Donnerstagnacht, kurz vor 23 Uhr. Das ganze Unternehmen schläft. Das ganze Unternehmen? Nein, ein unerschrockener Held trotzt seiner Müdigkeit und installiert Server-Updates, damit seine Kollegen sicher sind, ohne ihre Arbeit unterbrechen zu müssen.
Ungefähr so könnte die Dramaturgie am Beginn der Geschichte desjenigen Protagonisten aufgebaut werden, um den es heute geht: den Systemadministrator.
Seit dem Jahr 2000 wird am letzten Freitag im Juli diese geschäftskritische Rolle mit ihrem eigenen, inoffiziellen Feiertag gewürdigt, dem Tag des Systemadministrators. Die englische Originalbezeichnung ist sehr viel treffender: System Administrator Appreciation Day. Und Wertschätzung haben Systemadministratoren allemal verdient.
Systemadministratoren – Schutzschild und mögliche Schwachstelle zugleich
All die verschiedenen Tätigkeiten von Systemadministratoren zu beschreiben, würde den Rahmen dieses Beitrags bei weitem sprengen. Zu vielfältig ist das Aufgabenprofil, zu sehr unterscheidet es sich von Organisation zu Organisation und zu dynamisch entwickelt es sich weiter. Eines steht aber fest: sie sind weit mehr als Helfer in der Not bei Layer-8-Problemen verzweifelter Kollegen. Mit ihnen steht und fällt die Informationssicherheit der Organisation. Nicht umsonst sind sie am Arbeitsmarkt gefragt: laut einer Studie des Bitkom e.V. war im Jahr 2020 jedes dritte Unternehmen mit IT-Vakanzen auf der Suche nach IT-Administratoren.
Um ihre Aufgaben erledigen zu können, haben Administratoren weitreichende privilegierte Zugangsrechte. Bei unzureichender Berücksichtigung sicherheitsrelevanter Aspekte kann dies zu einer extrem bedrohlichen Schwachstelle werden. Wir beleuchten anhand der Vorgaben und Empfehlungen der internationalen Normen ISO 27001 und 27002, was aus Sicht der Informationssicherheit im Zusammenhang mit der Rolle des Systemadministrators beachtet werden muss.
Personalsicherheit
Schon bei der Besetzung von Systemadministrator-Stellen sollte erwogen werden, eingehendere Prüfungen als für andere Stellen in Betracht zu ziehen. Definitiv zutreffend ist dies für die Definition und Verifizierung der erforderlichen Kompetenzen. Wichtig ist unter anderem die Asset-Struktur der Organisation. Mit dem seit 2020 weiter verstärkten Trend zum Cloud Computing wandeln sich auch die Anforderungen an Administratoren. Die Art des benötigten Fachwissens unterscheidet sich bei einem selbst gehosteten Server eben deutlich von einer verteilten Cloud-Lösung. Das eingangs gezeichnete Bild des Administrators, der in der eigenen Organisation die Serververwaltung manuell übernimmt, wandelt sich derzeit grundlegend.
Vom Bewerber angegebene Qualifikationen sollten nach Möglichkeit gegengeprüft werden, zum Beispiel über die zugehörigen Zertifikate. Achtung: Datenschutz-Fallstricke lauern bei Identitäts- und Zuverlässigkeitsprüfungen! Sich den Ausweis zur Identitätsfeststellung vorzeigen zu lassen, ist aus Sicht der EU-Datenschutz-Grundverordnung rechtmäßig, eine Kopie aufzubewahren nicht. Auch bei der Anforderung eines polizeilichen Führungszeugnisses oder eines Bonitätsnachweises ist Vorsicht geboten, denn die DSGVO und das Bundesdatenschutzgesetz setzen dafür sehr enge Leitplanken. Wer sich hier Fehler leistet, muss mit hohen Bußgeldern rechnen. Ein nicht zu unterschätzendes Risiko stellen in diesem Zusammenhang abgelehnte Bewerber mit Datenschutzkenntnissen dar.
