„Just-in-Time“ – die Schlüsselstrategie für Zugangssicherheit

Die digitale Transformation von Unternehmen und die Notwendigkeit des Fernzugriffs auf Informationssysteme hat zur Folge, dass die Anzahl der privilegierten Benutzer (Administratoren, Geschäftsmanager, Lieferanten usw.) ständig zunimmt. Es ist unerlässlich, diese privilegierten Zugriffe umfassend zu kontrollieren, indem der Umfang (welche Berechtigungen werden erteilt bzw. wo sind diese Berechtigungen anwendbar?) und die Dauer (wann und für wie lange wird die Berechtigung erteilt?) jederzeit gesteuert werden.

Eine Verringerung der mit dem Missbrauch von privilegiertem Zugriff verbundenen Risiken oder sogar die völlige Abschaffung von Privilegien (Zero Standing Privilege – ZSP) ist das eigentliche Prinzip von Just-In-Time (JIT). Obwohl es verschiedene Methoden zur Umsetzung gibt, besteht das Hauptziel von JIT darin, den Zeitpunkt der Nutzung des Privilegs – oder eines möglichen Missbrauchs – zu kontrollieren und die Angriffsfläche zu verringern (IoT, Multi-Cloud-Umgebung, DevOps-Einsatz, Automatisierung von Roboterprozessen usw.).

Warum Just-in-Time?

Just-in-Time-Zugangssicherheit (JIT) ist ein grundlegendes Verfahren zur Verringerung überflüssiger Zugriffsrechte und ein wichtiges Instrument zur Umsetzung des Prinzips der geringstnotwendigen Privilegien und des Zero-Trust-Sicherheitsmodells. Dabei gewährt JIT Benutzern, Prozessen, Anwendungen und Systemen bestimmte Rechte und Zugriffsmöglichkeiten, um bestimmte Aufgaben für einen vordefinierten Zeitraum auszuführen.

Die Just-in-Time-Sicherheit zielt darauf ab, das Risiko bestehender Privilegien zu minimieren, um das Risiko und die Gefährdung durch potenzielle Cyberangriffe zu begrenzen. Wenn zu viele Benutzer permanent über zu viele Privilegien verfügen, setzt sich das Unternehmen einem exponentiell höheren Risiko aus, dass eben diese privilegierte Anmeldeinformationen gestohlen oder ausgenutzt werden. Die Folge: Vertrauliche Informationen können gestohlen, Daten verschlüsselt oder Systeme zum Stillstand gebracht werden. Die Gewährung erweiterter Berechtigungen nur bei Bedarf – nicht mehr und nicht weniger – beschränkt die Gefährdung auf ein Minimum und ermöglicht es den Benutzern dennoch, ihre Arbeit effizient zu erledigen.

Laut Microsofts Schwachstellenbericht 2021 war die Erhöhung von Berechtigungen das Sicherheitsproblem Nummer 1, das 44 % der gesamten Schwachstellen ausmachte – eine fast zweifache Steigerung gegenüber 2020 (ganz zu schweigen davon, dass die Beseitigung administrativer Rechte von Endgeräten alle kritischen Schwachstellen von Microsoft um 56 % reduzieren würde).

Mithilfe von Just-In-Time lässt sich ein ständig aktives privilegiertes Konto sehr einfach in einen nur wenige Minuten aktiven Zustand versetzen. Wendet man diesen Ansatz auf alle Konten an, lassen sich Sicherheitsrisiken extrem schnell reduzieren. JIT schützt jedoch nicht nur Ihre Konten dank des Zeitfaktors, sondern entschärft auch Angriffsvektoren, die Techniken wie Lateral Movement verwenden, indem es böswillige Akteure daran hindert, vorzudringen und ihre Privilegien im Netzwerk zu erhöhen.

Just-in-Time (JIT) Sicherheitsrichtlinien helfen Unternehmen dabei:

die allgemeine Cybersicherheitslage zu verbessern
übermäßige Privilegien abzuschaffen und eine „Zero Standing Privileges“-Richtlinie einzuführen
Privilegieneskalationsprozesse zu rationalisieren und automatisieren
Privilegierte Benutzer (egal, ob Mensch und Maschine) zu verwalten
Einen sicheren Fernzugriff auf sensible Ressourcen zu ermöglichen
Sicherheit zu erleichtern ohne die Produktivität zu beeinträchtigen

Wie funktioniert das?

