Bundesamt für Sicherheit in der Informationstechnik

G 2.111 Kompromittierung von Anmeldedaten bei Dienstleisterwechsel

Wenn ein IT -Dienstleister gewechselt wird, müssen hierfür typischerweise diverse Anmeldedaten geändert werden. Dies führt dann zu vielfältiger Kommunikation von alten und neuen Anmeldedaten. Werden diese Daten unsicher ausgetauscht, besteht das Risiko, dass die Vertraulichkeit der Anmeldedaten und mittelbar die Integrität der IT-Umgebung beeinträchtigt wird.

Bei den vom Dienstleister verwendeten Anmeldekonten handelt es sich meistens um solche mit weitgehenden Berechtigungen im betrachteten Informationsverbund. Normalerweise sollten alle Kennwörter niemandem außer dem zugehörigen Benutzer bekannt sein. Auch alte Kennwörter gelten grundsätzlich als vertrauliche Information. In der Praxis kommt es häufig vor, dass ein aktuelles zentrales Kennwort dem neuen Dienstleister mitgeteilt wird. Bis der neue Dienstleister alle Konsolen und Applikationen mit einem neuen Kennwort versehen hat, könnte das alte Kennwort durch unbefugte Dritte missbraucht werden. Abhängig von der Konfiguration des Systems ( z. B. Dienstkonten, Zertifikatsdienste) und Organisation kann es vorkommen, dass das Ändern des Kennwortes nicht in kurzer Zeit mit vertretbarem Aufwand möglich ist.

Oft ist der Auftraggeber selbst nicht in der Lage, Benutzerkonten für externe Dienstleister auf sichere Art und Weise zu administrieren und muss dies gegebenenfalls dem neuen Dienstleister überlassen. Es kommt zu Situationen wie der gemeinsamen Nutzung von Benutzerkonten ("Account Sharing") oder den in G 3.16 Fehlerhafte Administration von Zugangs- und Zugriffsrechten und G 3.43 Ungeeigneter Umgang mit Passwörtern oder anderen Authentikationsmechanismen beschriebenen Gefährdungen.

Teilweise besitzt der Auftraggeber selbst entweder keine Kenntnis mehr über Anmeldekonten mit administrativen Berechtigungen oder nur noch aufgrund einer regelmäßigen Unterrichtung durch den Dienstleister über das aktuelle Kennwort ("Account Sharing"). In jedem dieser Fälle liegen Entscheidungs- und Handlungshoheit beim Dienstleister. Der Auftraggeber verfügt über keine nur ihm bekannten Zugangsdaten mehr, mit denen er strategische Entscheidungen umsetzen kann. Diese Situation entspricht einem hohen Grad des Outsourcings. Sie stellt ein hohes Risiko für die Gefährdung der Systemsicherheit dar, wenn die Regelungen und Absicherungen für das Outsourcing nicht den Sicherheitsanforderungen entsprechen und diese nicht unmissverständlich in Service Level Agreements (SLA) festgehalten wurden

Insgesamt ergibt sich immer wieder die Situation, dass kritische administrative Konten sogar weniger sorgfältig gehandhabt werden als normale Benutzerkonten, weil etablierte Maßstäbe des Unternehmens oder der Behörde für den Umgang mit Benutzerkonten außer Acht gelassen werden und weil keine Verfahrensweise oder Richtlinie für den Umgang mit administrativen Konten bei Dienstleisterwechsel festgelegt wurde.

Beispiel:

Häufig wird in kleinen Unternehmen der zentrale Server von einer externen Person betreut. Diese Person hat dann auch das Kennwort für das zentrale Administratorkonto.

Oft besitzt kein anderer Benutzer innerhalb des Unternehmens ebenfalls ein administratives Konto, auch nicht der Geschäftsführer. Der gängigste Weg ist, dass der Geschäftsführer das Kennwort des zentralen administrativen Kontos in einem Tresor abgelegt hat. Kommt ein neuer Dienstleister, wird ihm dieses Kennwort mitgeteilt. Manchmal kommt es auch vor, dass kein Wartungsvertrag oder eine sonstige dauerhafte Vereinbarung über die Art des Outsourcings und der Verfahrensweisen mit irgendeiner der beteiligten externen Personen besteht. Unter Umständen hat der alte Dienstleister das Kennwort gewechselt und dann sein Engagement unerwartet und kurzfristig beendet. Das System bleibt solange nicht administrierbar, bis das Kennwort durch Nachfrage oder mit technischen Mitteln in Erfahrung gebracht wurde.

Stand: 11. EL Stand 2009