Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Elementare Gefährdung · BSI IT-Grundschutz

G 0.30 — Unberechtigte Nutzung oder Administration von Geräten und Systemen

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.11A.5.14A.5.15A.5.16A.5.17A.5.18A.5.23A.5.24A.5.25A.5.26A.5.27A.5.28A.5.29A.5.34A.6.2A.6.4A.6.5A.6.7A.7.1A.7.2A.7.4A.7.7A.7.8A.7.9A.7.10A.7.11A.7.13A.7.14A.8.1A.8.2A.8.3A.8.4A.8.5A.8.7A.8.10A.8.14A.8.15A.8.16A.8.17A.8.18A.8.20A.8.21A.8.22A.8.23A.8.31 BSI IT-GrundschutzISO 27001ISO 27002

Bei der Analyse von Netzwerkprotokollen stößt ein Administrator auf ungewöhnliche Verbindungen an einem WLAN-Router — regelmäßig am frühen Morgen und am späten Nachmittag. Die Ursache: Der WLAN-Router ist unsicher konfiguriert, und wartende Personen an der Bushaltestelle vor dem Firmengebäude nutzen das offene Netz zum Surfen. Was harmlos klingt, öffnet ein Einfallstor ins Firmennetzwerk.

Unberechtigte Nutzung oder Administration von Geräten und Systemen (G 0.30) ist eine der vielseitigsten Bedrohungen im BSI-Grundschutzkatalog. Sie umfasst alles vom versehentlich offenen WLAN-Zugang bis zum gezielten Angriff mit gestohlenen Administratorzugangsdaten.

Was steckt dahinter?

Ohne wirksame Mechanismen zur Zutritts-, Zugangs- und Zugriffskontrolle lässt sich eine unberechtigte Nutzung von Systemen kaum verhindern oder auch nur erkennen. Selbst starke Authentifizierungsmechanismen versagen, wenn die zugehörigen Sicherheitsmerkmale — Passwörter, Token, Chipkarten — in falsche Hände gelangen.

Zugangswege

  • Gestohlene oder erratene Zugangsdaten — Schwache Passwörter, Credential Stuffing mit geleakten Daten, Phishing-Angriffe.
  • Fehlkonfigurierte Dienste — Offene Management-Interfaces, Standard-Passwörter auf Netzwerkgeräten, ungeschützte API-Endpunkte.
  • Physischer Zugang — Ungesicherte Server-Räume, nicht gesperrte Terminals, zugängliche Netzwerk-Ports in öffentlichen Bereichen.
  • Wechseldatenträger — An USB-Ports unbeaufsichtigter Systeme können Daten ausgelesen oder Schadsoftware eingeschleust werden.
  • Laterale Bewegung — Vom kompromittierten Arbeitsplatzrechner eines Benutzers mit eingeschränkten Rechten kann ein Angreifer schrittweise Zugang zu höher privilegierten Systemen erlangen.

Schadensausmass

Die Folgen reichen von Datendiebstahl über Manipulation bis zur vollständigen Übernahme der IT-Infrastruktur. Unberechtigte Administration ist besonders gefährlich: Ein Angreifer mit Administratorrechten kann Sicherheitsmaßnahmen deaktivieren, Hintertüren einrichten und Protokolle manipulieren, um seine Aktivitäten zu verschleiern.

Praxisbeispiele

WLAN-Router mit Standardkonfiguration. Ein Unternehmen betreibt einen WLAN-Access-Point mit dem werkseitig voreingestellten Passwort. Externe Personen verbinden sich und gelangen über das WLAN ins interne Netzwerk. Da das Netz nicht segmentiert ist, haben sie Zugriff auf Dateifreigaben und interne Anwendungen.

Gestohlenes VPN-Zertifikat. Ein Mitarbeiter speichert sein VPN-Zertifikat ungeschützt auf dem privaten Laptop. Der Laptop wird gestohlen. Der Angreifer nutzt das Zertifikat, um sich als legitimer Benutzer ins Unternehmensnetz einzuwählen. Da keine zusätzliche Authentifizierung (MFA) erforderlich ist, fällt der Zugriff nicht auf.