Ein weiterer nicht zu vernachlässigender Punkt ist die Aufrechterhaltung der Awareness für Informationssicherheit während der Beschäftigung – ja, auch und gerade bei Administratoren! Denn wenn sich zu einer unzureichenden technischen Absicherung von Administratorzugängen (dazu weiter unten mehr) zum Beispiel schwache Admin-Passwörter gesellen, wird es schnell brandgefährlich. Auch gegen immer ausgefeilter werdendes Social Engineering sind Administratoren mit ihrem technischen Wissen nicht gefeit, jedoch gleichzeitig ein hoch priorisiertes Ziel insbesondere für Spear Phishing. Daher sollten insbesondere Administratoren sehr vorsichtig bei der Preisgabe privater oder beruflicher Informationen sein, zum Beispiel in sozialen Netzwerken.
Die kontinuierliche Weiterbildung von Administratoren sollte aufgrund des sich dynamisch entwickelnden technischen Umfeldes gewährleistet werden. Ein Administrator, dessen Wissen auf der Höhe der Zeit gehalten wird, kann ein echter Enabler für die Organisation sein, wenn es um die Nutzung von Chancen in Verbindung mit neuen Technologien geht!
Zugangsberechtigung
Um bei der Handhabung von Administratorzugängen ein angemessenes Maß an Informationssicherheit zu gewährleisten, müssen organisatorische und technische Schutzmaßnahmen Hand in Hand gehen.
Die Vergabe von Adminrechten sollte stets einem definierten Genehmigungsprozess anhand des 4-Augen-Prinzips folgen. Für Administratorkonten gilt genauso wie für jeden anderen Benutzer, dass ihnen nur die wirklich benötigten Rechte gewährt werden sollten. Außerdem muss eine Methode gefunden werden, um den Überblick über die vorhandenen Administratorkonten und deren Rechte zu behalten. Dies ist wichtig, um in einem regelmäßigen Turnus, aber auch bei Änderung oder Beendigung des Beschäftigungsverhältnisses prüfen zu können, ob Administratorrechte noch benötigt werden. Wird ein Administrator zum Beispiel zum Leiter des IT-Teams befördert, administriert selbst aber nicht mehr, ist sein Administratorkonto zeitgleich mit dem Positionswechsel zu sperren. Bei kritischen Assets kann ein probates Mittel darin bestehen, Administratorrechte von vornherein zeitlich befristet zu vergeben und nur falls nötig zu verlängern.
Dies führt zwangsläufig zu der Frage: Wer führt das Berechtigungsmanagement für Administratoren durch? Dass sich Administratoren selbst Berechtigungen erteilen können, sollte im Sinne der Aufgabentrennung nach Möglichkeit unterbunden sein. Hier kommt das Tier-Modell ins Spiel. Je nach Organisationsgröße ist es sinnvoll, für die Assets in der Infrastruktur und darauf zugriffsberechtigte Administratorkonten verschiedene Berechtigungsstufen, sogenannte Tiers, festzulegen. Microsofts Verzeichnisdienst Active Directory ist hierfür ein sehr praxisrelevantes und anschauliches Beispiel.
Besonders wenn ein Mitarbeiter zusätzlich zu seiner Rolle als Systemadministrator noch andere Geschäftsfunktionen ausübt, ist es essenziell, dass dieser sein Administratorkonto nur dann nutzt, wenn es wirklich gebraucht wird. Für Tätigkeiten, welche keine erweiterten Berechtigungen erfordern, sollte auch der Administrator ein separates Standard-Benutzerkonto verwenden. Gerade in kleineren Organisationen, in denen die Rolle des Administrators nicht mit einer eigenen Stelle budgetiert ist, wird aufgrund von Produktivitätsdruck und Bequemlichkeit das Administratorkonto oft für sämtliche Aktivitäten im Tagesgeschäft genutzt und damit eine leicht vermeidbare Angriffsfläche geschaffen. Diesen Fehler begehen übrigens die meisten Anwender auch bei der Nutzung ihrer Privatgeräte.
