Endpoint Management, Risk Management

Just-in-Time-Sicherheit : Der Mythos von Sicherheit versus Komfort

November 2022

Mit der Zunahme der Fernarbeit wird der zeitnahe und effiziente Zugriff auf die richtigen Unternehmensressourcen zu einem wichtigen Wettbewerbsvorteil. Die Mitarbeiter wollen das Gefühl haben, dass sie in ihrer Arbeit bestmöglich unterstützt werden, und dazu gehört auch der einfache und schnelle Zugriff auf Unternehmensdaten von mehreren Geräten und von verschiedenen Standorten aus. Die Arbeitskräfte von heute sind agil und flexibel, was eine ganze Reihe von Vorteilen für Produktivität und Talente mit sich bringt. Das bedeutet aber auch, dass Unternehmen in der Lage sein müssen, die richtigen Verwaltungsrechte festzulegen und sicherzustellen, dass die Mitarbeiter zum richtigen Zeitpunkt Zugriff auf die benötigten Daten erhalten.

Das Prinzip des Just-in-Time-Zugriffsschutzes hat in letzter Zeit in der Geschäftswelt an Popularität gewonnen, und es ist genau das, was der Name sagt: Zugriff auf IT-Ressourcen genau dann zu gewähren, wenn sie benötigt werden. Kurz gesagt bedeutet dies, dass die Benutzer nur dann die Berechtigung erhalten, auf ein System oder eine Ressource zuzugreifen, um eine bestimmte Aufgabe auszuführen, wenn Bedarf besteht.

Warum Just-in-Time?

Wir sollten die Just-in-Time-Sicherheit als ein grundlegendes Verfahren betrachten. Sie soll dazu beitragen, die Sicherheit zu erhöhen und die Einhaltung von Vorschriften zu gewährleisten, während den Mitarbeitern der dringend benötigte Datenzugriff ermöglicht wird.

Mitarbeiter wollen von mehreren Geräten aus arbeiten, von zu Hause oder unterwegs auf Daten zugreifen können, und sie wollen dies auf einfache und effiziente Weise tun. Dies ist keine neue Erkenntnis, aber in den letzten 18 Monaten haben wir eine stärkere Verlagerung hin zum hybriden Arbeiten erlebt, und inzwischen setzen die meisten Unternehmen in fast allen Branchen in irgendeiner Form darauf.

Eine der größten Sicherheitsherausforderungen besteht jedoch darin, dass die Mitarbeiter einfach außerhalb der IT-Parameter arbeiten, wenn dieser Zugang nicht verfügbar ist oder komplex und unbequem wird. Die Mitarbeiter können die Sicherheit als einen Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit betrachten, was für Unternehmen zu einem massiven Problem werden kann. Daher müssen Unternehmen dieses Problem frühzeitig angehen und sicherstellen, dass die Mitarbeiter den erforderlichen Zugang erhalten und dass alle Mitarbeiter die Cyberrisiken verstehen.

Es ist nach wie vor notwendig, dass Unternehmen den Zugang zu sensiblen Daten beschränken, so dass es schwierig sein kann, das richtige Gleichgewicht zu finden. Unabhängig davon, ob es sich um einen Fernzugriff oder ein Büro handelt, sollte kein Unternehmen pauschal den Zugang zu sensiblen Daten erlauben. Wenn zu viele Benutzer ständig mit zu vielen Berechtigungen ausgestattet sind, besteht ein exponentiell höheres Risiko, dass privilegierte Anmeldeinformationen gestohlen, ausgenutzt und erweitert werden, um Geheimnisse zu stehlen, Daten zu verschlüsseln oder Systeme zum Stillstand zu bringen. Die Gewährung erweiterter Berechtigungen nur bei Bedarf – nicht mehr und nicht weniger – schränkt die Gefährdung auf ein Minimum ein und ermöglicht es den Benutzern dennoch, ihre Arbeit effizient zu erledigen.

In einer kürzlich von Oracle und KPMG durchgeführten Studie wurde festgestellt, dass 59% der befragten Unternehmen Opfer eines Cyberangriffs wurden, weil privilegierte Zugangsdaten weitergegeben oder gestohlen wurden. Die Chancen stehen also nicht gut, wenn es darum geht, Benutzern in Ihrem Unternehmen zu viele Privilegien einzuräumen. Die meisten Unternehmen gewähren ihren Benutzern in der Regel pauschal zu viele Rechte oder zu viele Ressourcen. Während dies aus betrieblicher Sicht sinnvoll ist, kann es aus Sicht der Sicherheit zu weit gehen. Sobald Unternehmen jedoch Privilegien einschränken, kann dies die tägliche Arbeit behindern und die Produktivität der Mitarbeiter beeinträchtigen, wenn nicht sorgfältig vorgegangen wird.

Aus diesem Grund ist die Just-in-Time-Zugangssicherheit eine grundlegende Praxis, um überflüssige Zugriffsrechte zu reduzieren, und ein Schlüsselinstrument bei der Umsetzung des Prinzips der geringsten Rechte und der Zero-Trust-Sicherheitsmodelle. Die Just-in-Time-Sicherheit zielt darauf ab, das Risiko bestehender Privilegien zu minimieren, um das Risiko und die Gefährdung durch potenzielle Cyberangriffe zu begrenzen.

