Zum Inhalt springen Zur Navigation springen
IT-Sicherheit: Privileged Identity Management auch in der Cloud

IT-Sicherheit: Privileged Identity Management auch in der Cloud

Auch in der Cloud braucht es Administratoren, welche die Systeme und Services konfigurieren und verwalten. Im Gegensatz zu klassischen, lokalen IT-Systemen kommen Cloudlösungen oft bereits mit einer guten Rechteverwaltung daher. Doch auch über administrative Konten gilt es, den Überblick zu behalten. Wie ein sogenanntes Privileged Identity Management umgesetzt werden kann, zeigt der folgende Artikel am Beispiel von Microsoft 365.

Auch Administratoren brauchen nicht alle Rechte

Eins der vielen Dinge, die sich auch in der Cloud nicht ändern: Benutzerkonten sollten nur so viele Rechte besitzen, wie diese auch tatsächlich zur Ausübung ihrer Tätigkeit benötigen. Das Least-Privilege-Prinzip unterscheidet in seiner Anwendung dabei nicht zwischen Anwender- oder Administratorkonto, es gilt für alle anzuwenden. Denn insbesondere administrative, also privilegierte, Konten stehen oft im Fokus von Angreifern, um sich tiefer in der Infrastruktur zu verankern und möglichst viele Daten abzuziehen oder verschlüsseln zu können.

Sicherheitsbarriere: Zugriffsmanagement

Das Verwalten von Benutzer- und Administratorrechten gehört mit zu den elementaren Aufgaben der IT-Sicherheit. Oft sieht man leider, dass Administratoren mit den höchsten Rechten ausgestattet sind, in der Windows Welt der „Domänen Administrator“, ohne diese wirklich zu benötigen. Der Vorteil liegt natürlich auf der Hand: Man kommt in Handumdrehen auf jedes System, sei es für Wartung oder Support, ohne sich Gedanken über die tatsächlich notwendigen Rechte machen zu müssen. Jede Tätigkeit geht somit schnell von der Hand. Der Nachteil ist: Ist das Konto kompromittiert, steht dem Angreifer Tür und Tor offen.

Zugriffsmanagement in der Cloud

Wird ein Microsoft 365 Abo abgeschlossen, setzt sich dieses Verhalten oft analog fort. In der Microsoft 365 Cloud gibt es die Rolle „Globaler Administrator“, welcher im Grunde das Pendant zum Domänen Administrator darstellt. Dieser hat Zugriff auf alle Komponenten der Microsoft 365 Cloud sowie den dazugehörigen Anwendungen und Inhalten. Nachdem die Cloud einmal grundlegend konfiguriert wurde, ist die tatsächliche Notwendigkeit diese Rolle für die tägliche Arbeit innezuhaben, meist nicht mehr gegeben. Microsoft biete hier eine Reihe dezidierter Rollen an, z.B. zur Administration von Teams, Exchange Online oder der Benutzerverwaltung.

Egal, ob in der lokalen IT oder in der Cloud: Auch ein Administrator braucht nur die Rechte, die er für seine tägliche Arbeit benötigt. Betrachtet man dies weiter, wird auch schnell klar, dass man nicht jeden Tag dieselben Rechte bei der Arbeit benötigt.

Privileged Identity Management in Microsoft 365

Der Azure AD Privileged Identity Management Dienst, kurz PIM, adressiert dieses Problem. Wie der Namen schon sagt dient PIM dazu, privilegierte Konten zu verwalten. Zuerst das Unschöne: Wie jedes gute Feature lässt Microsoft sich dieses extra entlohnen, bzw. integriert diese nur in den teuren Lizenzen. Es wird mindestens eine Azure AD Premium P2 Lizenz bzw. ein E5 Abonnement benötigt, in welchem diese enthalten ist.

Just-in-Time (JIT) Berechtigungen

Der PIM ermöglicht eine Übersicht, welche Konten grundsätzlich für welche Rollen berechtigt sind, diese aktiv halten oder besessen haben. Hierbei werden Benutzerkonten zuerst verschiedenen Rollen zugewiesen. Bei Bedarf kann ein Administratorkonto die entsprechende Rolle beantragen. Ob diese dann anschließend erteilt wird, hängt von zuvor definierten Faktoren ab. Im einfachsten Fall bekommt das Konto umgehend die Rolle nach Beantragung im Azure AD zugewiesen.

Die Zuweisungsdauer beträgt in der Standardkonfiguration acht Stunden. Der Administrator besitzt die Rechte also nur, wenn er diese für eine Aufgabe wirklich benötigt. Zudem kann eine Angabe des Grundes bei der Beantragung erzwungen werden.

Grundsätzlich können folgende Parameter je Rolle einzeln definiert werden:

  • Begründung notwendig
  • Maximale Aktivierungsdauer
  • Multi-Faktor-Authentifizierung erforderlich
  • Benachrichtigung bei Beantragung

Es ist empfehlenswert, Multi-Faktor-Authentifizierung bei der Zuweisung von privilegierten Rollen zu aktiveren. Ein gekapertes Administratorkonto kann trotz Zuweisung von bestimmten Rollen nicht dazu missbraucht werden, die Rechte zu eskalieren, da vor Berechtigung der Rolle z.B. ein SMS-Code eingegeben werden muss. Zudem ist der Administrator ab diesem Moment alarmiert.

Vier Augen verifizieren mehr als zwei

Für besonders kritische Rollen kann mittels PIM das Vier-Augen-Prinzip implementiert werden. Zu nennen ist hier definitiv der Globale Administrator. Zusätzlich zu den bereits genannten Einstellungen kann eine Person definiert werden, welche die Rechteanfrage erhält und genehmigen muss. So kann gewährleistet werden, dass bestimmte Änderungen nur von mindestens zwei Administratoren durchgeführt werden, bzw. eine zweite Person davon Kenntnis hatte. Dies ist nicht zuletzt bei der Durchsicht von Audit Logs ein wichtiges Thema.

Teil eines großen Ganzen

Natürlich sind dezidierte Rolle nur sinnvoll zu verteilen, wenn es mehrere Administratoren gibt. Aber auch ein Einzelkämpfer oder ein kleines Team sollten überlegen, ob es Sinn macht, bestimmte Privilegien an ein bestimmtes Konto zu knüpfen, welches nur selten wirklich benötigt wird, oder die Ausweitung von Rechten durch weitere Faktoren zu schützen.

Der Zugriffsschutz, bzw. ein gutes Rechte Management, ist eine wichtige Verteidigungslinie im Kampf gegen einen Angreifer und verschafft im schlechtesten Fall nur mehr Zeit. Im besten Fall wird ein Angreifer vollständig an dem Zugriff auf empfindliche Daten gehindert. Zusammen mit Just-in-Time Berechtigungen und Vier-Augen-Prinzip verringert sich zunehmend die Angriffsfläche. Nicht zuletzt kann man damit auch dem nächsten Sicherheitsaudit entspannt entgegensehen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.