Nicht deaktivierter Admin-Account. Ein IT-Administrator verlässt das Unternehmen. Sein privilegierter Account wird nicht zeitnah gesperrt. Wochen später zeigen Protokolle Zugriffe über diesen Account zu ungewöhnlichen Uhrzeiten. Ob der ehemalige Mitarbeiter oder ein Dritter die Zugangsdaten nutzt, lässt sich zunächst nicht klären.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 45 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

Erkennung:

Reaktion:

BSI IT-Grundschutz

G 0.30 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

  • ORP.4 (Identitäts- und Berechtigungsmanagement) — Zentrale Anforderungen an die Verwaltung von Identitäten und Zugriffsrechten.
  • NET.1.1 (Netzarchitektur und -design)Netzwerksegmentierung und Zugangssteuerung auf Netzwerkebene.
  • SYS.1.1 (Allgemeiner Server) — Absicherung der Administration und Zugangssteuerung für Server.
  • INF.7 (Büroarbeitsplatz) — Physische Sicherheit am Arbeitsplatz, Bildschirmsperre, Clean-Desk.

Quellen

Abdeckende ISO-27001-Kontrollen

A.5.11 Rückgabe von Werten A.5.14 Informationstransfer A.5.15 Zugriffskontrolle A.5.16 Identitätsmanagement A.5.17 Authentifizierungsinformationen A.5.18 Zugriffsrechte A.5.23 Informationssicherheit bei Cloud-Diensten A.5.24 Planung des Vorfallmanagements A.5.25 Bewertung von Sicherheitsereignissen A.5.26 Reaktion auf Sicherheitsvorfälle A.5.27 Erkenntnisse aus Sicherheitsvorfällen A.5.28 Sammlung von Beweismitteln A.5.29 Informationssicherheit bei Störungen A.5.34 Datenschutz und PII A.6.2 Beschäftigungsbedingungen A.6.4 Disziplinarverfahren A.6.5 Verantwortlichkeiten bei Beendigung A.6.7 Telearbeit A.7.1 Physische Sicherheitsbereiche A.7.2 Physischer Zutritt A.7.4 Physische Sicherheitsüberwachung A.7.7 Aufgeräumter Schreibtisch und Bildschirm A.7.8 Platzierung und Schutz von Geräten A.7.9 Sicherheit von Werten außerhalb der Räumlichkeiten A.7.10 Speichermedien A.7.11 Unterstützende Versorgungseinrichtungen A.7.13 Instandhaltung von Geräten A.7.14 Sichere Entsorgung oder Wiederverwendung A.8.1 Benutzerendgeräte A.8.2 Privilegierte Zugriffsrechte A.8.3 Einschränkung des Informationszugangs A.8.4 Zugang zu Quellcode A.8.5 Sichere Authentifizierung A.8.7 Schutz gegen Schadsoftware A.8.10 Löschung von Informationen A.8.14 Redundanz von informationsverarbeitenden Einrichtungen A.8.15 Protokollierung A.8.16 Überwachung von Aktivitäten A.8.17 Uhrensynchronisation A.8.18 Nutzung privilegierter Hilfsprogramme A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.22 Trennung von Netzwerken A.8.23 Webfilterung A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen

Häufig gestellte Fragen

Was ist der Unterschied zwischen unberechtigter Nutzung und Missbrauch von Berechtigungen?

Bei der unberechtigten Nutzung (G 0.30) verschafft sich jemand Zugang, der dafür keine Berechtigung hat — etwa durch gestohlene Passwörter oder eine unsichere WLAN-Konfiguration. Beim Missbrauch von Berechtigungen (G 0.32) nutzt eine Person ihre vorhandenen, legitimen Rechte über den vorgesehenen Rahmen hinaus aus.

Warum ist unberechtigte Administration besonders kritisch?

Administratoren haben weitreichende Rechte: Sie können Konfigurationen ändern, Sicherheitsmechanismen deaktivieren, Protokolle löschen und Hintertüren einrichten. Gelangt ein Angreifer an administrative Zugangsdaten, kann er die gesamte IT-Infrastruktur kompromittieren und seine Spuren verwischen.

Wie kann ich unberechtigte Zugriffe erkennen?

Zentrale Protokollierung und Monitoring sind die wichtigsten Werkzeuge. Achte auf ungewöhnliche Anmeldezeiten, Zugriffe von unbekannten Geräten oder IP-Adressen, fehlgeschlagene Anmeldeversuche und Zugriffe auf Systeme, die für die jeweilige Rolle nicht relevant sind. SIEM-Systeme können diese Anomalien automatisiert erkennen.