Was ist eigentlich eine Privilegien-Eskalation in IT-Anwendungen?

Privilegien-Eskalationen in Anwendungen – oft auch als Rechte-Ausweitung bezeichnet – sind Schwachstellen, die es Angreifern oder auch regulären Nutzern ermöglichen, auf Daten, Informationen oder Systemfunktionen zuzugreifen, für die sie keine Berechtigung haben. Angreifer können sich solche Lücken zunutze machen und beispielsweise Daten unbefugt manipulieren oder stehlen.

Welche Arten von Privilegien-Eskalationen gibt es?

Man unterscheidet zwei Ausprägungen der Privilegien-Eskalation. Bei der horizontalen Privilegien-Eskalation kann ein Benutzer auf Daten anderer Benutzer zugreifen, die über dasselbe Berechtigungsprofil verfügen. In einer digitalen Gesundheitsanwendung wäre ein Patient dann beispielsweise in der Lage, die Daten anderer Patienten zu lesen oder zu manipulieren. Eine weitere Ausprägung ist die vertikale Privilegien-Eskalation: Hierbei kann ein Benutzer auch auf Informationen oder Programmfunktionalitäten zugreifen, die eigentlich höher privilegierten Anwendern vorbehalten sind. Das ist etwa der Fall, wenn ein Patient in einer digitalen Gesundheitsanwendung auch auf administrative Funktionen zugreifen kann, die der Rolle „Arzt“ vorbehalten sind.

Wie entstehen solche Schwachstellen?

Häufig sind fehlerhafte Konfigurationseinstellungen die Ursache von Privilegien-Eskalationen: Administratoren haben bestimmten Benutzern bewusst oder unbewusst zu umfangreiche Berechtigungen zugeteilt.
Auch in selbstentwickelten Anwendungen lauert die Gefahr der Privilegien-Eskalation: Wenn die Zugriffsregeln in Applikationen unzureichend gestaltet sind oder die Benutzer-Sitzung (engl. Session Management) schlecht gesteuert ist, kommt es oft zu solchen Lücken.

Warum und wie betrifft uns das als Organisation?

Jede Organisation, die eigene oder fremdentwickelte Software einsetzt, sollte diese regelmäßig auf Schwachstellen untersuchen lassen. Rechte-Ausweitungen können im Extremfall dafür sorgen, dass komplette Datenbestände entwendet werden. Angreifer nutzen diese dann für Lösegeld-Erpressungen oder verkaufen die Daten, um daraus Profit zu schlagen.

Wie kann ich mich schützen?

Durch regelmäßige Penetrationstests Ihrer Anwendungen lassen sich solche Lücken zuverlässig identifizieren. Sprechen Sie uns an – wir beraten Sie gerne!

Weitere Artikel

Wenn wir auf das Jahr 2022 zurückblicken, erinnern wir uns an eine Vielzahl von IT-Sicherheitsbedrohungen und -vorfällen. Einige der wichtigsten Ereignisse und Trends im Bereich der IT-Sicherheit im vergangenen Jahr waren: Ransomware und Datenlecks Ransomware:...
Der als Hafnium bekannt gewordene Exchange-Server-Hack aus dem Frühjahr 2021 zieht Kreise: zahlreiche noch immer nicht gepatchte Server werden angegriffen, die Lücke ausgenutzt und Schadsoftware installiert. Viele Serverbetreiber berichten von Ransomware-Attacken, die alle Inhalte des...
Warum das Ansehen von ISO 27001-Zertifizierungen am Markt unbedingt wieder steigen muss In einer zunehmend digitalisierten und vernetzten Welt sind Daten zu einem wertvollen Gut geworden. Unternehmen stehen vor der Herausforderung, ihre sensiblen Informationen zu...