Cleanup: Benutzerkonten

In der Informationssicherheit gibt es eine Vielzahl von Themen, die regelmässig unter die Lupe genommen werden müssen. Heute widmen wir uns dem Thema der veralteten Benutzerkonten, welches eigentlich in einem Standardprozess abgebildet sein sollte. Jedoch dieser aber oft nicht ausreichend ist. .

Was?

Benutzerkonten kennen alle. Jeder hat eine Vielzahl davon. In einem Unternehmen hilft SSO (Single Sign On), dass einen Account für viele Dienste verwenden kann. Doch verwendet man auch externe Dienste und Services, bei welchem sich die SSO-Anbindung nicht lohnt oder gar nicht möglich ist.

Die vorhandenen Benutzerkonten müssen verwaltet werden, und zwar von der Erstellung, den Änderungen bis hin zur Löschung. Mitarbeiter kommen, Mitarbeiter gehen, Mitarbeiter wechseln. Dienste werden eingeführt und auch wieder gestrichen. Neue Berechtigungen werden verteilt und Benutzer-Rollen geändert. Es ist ein sehr lebhaftes Umfeld, welches es zu kontrollieren gilt. Dies erreicht man am besten durch klar definierte Prozesse im Unternehmen. Und dennoch lohnt es sich, alle Benutzerkonten und Berechtigungen in bestimmten Abständen zu prüfen.

Wieso?

Veraltete Benutzerkonten stellen ein erhebliches Sicherheitsrisiko dar. Besonders kritisch sind Konten von Mitarbeitenden, die das Unternehmen bereits verlassen haben. Ebenso problematisch sind gemeinsam genutzte Accounts, die es eigentlich gar nicht geben dürfte – in der Praxis aber dennoch existieren. Verlässt eine Person das Unternehmen und kennt die Zugangsdaten eines solchen Accounts, muss das Passwort geändert und allen verbleibenden Nutzern erneut mitgeteilt werden, was sehr umständlich und fehleranfällig ist.

Fazit

Alte oder ungenutzte Konten sind ein beliebtes Einfallstor für Angreifer. Besonders Konten mit hohen Rechten (Admin, Service-Accounts) bergen grosse Risiken, wenn sie nicht mehr gebraucht werden. Um diese Risiken zu minimieren, ist eine regelmässige Überprüfung sinnvoll und hilft die Angriffsfläche zu reduzieren.

Checkliste

• Regelmässige Prüfung der vorhandenen Benutzerkonten
• Nach ihrer Kritikalität: Admin-Accounts regelmässiger
• Existiert die Person, welche das Konto besitzt, noch?
• Wird das Konto noch verwendet?
• Braucht die Person diese Berechtigungen noch?
• Stimmen die Berechtigungen mit der aktuellen Rolle überein?
• Gibt es Doppelkonten oder vergessene Testkonten?
• Ist der Zweck jedes Service-Accounts klar?
• Bei Konten mit langer Inaktivität:
• Braucht es das Konto noch?
• Existieren geteilte Konten?
• Wer benutzt diese?
• Wenn möglich eliminieren!