Die besten organisatorischen Maßnahmen sind allerdings nutzlos, wenn sie aufgrund einer unzureichenden technischen Absicherung von Angreifern leicht umgangen werden kann. Schon oft waren informationstechnologiebasierte Angriffe nur aufgrund schlecht abgesicherter Administratorkonten erfolgreich. Die Schutzmaßnahmen für Administratorenkonten sollten risikobasiert festgelegt werden, wobei sich die Schadenkategorie nach dem Worst-Case-Szenario richten sollte, das mit den Rechten des Kontos angerichtet werden kann. Eine Grundlage hierfür kann, muss aber nicht, eine geschäftsprozessbasierte Schutzbedarfsanalyse der verschiedenen IT-Assets sein. Auch wenn dies eine beliebte, weil simple, Methode für die Bestimmung der Eintrittswahrscheinlichkeit ist, sollte nicht nur betrachtet werden, wie oft Adminkonten der eigenen Organisation innerhalb eines bestimmten Zeitraums schon angegriffen wurden. Denn besonders sie sind ein beliebtes Ziel für sogenannte APT (Advanced Persistent Threats), also langfristig ausgelegte, professionell getarnte Angriffe, bei denen nicht immer von einer sofortigen Entdeckung ausgegangen werden kann. Daher dürfte eine realistische und fundierte Einschätzung der Eintrittswahrscheinlichkeit in der Regel recht hoch ausfallen.
Eine zentrale Rolle beim Schutz von Administratorkonten spielt eine ausreichend starke Authentisierung auf dem Stand der Technik. Grundlagen hierzu haben wir in unserem Blogartikel „Starke Authentisierung statt Passwortwechsel“ beschrieben. Assets, die diese Möglichkeit nicht bieten, sollten eventuell abgelöst werden. Adminkonten stellen zwar höhere Anforderungen an die Authentisierungsstärke als Standard-Benutzerkonten, gleichzeitig sind aber die Skalierbarkeitsanforderungen an die Authentisierungsmethode deutlich geringer, da es in den meisten Organisationen weit weniger Admin- als Standardbenutzerkonten gibt. Ein Beispiel hierfür sind Hardware Security Keys als zusätzlicher Authentisierungsfaktor, deren organisationsweitem Einsatz oft Investitionskosten und der erhöhte Administrationsaufwand im Weg stehen, die für eine begrenzte Anzahl von Administratoren aber durchaus praktikabel sein können.
Protokollierung
Weiteres Augenmerk sollte darauf liegen, dass Systemprotokolle nicht mit Administratorrechten manipuliert oder ihre Aufzeichnung gleich ganz deaktiviert werden können. Das trifft insbesondere auf jene Protokolle zu, welche die Tätigkeit des Administratorkontos selbst aufzeichnen. Diese Normanforderung zielt zum einen auf den Grundsatz der Aufgabentrennung ab, das heißt kein Systemadministrator sollte seine eigenen Spuren verwischen können. Denn auch wenn bei der Personalauswahl noch so große Sorgfalt an den Tag gelegt wurde, ein gewisses Restrisiko eines Angriffes von innerhalb der Organisation bleibt besonders bei Administratoren mit ihren weitreichenden Berechtigungen immer erhalten. Zum anderen trägt diese Schutzmaßnahme dazu bei, unbefugte Zugriffe durch externe Angreifer im Rahmen IT-forensischer Analysen besser nachvollziehen zu können. In der Praxis sind dieser Vorgehensweise aber oft enge Grenzen gesetzt. Viele Anwendungen sehen eine so granulare Berechtigungssteuerung nicht vor. Ein Wechsel ist in diesen Fällen oft nicht praktikabel, da er oft mit enormem Aufwand und Funktionalitätseinbußen verbunden wäre oder weil eine bessere Alternative, insbesondere für Spezialanwendungen, gar nicht existiert. Daher sollte zumindest sichergestellt werden, dass Manipulation, Löschung oder Änderungen an den Protokolleinstellungen ihrerseits geloggt werden und auf diese Protokolle nur mit Leserechten zugegriffen werden kann.
