Kritische Fremdapplikationen: Risiken und Handling

Kritische Fremdapplikationen

Risiken und Handling

Flavio Gerbino
von Flavio Gerbino
Lesezeit: 15 Minuten

Obwohl sich Unternehmen im heutigen Geschäftsumfeld mit beachtlichem Aufwand auf IT bedingte Risiken und deren Management konzentrieren, gibt es Sicherheitsthemen, die nur eine geringe Beachtung erlangen, da sie sich scheinbar eher am Rande des typischen IT-Risiko-Radars befinden. Die Rede ist hier von kritischen Fremdapplikationen – Im Folgenden als KF abgekürzt.

Aus einer Innenperspektive heraus konzentrieren sich Unternehmen beim Sicherheitsmanagement auf ihre eigenen zentralen Dienstleistungen, Infrastrukturen, Netzwerke, Applikationen und Services. Dabei haben Unternehmen typischerweise auch Zugriff auf KF, Applikationen, die nicht direkt zu den firmeneigenen IT-Ressourcen zählen, mit denen aber unter anderem finanziell verbindliche Transaktionen durchfgeführt oder auch andere rechtliche Verbindlichkeiten eingegangen werden können. Typischerweise ist z.B. ein E-Banking Zugang auf Firmenkonten als eine KF anzusehen.

Gerade der Zugriff auf solche KF wird eben oft sorglos und leichtfertig, auf informelle Weise an Mitarbeitende übertragen und dies, obwohl die Unternehmen bei internen Services und Applikationen, üblicherweise äusserst eifrig auf ein Instrumentarium an strengen, formalen Prozessen, Kontrollen, Mechanismen etc. für die Vergabe, die Administration und Nachvollziehbarkeit von privilegierten Berechtigungen zurückgreifen.

Dadurch, dass dieser Applikationstypus meist nur marginal wahrgenommen wird, finden wichtige adäquate und anerkannten Sicherheitsprinzipien, die Unternehmen sonst immer berücksichtigen und intern umsetzen, bei diesen Applikationen kaum Anwendung (z.B. Least Privileges, Need-to-know, Segregation of Duties). Diese Vernachlässigung führt zu einer erhöhten Risikosituation und einer Intransparenz bezüglich der Situation mit den eingesetzten KF in einem Unternehmen.

Fragestellung

Wie sind nun KF zu definieren, welche Sicherheitsproblematik liegt ihnen tatsächlich zugrunde, welche Risiken entstehen bei deren Einsatz bzw. deren Nicht-Beachtung, welches sind die möglchen Worst-Case Szenarien in diesem Umfeld, sind allenfalls Massnahmen und Prozesse für ein angemessen sicheres Handling bereits in Unternehmen etabliert, die analog übertragen werden könnten, um die latenten Risiken zu mindern. Oder ist es sogar denkbar, dass hier aus einer geradzu übersteigerten Vorsicht heraus, Risiken heranfantasiert werden, die so bedeutungslos sind, dass diese vollkommen unbefangen ignoriert werden könnten?

Definition

An dieser Stelle wird es wichtig den Begriff KF näher auszuarbeiten und einzugränzen. Unter KF sind externe Anwendungen (z.B. auch externe Websites) mit denen

werden können. Als externe Anwendung gelten innerhalb des eben geschilderten Kontexts grundsätzlich alle Anwendungen, die ausserhalb des eigenen IT-Environments des Unternehmen betrieben (fremd-gehosted) und weiterentwickelt (fremd-developed) werden.

Mit KF können gemäss dieser Definition finanzielle Verbindlichkeiten eingegangen oder aus externen Quellen Daten bezogen werden, die im finanziellen Rahmen weiterverarbeitet werden. Es handelt sich hierbei um Anwendungen, die entweder einen Einfluss auf das finanzielle Ergebnis oder auf die Integrität und Verfügbarkeit des Geschäfts des Unternehmens haben könnten.

Problematik

Der Problemschwerpunkt dieser KF ergibt sich besonders daraus, dass diejenigen Mitarbeitenden, die einen Account auf eine KF erhalten, über hohe Ausübungsprivilegien verfügen, die – unsachgerecht eingesetzt – zu einem direkten finanziellen Schaden oder einer rechtlichen Verpflichtung, die sich wiederum in einem finanziellen Schaden manifestiert, führen können.

Die ganze Vergabe von Berechtigungen kann von externen Stellen Abhängig sein, deren Abläufe nicht durch das eigene Unternehmen beeinflusst werden können. Dort wo die Berechtigungsverwaltung extern durchgeführt wird und diese nicht mit internen Prozessen gekoppelt ist, könnte z.B. der Fall eintreffen, dass ehemalige Mitarbeitende über die Dauer ihres Anstellungsverhältnisses beim Unternehem hinaus noch Berechtigungen besitzen und somit in der Lage wären – auch über die Dauer des Arbeitsvertrags hinweg – kritische Transaktionen zu initieren und vollführen.

Eine weiter Folge der Entkopplung von den eigenen Unternehmensprozessen führt dazu, dass bezüglich der exisiterenden KF eine gewisse Undurchschaubarkeit herrscht: D.h. es wird – je nach Grösses des Unternehmens – ohne grössere Aufwände kaum möglich sein, präzise zu sagen, welche, wieviele und in welchen Bereichen KF unter wessen Verantwortung im Einsatz sind und welche Prozesse und Schutzmassnahmen allenfalls implementiert sind. Diese Intrasparenz führt zu einer Risikosituation.

