Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Technologische Kontrolle

A.8.18 — Verwendung privilegierter Dienstprogramme

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.8.18 ISO 27001ISO 27002BSI ORP.4

PowerShell ist das mächtigste Administrationswerkzeug auf Windows — und gleichzeitig das meistgenutzte Angriffswerkzeug. Mimikatz extrahiert Passwörter aus dem Speicher, PsExec erlaubt die Fernausführung beliebiger Befehle, und Sysinternals-Tools umgehen Zugriffskontrollen auf Dateisystemebene. A.8.18 verlangt, dass privilegierte Dienstprogramme kontrolliert, eingeschränkt und protokolliert werden, damit sie Sicherheitskontrollen nicht aushebeln.

Die Kontrolle adressiert ein Paradox: Administratoren brauchen mächtige Tools, aber genau diese Tools können in den falschen Händen katastrophalen Schaden anrichten.

Was verlangt die Norm?

  • Zugang beschränken. Privilegierte Dienstprogramme sind nur einer kleinen Zahl vertrauenswürdiger Benutzer zugänglich.
  • Authentifizierung und Autorisierung. Strenge Verfahren für die Identitätsprüfung und Freigabe vor der Nutzung.
  • Unnötige Tools entfernen. Programme, die nicht benötigt werden, werden deinstalliert oder deaktiviert.
  • Nutzung protokollieren. Jede Verwendung eines privilegierten Dienstprogramms wird aufgezeichnet.
  • Trennung von Anwendungssoftware. Privilegierte Tools werden von regulärer Anwendungssoftware und Netzwerkverkehr getrennt.

In der Praxis

Inventar privilegierter Tools erstellen. Liste alle Tools, die Sicherheitskontrollen umgehen können: PowerShell (unrestricted), PsExec, Sysinternals, Nmap, Wireshark, Registry-Editoren, Passwort-Recovery-Tools. Bewerte für jedes Tool: Wer braucht es? Wie oft? Gibt es eine sicherere Alternative?

Nutzung auf Admin-Konten beschränken. Privilegierte Dienstprogramme sind nur mit separaten Admin-Konten (A.8.2) nutzbar. Normale Benutzerkonten haben keinen Zugang zu diesen Tools — auch nicht auf dem eigenen Arbeitsplatzrechner.

PowerShell-Logging aktivieren. Script Block Logging, Module Logging und Transcription auf allen Windows-Systemen aktivieren. Diese Logs zeigen exakt, welche PowerShell-Befehle wann von wem ausgeführt wurden — ein unverzichtbarer Audit-Trail.

Nicht benötigte Tools deinstallieren. Auf Produktionsservern haben Netzwerk-Sniffer, Compiler und Debug-Tools nichts verloren. Jedes installierte Tool, das nicht benötigt wird, ist ein potenzielles Angriffswerkzeug.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.18 typischerweise diese Nachweise:

  • Inventar privilegierter Tools — Liste der zugelassenen Dienstprogramme mit Berechtigungsnachweis (→ IT-Betriebsrichtlinie im Starter Kit)
  • Zugriffskonfiguration — Nachweis, dass Tools nur Admin-Konten zugänglich sind
  • Protokollierung — PowerShell-Logs, Sysmon-Logs oder EDR-Berichte
  • AppLocker/WDAC-Konfiguration — Nachweis der Application-Whitelisting-Regeln
  • Entfernungsnachweis — Nachweis, dass nicht benötigte Tools deinstalliert wurden

KPI

Anteil der privilegierten Dienstprogramme mit eingeschränktem und protokolliertem Zugriff

Gemessen als Prozentsatz: Wie viele der identifizierten privilegierten Tools haben definierte Zugriffsrechte und aktive Protokollierung? Ziel: 100%.

Ergänzende KPIs:

  • Anteil der Server ohne nicht genehmigte privilegierte Tools (Ziel: 100%)
  • Anzahl der protokollierten Nutzungen privilegierter Tools pro Monat (Trend-Indikator)
  • Anteil der Systeme mit aktivem PowerShell-Logging (Ziel: 100% für Windows)

BSI IT-Grundschutz

A.8.18 mappt auf BSI-Bausteine für Administration und Berechtigungsmanagement:

  • ORP.4 (Identitäts- und Berechtigungsmanagement) — Zugangsbeschränkung für administrative Werkzeuge als Teil des Berechtigungskonzepts.
  • OPS.1.1.2 (Ordnungsgemäße IT-Administration) — kontrollierte Nutzung administrativer Tools, Protokollierung und Vier-Augen-Prinzip bei kritischen Aktionen.

Verwandte Kontrollen

Quellen

Häufig gestellte Fragen

Was sind privilegierte Dienstprogramme?

Tools, die Sicherheitskontrollen auf System- oder Anwendungsebene umgehen können: Registry-Editoren, Disk-Editoren, Passwort-Reset-Tools, Netzwerk-Sniffer, Debug-Tools, Desinfektionsprogramme. Auch viele Standard-Betriebssystem-Tools (PowerShell, bash als root) fallen darunter.

Müssen wir PowerShell auf allen Clients sperren?

Die Norm verlangt keine pauschale Sperrung, sondern kontrollierte Verwendung. Für normale Benutzer kann PowerShell eingeschränkt werden (Constrained Language Mode). IT-Administratoren brauchen Zugang, aber die Nutzung sollte protokolliert und über separate Admin-Konten erfolgen.

Wie protokolliere ich die Nutzung von System-Utilities?

Über Script-Block-Logging (PowerShell), auditd (Linux), Sysmon (Windows) oder EDR-Lösungen. Wichtig ist, dass der Aufruf des Tools, die ausführende Person und die durchgeführte Aktion erfasst werden.