Mit den steigenden Anforderungen an die IT-Sicherheit sehen sich Unternehmen zunehmend mit der Problematik von Geheimnisausbreitung und maschinellen Identitäten konfrontiert. Einer der größten Sicherheitsrisiken bleibt die nicht-menschliche Identität – und damit verbundene Berechtigungen und Zugriffsschlüssel, die oft zu breit gestreut werden und lange unbemerkt bleiben.
Die Rotation von Anmeldeinformationen, beispielsweise den Wechsel von Schlüsselpaaren oder Zugangscodes, sollte in der Theorie einfach sein. Doch immer wieder erleben Unternehmen, dass dieser Prozess Wochen dauern kann. Ein wesentlicher Grund dafür ist die mangelnde Übersicht über zugewiesene Berechtigungen. Viele Unternehmen haben keinen klaren Überblick darüber, welche Dienste oder Maschinen welche Berechtigungen benötigen.
Die Frage der Zuständigkeit bei verloren gegangenen Zugangsschlüsseln oder zu breit gestreuten Berechtigungen bleibt oft unklar. Geheimnisausbreitung – die unerwartete Verbreitung von Anmeldeinformationen in verschiedenen Entwicklungsumgebungen – wird häufig als Aufgabe des IT-Sicherheitsteams definiert. Doch Entwickler spielen ebenfalls eine zentrale Rolle, ihre Berechtigungen ordnungsgemäß zu dokumentieren und nach bewährten Sicherheitsstandards zu handeln.
Die Frage der Zuständigkeit bei verloren gegangenen Zugangsschlüsseln oder zu breit gestreuten Berechtigungen bleibt oft unklar. Geheimnisausbreitung – die unerwartete Verbreitung von Anmeldeinformationen in verschiedenen Entwicklungsumgebungen – wird häufig als Aufgabe des IT-Sicherheitsteams definiert. Doch Entwickler spielen ebenfalls eine zentrale Rolle, ihre Berechtigungen ordnungsgemäß zu dokumentieren und nach bewährten Sicherheitsstandards zu handeln.
Entwickler stehen unter einem ständigen Zeitdruck, möglichst schnell neue Funktionen zu entwickeln und freizugeben. Dies führt dazu, dass die Einrichtung von Berechtigungen, die strenges Sicherheitsmanagement erfordern, oft unzureichend erfolgt. Das Ergebnis: zu weit gefasste Berechtigungen für maschinelle Identitäten, die weit über den eigentlichen benötigten Rahmen hinausgehen.
Obwohl es verlockend erscheint, eine zu enge Definition der Berechtigungen den Sicherheitsteams zu überlassen, ist deren Wissen über die spezifischen Anforderungen der jeweiligen Projekte oft unzureichend. Das Verständnis dessen, welche Zugriffsrechte kritisch sind, bleibt oft den Entwicklern überlassen. Daher müssen beide Teams zusammenarbeiten, um sicherzustellen, dass ein sicherer, aber praktikabler Zugang bestehen bleibt.
Ein Shared-Responsibility-Modell – in dem Entwickler und Sicherheitsteams gemeinsam an der Verwaltung von Zugriffsberechtigungen arbeiten – könnte die Antwort sein. Entwickler sollten trotz Zeitdrucks detaillierte Dokumentationen zu notwendigen Berechtigungen erstellen, während die IT-Abteilungen bessere Werkzeuge zur Sicherung und Überwachung bereitstellen.
Bei der Dokumentation und Verwaltung von Berechtigungen sollten stets folgende Fragen berücksichtigt werden:
Die Berechtigungsverwaltung hat ihre Herausforderungen, die aber gemeinsam angegangen werden können. Die enge Zusammenarbeit zwischen Entwicklern und dem IT-Sicherheitsteam ist entscheidend, um Geheimnisausbreitung effizient zu verhindern und Sicherheitsvorfälle schneller zu beheben.
Über 1.000 Unternehmen sind mit infizierten WordPress-Websites konfrontiert, deren Sicherheit durch JavaScript-Backdoors bedroht ist. Die Angriffsweise nutzt dabei vier unterschiedliche Backdoors für maximalen Schaden. Unternehmen müssen deshalb proaktive Sicherheitsstrategien implementieren.
Hacker nutzen Fehlkonfigurationen in AWS für gezielte Phishing-Angriffe. Unternehmen öffnen damit unbewusst ihre IT-Infrastruktur für Angriffe. Traditionelle Sicherheitsmaßnahmen versagen oft bei der Abwehr dieser Bedrohung.
Sicherheitsforscher entdecken Sicherheitslücke in Apples “Find My”-Netzwerk, die Industriespionage ermöglicht. Mit der Methode “nRootTag” können Angreifer unbemerkt Geräte in Peilsender verwandeln. Unternehmen weltweit sind alarmiert und suchen Schutzmaßnahmen.