Dieser Ansatz befasst sich im Kern mit drei Hauptfaktoren des Zugriffs: Ort, Zeitpunkt und Aktionen. Von wo aus versucht ein Benutzer zuzugreifen? Ist er berechtigt, während dieses Zeitraums zu arbeiten, und wie lange muss er den Zugriff aufrechterhalten? Was genau versucht er mit seinem Zugang zu tun?

Letztendlich besteht das Ziel der Just-in-Time-Sicherheit darin, die Anzahl der Benutzer mit erhöhten Rechten, die Anzahl der Rechte, über die sie jeweils verfügen, und die Dauer, für die sie gewährt werden, auf ein absolutes Minimum zu reduzieren. Auf diese Weise können Unternehmen mit Hilfe strategischer Technologielösungen ihre Cybersicherheitslage verbessern, um Schwachstellen zu minimieren und böswillige Akteure daran zu hindern, ihre Privilegien im gesamten Netzwerk zu erweitern und selbst zu erweitern.

Just-in-Time-Sicherheit in die Praxis umsetzen

Der erste Schritt besteht darin, alle Benutzerzugriffsrechte unternehmensweit zu prüfen, um den Umfang und das Ausmaß des Problems zu ermitteln. Wie viele Benutzer gibt es? Welche Profile haben sie, und auf welche Anwendungen und Systeme benötigen sie in der Regel Zugriff? Wie viele Benutzerkonten sind inaktiv, wie viele erhöhte Zugriffsrechte werden selten oder nie genutzt?

Auf der Grundlage der aufgedeckten Antworten besteht der nächste Schritt darin, eine interne Richtlinie zu erstellen, um die Anforderungen an die Benutzer zu definieren, denen der Zugriff auf die Zielsysteme gewährt werden soll: welche Rollen und Teams, unter welchen Bedingungen und für wie lange soll der Zugriff erlaubt werden? Außerdem müssen Sie die Kontrolle über alle Passwörter und Anmeldedaten für die Zielsysteme wiedererlangen. Die zentrale Verwaltung und Rotation von Passwörtern für Anwendungen und IT-Ressourcen ist entscheidend für ein umfassendes Risiko- und Schwachstellenmanagement.

Eine Lösung zur Verwaltung privilegierter Zugriffe ist ein wichtiger erster Schritt zum Schutz der „Kronjuwelen“ der IT-Infrastruktur. Diese Art von Lösung zentralisiert und rationalisiert den sicheren Zugriff auf kritische IT-Ressourcen wie Produktionsserver. Dadurch wird die gemeinsame Nutzung von Root-Passwörtern vermieden und der sensible Zugang gesperrt. Eine vorübergehende Erhöhung der Zugriffsrechte kann bei Bedarf beantragt werden, damit menschliche und maschinelle Benutzer gelegentliche Aufgaben ausführen oder privilegierte Befehle ausführen können. Der Benutzer reicht einfach eine Ticket-Anfrage ein, um die Berechtigungen für eine bestimmte Aktion und einen bestimmten Zeitraum dank der Verwaltung von Privilegienerweiterung und -delegation zu erhöhen. Wenn die Verbindung über eine Lösung zur Verwaltung privilegierter Zugriffe hergestellt wird, ist die Benutzererfahrung nahtlos und erleichtert die Produktivität und Effizienz, während die Berechtigung zur Verbindung mit dem Server auf der Grundlage der in der Lösung definierten Just-in-Time-Prinzipien vollständig überprüft wird.

Die Vorteile ernten

Nach der vollständigen Implementierung schränkt die Just-in-Time-Zugriffsverwaltung die Zeitspanne, in der ein Konto erhöhte Privilegien und Zugriffsrechte besitzt, strikt ein, um das Risiko und die Angriffsfläche zu verringern. Privilegierte Konten werden nur für die Zeit verwendet, die für die Durchführung der Aufgabe oder Aktivität erforderlich ist – Benutzer, Konten und Sitzungen behalten keine „Dauerprivilegien“, sobald die Aufgabe abgeschlossen ist. Mit den richtigen Lösungen für die Zugriffssicherheit wird Just-in-Time durch eine dynamische Erhöhung der Berechtigungen vereinfacht, um sicherzustellen, dass nur die richtigen Identitäten bei Bedarf und für die kürzeste Zeit über die entsprechenden Berechtigungen verfügen.

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Dauer	Beschreibung
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Dauer	Beschreibung
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Just-in-Time-Sicherheit : Der Mythos von Sicherheit versus Komfort

Warum Just-in-Time?

Just-in-Time-Sicherheit in die Praxis umsetzen

Die Vorteile ernten

Cybersicherheit im Einzelhandel: Wie man sich am besten schützt

Die Sicherung aller Zugänge – eine indiskutable Pflicht jedes Unternehmen

Zugehörige Artikel

Ähnliche Resourcen

Produkte

Lösungen

Ressourcen

Unternehmen