifen kann.

Tipp 3: Schützen Sie Ihren Perimeter!

Erstellen Sie Positiv- und Negativlisten, mit denen Sie festlegen, welche Anwendungen und Geräte in Ihrer Umgebung zum Einsatz kommen dürfen. Dem muss man allerdings hinzufügen, dass selbst genehmigte Speichermedien riskant sein können, da es schon Fälle gegeben hat, in denen USB-Flashspeicher, die automatisch ausgeführte Schadsoftware enthielten, Netzwerke infiziert haben. Versichern Sie sich, dass Treibersoftware digitale Signaturen aufweist.

Tipp 4: Sichern Sie Web-Browser und Email-Programme ab

Wie bereits weiter oben erwähnt, sind dies die Fenster zur IT-Welt und stellen Ihre erste Verteidigungslinie dar. Nicht genehmigte Browser-Anwendungen sollten daher verboten werden.

Tipp 5: Aufklärung

Obwohl dieser Tipp offensichtlich erscheint, ist es erstaunlich, wie viele Mitarbeiter nicht über die Risiken Bescheid wissen, denen sie ihre Firma aussetzen. Es reicht nicht, einfach nur IT-Richtlinien zu erstellen und diese in regelmäßigen Abständen auf den neuesten Stand zu bringen, um neue Risikofaktoren abzudecken, sondern sie müssen den Anwendern auch kommuniziert werden. Die Richtlinien sollten die wichtigsten Nutzeraktivitäten beinhalten, einschließlich der Webseiten, die besucht bzw. nicht besucht werden dürfen, welche Art von Geräten erlaubt sind, wie man mit Daten umgeht sowie Passwörter.

Vor zehn Jahren hatten Unternehmen keine Wahl in puncto Admin-Rechten. Heute schon. Wenn sich Ihr Unternehmen dafür entscheidet, Nutzern Admin-Rechte zu geben, müssen Sie sich darauf gefasst machen, die Konsequenzen zu tragen.

Paul Kenyon ist COO beim Privilege Management-Spezialisten Avecto.