Der Zweck der Just-in-Time-Sicherheit ist die automatische Zuweisung der Berechtigungen, die ein Benutzer benötigt, und die Berücksichtigung der drei wichtigsten Zugangsfaktoren: Ort, Zeit und Aktionen. Von wo aus versucht ein Benutzer zuzugreifen? Ist er berechtigt, während dieses Zeitraums zu arbeiten, und wie lange muss er den Zugriff aufrechterhalten? Was genau versucht er mit seinem Zugang zu tun?

Nehmen wir zum Beispiel Alice, die bei der XYZ GmbH angestellt ist. Alice benötigt Zugang zum IT-System, um im Rahmen ihres Auftrags Wartungsarbeiten an einigen wichtigen Servern durchzuführen. Dank des Just-In-Time-Prinzips kann Alice ein Ticket erstellen, das ihr nach Genehmigung durch die IT-Abteilung für einen bestimmten Zeitraum und unter vordefinierten Bedingungen exklusiven Zugang zu dem spezifischen Rechner gewährt, an dem sie arbeiten muss, und zu keinem anderen.

In Alices Fall erlaubt die JIT-Sicherheit die Erhöhung ihrer Berechtigungen unter vordefinierten Bedingungen, um die robuste Sicherheit XYZ GmbH zu gewährleisten:

Zugriff nur während der normalen Arbeitszeiten
Zugriff auf sensible Ressourcen nur für bestimmte Aufgaben
Ausweitung der Anwendungsrechte ohne Ausweitung der gesamten Benutzersitzung
Sicherer Fernzugriff für Mitarbeiter und externe Anbieter

In der Praxis gibt es vielfältige Regeln, die einen JIT-Zugriff definieren – diese hängen von der Verwendung und den Merkmalen der privilegierter Konten ab (z.B. deren Berechtigungsstufe, Genehmigungsabläufe, Zugriffe, Multi-Faktor-Authentifizierung usw.). In jedem Fall ist es wichtig im Vorfeld zu erfragen, welche Regeln bei der Verwendung eines JIT-Zugangs gelten und welche Bedingungen für den Entzug solcher Zugänge erfüllt sein müssen.

Wie implementiert man JIT?

Der erste Schritt wäre eine unternehmensweite Prüfung aller Benutzerzugriffsrechte, um den Umfang und das Ausmaß des Problems zu ermitteln. Wie viele Benutzer gibt es? Welche Profile haben sie, und auf welche Anwendungen und Systeme benötigen sie in der Regel Zugriff? Wie viele Benutzerkonten sind inaktiv, wie viele erhöhte Zugriffsrechte werden selten oder nie genutzt?

Auf der Grundlage der aufgedeckten Antworten besteht der nächste Schritt darin, interne Richtlinien festzulegen, um die Anforderungen an die Benutzer zu definieren, denen Zugriff auf die Zielsysteme gewährt werden soll: Welche Rollen und Teams, unter welchen Bedingungen und für wie lange soll der Zugriff erlaubt sein?

Außerdem müssen Sie die Kontrolle über alle Passwörter und Anmeldedaten für die Zielsysteme wiedererlangen. Die zentrale Verwaltung und Rotation von Passwörtern für Anwendungen und IT-Ressourcen ist entscheidend für ein umfassendes Risiko- und Schwachstellenmanagement.

