Was ist eigentlich eine Privilegien-Eskalation in IT-Anwendungen?

Privilegien-Eskalationen in Anwendungen – oft auch als Rechte-Ausweitung bezeichnet – sind Schwachstellen, die es Angreifern oder auch regulären Nutzern ermöglichen, auf Daten, Informationen oder Systemfunktionen zuzugreifen, für die sie keine Berechtigung haben. Angreifer können sich solche Lücken zunutze machen und beispielsweise Daten unbefugt manipulieren oder stehlen.

Welche Arten von Privilegien-Eskalationen gibt es?

Man unterscheidet zwei Ausprägungen der Privilegien-Eskalation. Bei der horizontalen Privilegien-Eskalation kann ein Benutzer auf Daten anderer Benutzer zugreifen, die über dasselbe Berechtigungsprofil verfügen. In einer digitalen Gesundheitsanwendung wäre ein Patient dann beispielsweise in der Lage, die Daten anderer Patienten zu lesen oder zu manipulieren. Eine weitere Ausprägung ist die vertikale Privilegien-Eskalation: Hierbei kann ein Benutzer auch auf Informationen oder Programmfunktionalitäten zugreifen, die eigentlich höher privilegierten Anwendern vorbehalten sind. Das ist etwa der Fall, wenn ein Patient in einer digitalen Gesundheitsanwendung auch auf administrative Funktionen zugreifen kann, die der Rolle „Arzt“ vorbehalten sind.

Wie entstehen solche Schwachstellen?

Häufig sind fehlerhafte Konfigurationseinstellungen die Ursache von Privilegien-Eskalationen: Administratoren haben bestimmten Benutzern bewusst oder unbewusst zu umfangreiche Berechtigungen zugeteilt.
Auch in selbstentwickelten Anwendungen lauert die Gefahr der Privilegien-Eskalation: Wenn die Zugriffsregeln in Applikationen unzureichend gestaltet sind oder die Benutzer-Sitzung (engl. Session Management) schlecht gesteuert ist, kommt es oft zu solchen Lücken.

Warum und wie betrifft uns das als Organisation?

Jede Organisation, die eigene oder fremdentwickelte Software einsetzt, sollte diese regelmäßig auf Schwachstellen untersuchen lassen. Rechte-Ausweitungen können im Extremfall dafür sorgen, dass komplette Datenbestände entwendet werden. Angreifer nutzen diese dann für Lösegeld-Erpressungen oder verkaufen die Daten, um daraus Profit zu schlagen.

Wie kann ich mich schützen?

Durch regelmäßige Penetrationstests Ihrer Anwendungen lassen sich solche Lücken zuverlässig identifizieren. Sprechen Sie uns an – wir beraten Sie gerne!