Security-Bausteine, Teil 2: Passwörter, Assets und Zugriffe

Inhaltsverzeichnis

Ist das Vertrauen erst mal ruiniert, lebt’s sich nicht mehr ungeniert – so könnte man den ersten Teil dieser Serie, "Zero-Day und Zero Trust", zusammenfassen. Wir haben uns also aus dem Paradies eines freundlichen Internets vertreiben lassen und wittern nun überall Gefahren. Aber Gefahren für wen eigentlich?

Im zweiten Teil dieser Serie – also in diesem Security-Baustein – geht es darum, was wir überhaupt schützen wollen und vor wem.

Mehr zu Unternehmens-IT und Security

• Layer 8 – Der Faktor Mensch in Bezug auf Unternehmenssicherheit
• Sicherheits- und Incident-Management mit Wazuh​
• BSI: Warnungen zur IT-Sicherheit ernstnehmen
• Auswirkungen des Ukrainekriegs auf die IT-Sicherheit in Deutschland
• Überblick zu IT-Versicherungsschutz für kleine Unternehmen und Freelancer
• Ransomware-Angriffsmuster und die wichtigsten Schritte zum Schutz dagegen
• Wie Ransomware-Angriffe heute ablaufen
• Security: So arbeiten Incident-Response-Teams nach einem Ransomeware-Angriff
• IT-Recht: Sicherheitsanforderungen und Rechtsfragen zu Ransomware-Attacken
• Sicherheitsrisiken in der IT: OWASP Top 10 in neuer Version
• OKR-Einführung: häufige Fehler und wie sie dennoch gelingt
• Unternehmens-IT: Wie sich Managed Services wandeln
• Endgerätesicherheit und EDR-Tools: Gefahren schnell erkennen und reagieren
• Cybercrime: Ransomware-Entwicklung führt zu neuen Bekämpfungsstrategien
• Identity and Access Management der Zukunft: digitales Business, Zero Trust, SASE
• IT-Sicherheit: Ransomware-Attacken verhindern durch Security Learning Center
• IT-Grundschutz: BSI-Anforderungen für Container und Kubernetes
• IT-Security: Trainings als Vorbereitung für Sicherheitsvorfälle im Unternehmen
• IT-Security: PetitPotam und andere Wege, die Kontrolle über das AD zu übernehmen
• Incident Response und Forensik: Angreifer durch Logs enttarnen
• Cloud-Sicherheit: Cloud Security Operations Center im Vergleich

David Fuhr

David Fuhr ist Cofounder und CTO der intcube GmbH.

Viele Handreichungen für die Informationssicherheit und insbesondere diverse Standards beginnen mit der Aufforderung, sich der eigenen Werte bewusst zu werden. Nicht der persönlichen (wobei auch das häufig hilfreich wäre), sondern derjenigen der Organisation, die zu verteidigen ich mich verpflichtet habe. Ein Wert (englisch "Asset") ist alles, was etwas wert ist. Aber wem? Das können nur die "Stakeholder" beantworten – diejenigen, die nicht einzubinden Nachteile oder Risiken birgt. Erst nach diesem "Asset-Management", so wird uns gesagt, wüssten wir, was wir schützen müssen und, wenn ja, wie viel(e).

Inhalt der Artikelreihe "Security-Baukasten"

Theoretische Einführungen in und umfangreiche Standards zur IT-Sicherheit gibt es viele. Wenn man den Gedanken dieser sechsteiligen Miniartikelreihe folgt, entsteht unterwegs die Basis für ein schlankes und schlagkräftiges Securityprogramm.