Externe Dienstleister
Bereits heute existiert wahrscheinlich kaum noch ein Unternehmen, das nicht wesentliche Systeme zumindest teilweise oder auch komplett an Cloud-Computing-Dienstleister ausgelagert hat. Mit den Anforderungen an die IT-Systeme steigen auch die Anforderungen an deren Administration, die Bündelung bei spezialisierten Dienstleistern ergibt daher Sinn. Wird die Systemadministration ausgelagert, dann müssen mit den Dienstleistern zwingend die Anforderungen an die erbrachte Dienstleistung festgelegt werden. Da es sich aus Datenschutzsicht bei ausgelagerten Administrationstätigkeiten regelmäßig um eine Auftragsverarbeitung handelt, ist ein Auftragsverarbeitungsvertrag ohnehin erforderlich. Artikel 28 Absatz 3 DSGVO setzt hierfür die Leitplanken. Die vom Auftragsverarbeiter zu treffenden technischen und organisatorischen Maßnahmen sollten dabei risikobasiert und orientiert an Artikel 32 DSGVO festgelegt werden. Dabei kann die Kritikalität der Assets zugrunde gelegt werden, auf die der Dienstleister zugreift. Allerdings bestimmt sich die Kritikalität eines Assets nicht nur anhand der verarbeiteten personenbezogenen Daten. Auch Assets, die keinerlei personenbezogene Daten verarbeiten, können eine hohe Kritikalität für die Schutzziele haben, insbesondere in KRITIS-Sektoren. Daher sollten bei kritischen Assets angemessene vertragliche Regelungen auch dann festgehalten werden, wenn aus DSGVO-Sicht kein Auftragsverarbeitungsvertrag benötigt wird. Beispiel sind SLAs für die Systemverfügbarkeit oder Reaktionszeiten bei Informationssicherheitsvorfällen.
Die Kritikalität wirkt sich nicht nur auf die Vertragsgestaltung aus, sondern auch auf das Lebenszyklus-Management des Lieferanten. Allerdings ist die vertragliche Berechtigung zur Durchführung von Lieferantenaudits oder überhaupt die Aushandlung bestimmter Vertragsbedingungen gerade bei der Nutzung von Hyperscalern nur begrenzt möglich. Auch Vorgaben, wie das Vorhalten eines Ersatzlieferanten für kritische ausgelagerte Dienstleistungen, sind durch den bei proprietären „Ökosystemen“ geschäftsmodellbedingten Vendor Lock-In oft nicht praktikabel. Mit Ansätzen wie Gaia-X besteht zumindest grundsätzlich die Chance, durch einheitliche und anbieterneutrale Standards dieses Problem zu lösen. Dass sie sich in der Praxis bewähren, steht aber noch längst nicht fest.
Im Kielwasser der beschriebenen Veränderungen ändert sich das Berufsbild des Systemadministrators gerade rasant. Allerdings gibt es Dinge, über die sich Systemadministratoren auch in Zukunft wohl nicht nur am letzten Freitag im Juli freuen werden: ein Stück Kuchen und vielleicht sogar ab und zu ein Dankeschön.
Zum Autor:
Benjamin Günther ist Berater für Managementsysteme. Bei der migosens GmbH liegt sein Schwerpunkt auf der Implementierung von Managementsystemen, vorrangig von Informationssicherheitsmanagementsystemen nach ISO27001. Darüber hinaus verfügt er über langjährige Berufserfahrung im Qualitätsmanagement und ist Qualitätsmanagementbeauftragter für die Norm ISO 9001.