Mit diesem Vorwissen sind Sie nun optimal auf die Einführung einer “Just-in-Time”-Sicherheitspolitik vorbereitet. Was Sie jetzt nur noch tun müssen ist, unsere Lösung zu implementieren: WALLIX PAM4ALL bietet eine konkrete Antwort auf die Probleme, die durch Always-on Accounts entstehen. PAM4ALL ist die einheitliche Lösung für das Privilegien- und Zugriffsmanagement, die es Ihnen ermöglicht, alle Benutzerzugriffe (ob menschlich oder maschinell, von IT-Administratoren bis hin zu Mitarbeitern oder Subunternehmern) zu sichern, zu kontrollieren und zu verwalten und damit die Grundlage für eine Zero-Trust-Architektur zu schaffen:

Multi-Faktor-Authentifizierung (MFA) neutralisiert mit einer Vielzahl von Mechanismen die mit kompromittierten Anmeldedaten verbundenen Risiken.
Durch die Anwendung granularer Berechtigungen für Personen, die auf die sensiblen digitalen Dienste des Unternehmens zugreifen, managen Sie problemlos den Fernzugriff für Zulieferer, Mitarbeiter oder Drittanbieter
Mit unserem Sitzungsmanagement verbessern Sie Ihre Sicherheitsüberwachung und die Kontrolle des “Was, Wie und Wann” von internen und externen Personen, die auf kritische Unternehmensressourcen zugreifen.
Passwortmanagement schafft Voraussetzungen zur Sicherung und Rotation von Passwörtern und Schlüsseln sowie die Entfernung von harten Passwörtern. PAM4ALL ermöglicht zudem die Trennung von Workstations von dedizierten Konten für die Verwaltung der Benutzer eines Unternehmens (Silo) und schützt Active Directory-Zugangsdaten und Passwörter.
Least Privilege Management entfernt lokale Administrationsrechte von Workstations, um dem richtigen Benutzer zur richtigen Zeit die richtigen Privilegien zu gewähren, Querbewegungen zu blockieren und die Verbreitung von Malware zu stoppen.

Mit PAM4ALL verfügen Benutzer (z.B. IT-Administratoren mit Zugriff auf Konten) nicht mehr über unbegrenzte Berechtigungen. Menschliche Benutzer und Maschinen können eine vorübergehende Erhöhung der Privilegien beantragen, wenn sie gelegentliche Aufgaben durch- oder Befehle ausführen müssen. Auslöser, Regeln für die Verwaltung und den Entzug von Privilegien sowie Methoden zur Durchsetzung von JIT stehen unter der Kontrolle der IT-Abteilung, die die Verwendung von JIT nach den Kriterien ihrer Sicherheitsrichtlinien anpassen kann.

WALLIX PAM4ALL schützt alle Benutzer, auch außerhalb des IT-Teams, da Endpunkte eine ständige Quelle für Schwachstellen sind. Das Least Privilege Management erlaubt es den Benutzern, ihre Privilegien dynamisch und transparent für eine bestimmte Anwendung oder einen Prozess zu erhöhen, ohne dass die Sitzungs- oder Benutzerprivilegien erhöht werden müssen. Mit PAM4ALL wird der Zugriff gewährt und die Privilegienerweiterung “Just-in-Time” erlaubt, d.h. zu dem Zeitpunkt, zu dem ein Benutzer eine bestimmte Aufgabe ausführen muss (Ausführen eines Programms, Installieren vertrauenswürdiger Software), während nicht autorisierte Verschlüsselungsvorgänge oder Versuche der Privilegienerweiterung blockiert werden.

Wenn Sie mehr über Just-in-Time-Sicherheit erfahren möchten, sehen Sie sich unser Webinar an:

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Dauer	Beschreibung
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Dauer	Beschreibung
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

„Just-in-Time“ – die Schlüsselstrategie für Zugangssicherheit

Warum Just-in-Time?

Wie funktioniert das?

Wie implementiert man JIT?

verwandter Inhalt

Sicherung von Industrieumgebungen und das Risiko von isolierten PCs

Sicherheit industrieller Kontrollsysteme (ICS): Vorschriften

Absicherung von IIoT mit Privileged Access Management

PAM und SCADA-Sicherheit

Zugriffssicherheit für die Industrie 4.0

Verwandte Ressourcen

PRODUKTE

RESSOURCEN

SUPPORT

ÜBER

FOLGEN SIE UNS

„Just-in-Time“ – die Schlüsselstrategie für Zugangssicherheit

Warum Just-in-Time?

Wie funktioniert das?

Wie implementiert man JIT?

Diesen Artikel teilen

verwandter Inhalt

Verwandte Ressourcen

PRODUKTE

RESSOURCEN

SUPPORT

ÜBER

FOLGEN SIE UNS