• Teil 1: Null Vertrauen: Zero-Day und Zero Trust
• Teil 2: Ein Passwort: Assets und Zugriff
• Teil 3: Zwei Faktoren: Authentifizierung und Backup
• Teil 4: Drei Werte: CIA or DIE
• Teil 5: Vier Levels: Risiko und Security-Levels
• Teil 6: Fünf Bedrohungen: Threats und Models

Der Luxus der Bestandsaufnahme

Diese Luxuslogik lässt sich maximal in absoluten Friedenszeiten vertreten. In der Ära von "Assume Breach" – gehe davon aus, dass du schon gehackt wurdest – ist es Arroganz und Zeitverschwendung, so lange mit dem Excel-Sheet herumzulaufen, bis auch der allerletzte verstaubte Client aus dem Magazin dort eingetragen ist, um erst dann mit den ersten Sicherheitsmaßnahmen zu beginnen. Im Krieg und in Krisen würde niemand auf die Idee kommen, zunächst eine detaillierte Bestandsaufnahme zu machen, sondern ganz schnell eine Lagefeststellung vornehmen, um daraus dann die Reaktion zu planen.

Was ist der schnellste Entschluss, den ich nahezu ohne Beurteilung der Lage treffen kann? (Fast) Keiner rührt sich! Damit möglichst niemand etwas unerlaubt wegnimmt oder sabotiert. Das Prinzip dahinter nennt sich "Least Privilege" (Prinzip der geringsten Rechte) und ist neben Defense in Depth (mehrere Verteidigungsebenen, folgen in Teil 4) fast das einzige Securityprinzip, das in quasi allen Einsatzbereichen zur Anwendung kommt.

Berechtigung per Passwort

Wie stelle ich nun aber sicher, dass nur Berechtigte(s) "passieren" dürfen/darf, wenn ich gar nicht alle meine Pappenheimer, sprich Assets, kenne? Schon vor Jahrtausenden wies man sich durch Parolen oder Losungen als militärischer Bote aus, um nicht als Spion abgefangen zu werden. Oder heute, um als VIP in den Club gelassen zu werden.

Ein Passwort ist also etwas, das ich weiß. Und eventuell auch noch andere – aber Unberechtigte hoffentlich nicht. Aus Sicht des zu schützenden Systems zeichnet die Kenntnis des Passworts als zum Kreis der Berechtigten gehörig aus beziehungsweise definiert diesen Kreis erst. Wir wissen zwar nicht, wer das ist, aber jemand hat dieser Person das geheime Passwort verraten, also wird sie wohl dazugehören, ähnlich wie ein sozialer Code. Das muss reichen in diesem groben System der Regelung des Zutritts, der Zugriff heißt, wenn es sich um digitale Boten(-gänge) handelt.

Nun gibt es eine ganze Wissenschaft und eine noch größere Folklore rund um die Frage, was gute Passwörter sind und was ein guter Umgang mit ihnen. Dabei steckt alles bereits in der Definition: Etwas, das wirklich (nur) ich weiß, lässt sich nicht verlässlich durch Kürze (admin), Wörterbücher (iloveyou), Hochzählen (hunter2) oder ständige Passwortwechsel (johnny2023) produzieren. Zufall hilft wahrscheinlich. Und dieser letzte Satz ist an und für sich so schön, dass man ihn hätte schreiben sollen, selbst wenn er nicht korrekt gewesen wäre. Ein weiterer Teil der Kunst beschäftigt sich mit der Frage, wie Passwörter vor dem Gestohlenwerden geschützt werden können (salzen, pfeffern, verdauen, hashen …) – dazu an anderer Stelle mehr.

Einfach alles schützen

Wenn diese Passierscheine flächendeckend vorliegen, kann ich ein System von Checkpoints einrichten, die diese möglichst engmaschig abfragen, und muss dann im Prinzip gar nicht mehr alle Assets kennen. Die Kenntnis des Passworts oder eines anderen Geheimnisses hat das Verteidigungsproblem von einem militärisch-physischen (Hast du alle Straßen im Blick? Auch im Dunkeln? Erkennst du eine Spionin?) in ein linguistisches transformiert (Kannst du mir das Wort nennen?). Und darin sind Computer unschlagbar. (ur)