Datenleck Mitarbeiter

Der Feind im eigenen Haus

20.10.2010
Von 
Bernd Reder ist freier Journalist mit den Schwerpunkten Netzwerke, IT und Telekommunikation in München.

Wer kontrolliert den Systemverwalter?

Ein Mitarbeiter, der in vielen Fällen schlichtweg übersehen wird, wenn es um Data Loss Prevention geht, ist der Systemadministrator. Das ist verwunderlich, nimmt er doch vor allem in mittelständischen Firmen, die sich keine große IT-Abteilung leisten können, eine Schlüsselposition ein: Er managt die Passwörter, verwaltet Server und Clients, konfiguriert Netzwerkgeräte und ist für die IT-Sicherheit zuständig. Kein Wunder, dass diese Super-User besonders häufig ins Visier von Cyberkriminellen geraten. Sie bestechen und erpressen Systemverwalter, um an Firmendaten zu gelangen.

Eine probates Gegenmittel sind Monitoring-Tools. Bekannte Hersteller sind Balabit, Cyber-Ark, e-DMZ Security und die französische Firma Wallix. Solche Systeme protokollieren, wer wann auf welche IT-Systeme und Datenbestände zugegriffen hat und welche Konfigurationseinstellungen er geändert hat. Zudem archivieren die Lösungen diese Informationen revisionssicher in so genannten Audit Trails.

Neben der lückenlosen Aufzeichnung administrativer Zugriffe bieten die Lösungen auch die Option, nur authentifizierten Personen den Zugang zu kritischen IT-Ressourcen einzuräumen. Zudem wird festgelegt, welche Dateien Administratoren zwischen dem Client- und einem Zielsystem übertragen können. Das erschwert den Datendiebstahl.

Tools für Überwachung von Administrator-Aktivitäten

Hersteller

Produkt

Funktionen

Betriebsystem -
Plattform

Balabit
Budapest (Ungarn)

Balabit Shell Control Box (SBC)

- Lösung für Kontrolle aller Aktivitäten von Systemverwaltern, auch von externen IT-Dienstleistern

- Support für Vielzahl von Protokollen, inklusive SSH, inklusive X11-Forwarding, RDP5, RDP6, VNC, Telnet, TN3270

- Unterstützt Vier-Augen-Prinzip

- Arbeitet als Hardware-Appliance unabhängig von Servern und Client-Rechnern im Netz Protokollierung ("Mitschneiden") aller Admin-Sessions

- Automatisches Backup der erfassten Daten

- Aufgezeichnete Sessions werden in Audit-Trails gespeichert, die sich gezielt nach Ereignissen durchsuchen lassen

Hardware-Appliance auf Basis von Sun-Microsystems-Server

Cyber-Ark

Newton (USA, Massachusetts)

Privileged Session Manager und Privileged Identity ManagementSuite

- Lösung für Verwalter alter Arten von privilegierten Benutzer-Accounts: Anwendungen, Systemen im Firmennetz

- Kontrolle von Super-Usern, etwa Systemverwaltern von Windows- und Linux-Servern und Netzwerkgeräten

- Aufzeichnung von Sessions von privilegierten Usern möglich

- Ablage von Sitzungsdaten in manipulationssicherem Speicher

- SIEM-Integration

- Support für Vielzahl von
Authentifizierungsverfahren, unter anderem Radius, LDAP, PKI, RSA SecureID

Server: Windows 2003 und 2008 Server

e-DMZ Security

Morrisville (USA, North Carolina)

Total Privileged Access Management Suite

- Modulares Paket mit Lösungen für Passwort-, Session- und Command-Management

- Für Überwachung der Aktivitäten von internen und externen Administratoren

- Aufzeichnung und Archivierung aller Sessions

- Proxy-Funktion zur Abschottung von IT-Systemen gegen direkte Zugriffe

- Support von SSH, RDP, Web-Anwendungen, Windows, Linux/Unix, AS/400

Hardware-Appliance

Toolbox Solution GmbH

Stuttgart (Deutschland)

TBS Backplane Service

- Speziell auf die Überwachung der Aktivitäten von IT-Service-
Providern und IT-Service-Personal ausgelegte Software-Lösung

- Videoüberwachung möglich

- Erstellen und Verwalten von Access Profilen

- Ergänzung zu Oracle/Suns "Sun Secure Global Desktop"

- Unterstützt Vier-Augen-Prinzip

- Reporting für einzelne Sessions und rollenbasiertes Monitoring möglich

- Rollenbasiertes Task-Ticket-System mit Zeitbudget

Server: Linux (Red Hat 5, Suse EnterpriseLinux 11, Solaris 10)

Wallix

Paris (Frankreich)

Wallix Admin Bastion (WAB)

- Hardware-Appliance speziell für Überwachung von Remote-Management von IT-Systemen

- Unterstützte Protokolle: Telnet, RDP, SSH, rlogin, SFTP

- Rechte-basierte Zugriffskontrolle

- Überwachung und Reporting aller Verbindungen und Sessions

- Analyse verdächtiger Shell-Commands

- Auswertungen und Statistiken, auch in grafischer Form

Hardware-Appliance