Mit den steigenden Anforderungen an die IT-Sicherheit sehen sich Unternehmen zunehmend mit der Problematik von Geheimnisausbreitung und maschinellen Identitäten konfrontiert. Einer der größten Sicherheitsrisiken bleibt die nicht-menschliche Identität – und damit verbundene Berechtigungen und Zugriffsschlüssel, die oft zu breit gestreut werden und lange unbemerkt bleiben.
Die Rotation von Anmeldeinformationen, beispielsweise den Wechsel von Schlüsselpaaren oder Zugangscodes, sollte in der Theorie einfach sein. Doch immer wieder erleben Unternehmen, dass dieser Prozess Wochen dauern kann. Ein wesentlicher Grund dafür ist die mangelnde Übersicht über zugewiesene Berechtigungen. Viele Unternehmen haben keinen klaren Überblick darüber, welche Dienste oder Maschinen welche Berechtigungen benötigen.
Die Frage der Zuständigkeit bei verloren gegangenen Zugangsschlüsseln oder zu breit gestreuten Berechtigungen bleibt oft unklar. Geheimnisausbreitung – die unerwartete Verbreitung von Anmeldeinformationen in verschiedenen Entwicklungsumgebungen – wird häufig als Aufgabe des IT-Sicherheitsteams definiert. Doch Entwickler spielen ebenfalls eine zentrale Rolle, ihre Berechtigungen ordnungsgemäß zu dokumentieren und nach bewährten Sicherheitsstandards zu handeln.
Die Frage der Zuständigkeit bei verloren gegangenen Zugangsschlüsseln oder zu breit gestreuten Berechtigungen bleibt oft unklar. Geheimnisausbreitung – die unerwartete Verbreitung von Anmeldeinformationen in verschiedenen Entwicklungsumgebungen – wird häufig als Aufgabe des IT-Sicherheitsteams definiert. Doch Entwickler spielen ebenfalls eine zentrale Rolle, ihre Berechtigungen ordnungsgemäß zu dokumentieren und nach bewährten Sicherheitsstandards zu handeln.
Entwickler stehen unter einem ständigen Zeitdruck, möglichst schnell neue Funktionen zu entwickeln und freizugeben. Dies führt dazu, dass die Einrichtung von Berechtigungen, die strenges Sicherheitsmanagement erfordern, oft unzureichend erfolgt. Das Ergebnis: zu weit gefasste Berechtigungen für maschinelle Identitäten, die weit über den eigentlichen benötigten Rahmen hinausgehen.
Obwohl es verlockend erscheint, eine zu enge Definition der Berechtigungen den Sicherheitsteams zu überlassen, ist deren Wissen über die spezifischen Anforderungen der jeweiligen Projekte oft unzureichend. Das Verständnis dessen, welche Zugriffsrechte kritisch sind, bleibt oft den Entwicklern überlassen. Daher müssen beide Teams zusammenarbeiten, um sicherzustellen, dass ein sicherer, aber praktikabler Zugang bestehen bleibt.
Ein Shared-Responsibility-Modell – in dem Entwickler und Sicherheitsteams gemeinsam an der Verwaltung von Zugriffsberechtigungen arbeiten – könnte die Antwort sein. Entwickler sollten trotz Zeitdrucks detaillierte Dokumentationen zu notwendigen Berechtigungen erstellen, während die IT-Abteilungen bessere Werkzeuge zur Sicherung und Überwachung bereitstellen.
Bei der Dokumentation und Verwaltung von Berechtigungen sollten stets folgende Fragen berücksichtigt werden:
Die Berechtigungsverwaltung hat ihre Herausforderungen, die aber gemeinsam angegangen werden können. Die enge Zusammenarbeit zwischen Entwicklern und dem IT-Sicherheitsteam ist entscheidend, um Geheimnisausbreitung effizient zu verhindern und Sicherheitsvorfälle schneller zu beheben.
Ein Microsoft-Sicherheitsupdate hat unerwartet eine neue Sicherheitslücke geschaffen, die Unternehmen in Gefahr bringt. Diese nicht dokumentierte Nebenwirkung könnte dazu führen, dass Windows-Updates von Nutzern blockiert und Systeme von zukünftigen Sicherheitsupdates abgeschnitten werden. Ein potentieller Albtraum für IT-Sicherheit und Geschäftsführung.
Zwei kritische Schwachstellen in Spotfires KI-Analyseplattform können von Hackern ausgenutzt werden, um Unternehmen aus Industrie, Finanzsektor und Forschung zu bedrohen. Experten fordern CEO, CIO und CISO dazu auf, diese Risiken ernst zu nehmen und strategisch zu agieren.
Eine Sicherheitslücke im WordPress-Plug-in „SureTriggers“ gefährdet über 100.000 Unternehmens-Webseiten. Der Beitrag beleuchtet die Risiken und gibt Handlungsempfehlungen für effektive IT-Sicherheitsstrategien.