Risiken

Im Folgenden werden die Risiken im Sinne einer Worst-Case-Betrachtung erörtert und aufgelistet, die mit der beschriebenen Situation der KF einhergehen.

Risiko Beschreibung Schadens-ausmass Häufigkeit Max. erwarteter Schaden p.a. Besonders exponierter Bereich
R1 Schleichender, unbemerkter, sukzessiver Abfluss von Unternehmens Geldern. (“unter dem Radar”, d.h, so dass keinem etwas auffällt und dass keine Kontrollen wirksam werden. III (stark) D (1x pro 50J.) 20’000 CFO-Umfeld, Handel, Controlling, Pensionskassen, Trasury
R2 Massiver Abfluss von Unternehmens Geldern, bzw. enorme finanzielle Verpflichtung, die zu Liquiditätsrisiken bzw. Refinanzierungsrisiken führen, indem kurzfristig benötigte Zahlungsmittel nicht oder nur noch zu erhöhten Kosten beschafft werden können. I (katastrophal) N/A (nicht relevant) 100’000 CFO-Umfeld, Handel, Pensionskassen, Trasury, Legal
R3 Kostspielige Langzeitverpflichtungen mit Verträgen, Händlern, Lieferanten, Lizenzverträgen etc. IV (gering) C (1x pro 20J.) 25’000 Autonome Abteilungen, Procurement, Legal
R4 Intransparenz über die Situation mit KF im Unternehmen, so dass es bei einem Vorfall zur Verletzung der gebotenen Sorgfaltspflicht kommen kann. N/A (irrelevant) B (1x pro 10J.) 10’000 Gesamt- unternehmen

Kommentare zu den Risiken

Derweil kann auch davon ausgegangen werden, dass Führungskräft in Bereichen mit KF auch aus eigener Selbstverantwortlichkeit heraus, adäquate Abläufe zur sicheren Verwaltung von Accounts KF etabliert haben – nur sind diese ev. nicht unternehmensweit Dokumentiert bzw. nicht kommuniziert. Schliesslich sind die jeweiligen dezentrale Abteilungen am ehesten für Risiken in ihrem eigenen Bereich sensibilisiert. Andererseits ist man manchmal gerade gegenüber dem Offensichtlichen blind und darüber hinaus auch noch blind für die eigene Blindheit.

Klasse Häufigkeit N/A (irrele.) IV (gering) III (stark) II (kritisch) I (katast.)
A in 5 Jahren - - - - -
B in 10 Jahren R4 - - - -
C in 20 Jahren - R3 - - -
D in 50 Jahren - - R1 - -
N/A irrelevant (in 100 J.) - - - - R2

Massnahmen

Es werden hier, mögliche, pragmatische Massnahmen aufgeführt und bewertet, die dazu beitrügen, die Intransparenz bezüglich KF zu entschärfen und den Prozess der Berechtigungsvergabe und des Berechtigungsentzugs nachhaltiger kontrollieren zu können.

Massnahme Beschreibung
M1 Akzeptieren des Status-Quo (do nothing)
M2 Verankerung der Prinzipien im Umgang mit KF in den entsprechenden Policies
M3 Selbstdeklaration von KF
M4 Personal Dossier (HR-Tools) mit den Vermerk ergänzen, ob Mitarbeitende aufgrund Ihrer Funktion einen entsprechenden Account für eine KF haben
M5 Austrittscheckliste von Human Resources um den Punkt ergänzen: Prüfen ob Mitarbeitende Access auf KF haben
M6 Jährlicher bzw. periodischer Check der Accounts auf KF: Man fordert vom Betreiber der KF jeweils eine Account-Liste, die auf Aktualität geprüft wird: Findings werden kommuniziert und bereinigt
M7 Stichproben bei KF aktive Fallsuche
M8 Referenzmodell ausrollen

Kommentare zu den Massnahmen

Massnahmen Nutzen/Aufwand

Die folgende Darstellung versucht aufzuzeigen, wie die oben aufgelisteten Massnahmen qualitativ zu bewerten sind. Es geht nur darum, den Massnahmen eine Bedeutung in punkto praktizierbarkeit zu geben.

  Nutzen
Aufwand   gross mittel klein
klein M3, M5 M2, M7 M1
mittel - M6, M8 -
gross M4 - -

Fazit

Wenn man sich die Situation der KF anschaut, kristallisieren sich 3 Massnahmen heraus, deren Weiterverfolgung sinnvoll erscheint, um mit dem geringsten Effort den besten Effekt zu erzielen:

Da präzise Informationen bezüglich KF nicht ohne weiteres verfügbar sind, wäre es empfehlenswert, betroffene Bereiche innerhalb des Unternehmens damit zu beauftragen, ihrerseits ein Statement abzugeben, inwiefern KF jeweils im Einsatz sind. Dies könnte direkt mit der Unterbreitung eines Lösungsvorschlags, nämlich mit der Umsetzung der Massnahmen M3 und M5 einhergehen.

Über den Autor

Flavio Gerbino

Flavio Gerbino ist seit Ende der 1990er Jahre im Bereich der Informationssicherheit tätig. Seine Schwerpunkte liegen im Bereich der strategischen Ausrichtung und des Managements der Sicherheit eines Unternehmens.

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv