gosphotodesign - Fotolia
Privileged Identity Management: Das richtige Tool auswählen
Die Superuser- und Admin-Accounts in einem Netzwerk müssen besonders gesichert werden, um Schaden vom Unternehmen fernzuhalten. Hier einige Tipps zur Wahl des passenden PIM-Tools.
Lösungen zur Verwaltung von Zugangsrechten sind absolut unverzichtbar, wenn es um die Absicherung von Netzwerken in Firmen geht. Erfahren Sie hier, wie Sie die verschiedenen Angebote der Hersteller bewerten und wie Sie die beste Anwendung für Ihr Unternehmen finden.
Eine der wichtigsten Grundlagen, wenn es um das Thema IT-Sicherheit geht, ist das Prinzip der geringsten Rechte beziehungsweise der minimalen Rechtevergabe. Es besagt, dass die Anwender nur die absolut notwendigen Rechte erhalten, um ihre Aufgaben und Pflichten noch erledigen zu können. Auf keinen Fall aber mehr. So benötigt zum Beispiel ein Mitarbeiter aus der Personalabteilung normalerweise keine Zugriffsrechte auf die Datenbank mit den Kundendaten des Unternehmens.
Das ändert aber nichts daran, dass jede IT-Umgebung Nutzer benötigt, die mit Superuser-Rechten ausgestattet sind, um sie zu konfigurieren und um ihren Betrieb aufrecht zu erhalten. Die dabei nötigen Aufgaben reichen vom Aufsetzen der IT, über die diversen zu treffenden Einstellungen bis zum täglichen Management der Datenbanken, Server, Nutzer und der Sicherheitskontrollen, die das Netzwerk und die darin gespeicherten Daten schützen.
Was ist PIM überhaupt?
Ein modernes Privileged Identity Management oder abgekürzt PIM (nicht zu verwechseln mit Personal Information Manager oder etwa Product Information Management) dient dazu, die vorhandenen Nutzer-Accounts mit erweiterten Privilegien gezielt zu überwachen und zu schützen, so dass ihre umfangreichen Rechte nicht missbraucht werden. Das kann durch externe Angreifer geschehen, die damit Zugriff auf unternehmenskritische Anwendungen und Systeme erhalten. Ein PIM schützt aber auch vor versehentlichen Fehlkonfigurationen durch die eigenen Mitarbeiter. Deswegen ist es ein äußerst mächtiges Security-Werkzeug, das es den Mitarbeitern ermöglicht, genau festzulegen, wer, was, wo und wann im Netzwerk tun darf.
Ein manueller Umgang mit Privileged Identity Management für eine größere Zahl von Nutzern ist ein viel zu zeitaufwendiger und Ressourcen-intensiver Prozess, der leicht zu Fehlern und versehentlichen Problemen führt. Aus diesem Grund erwerben viele Firmen spezialisierte PIM-Werkzeuge, mit denen sie ihre Nutzer, Sessions und Anwendungen mit erweiterten Rechten überwachen können. Diese Produkte helfen ihnen dabei, die Kosten insgesamt niedrig zu halten. Das gilt selbst dann, wenn sich ein Unternehmen in einem stetigen Wachstum befindet oder einige Teile seiner IT in die Cloud migriert. Auch reduzieren sie die negativen Folgen von IT-Security-Vorfällen und Datendiebstählen, die durch fehlerhaft zugeteilte oder missbrauchte Zugriffsrechte entstehen können.
Nach Erkenntnissen von Technavio, einem Marktforschungsunternehmen mit Sitz in London, wird der globale Markt für PIM-Tools zwischen 2018 und 2022 jährlich im Schnitt um 23 Prozent wachsen. Einer der Gründe für diese Entwicklung ist das steigende Risiko durch Insider-Gefahren. Dazu kommen regulatorische Änderungen in Europa und den USA wie die Datenschutz-Grundverordnung (DSGVO), der Payment Card Industry Data Security Standard (PCI DSS) und der U.S. Health Insurance Portability and Accountability Act (HIPAA). Diese Vorgaben raten oder erfordern sogar erweiterte Kontrollen für Benutzer-Accounts mit umfangreichen Rechten.
Wie PIM funktioniert
Eine PIM-Anwendung verwaltet die gesamte Lebensdauer von Nutzerkonten, die auf eine IT-Infrastruktur zugreifen dürfen. Das besondere Augenmerk liegt dabei auf den Accounts mit erweiterten Rechten. Beim ersten Einsatz erstellt das Tool dabei in der Regel eine Übersicht aller kritischen IT-Assets sowie aller Accounts oder Rollen mit erweiterten Rechten, die darauf zugreifen dürfen. Danach stellt es sicher, dass bestimmte Regeln für diese Accounts wie etwa eine minimale Komplexität der genutzten Passwörter oder vorgegebene Nutzungszeiten eingehalten werden. Darüber hinaus protokolliert das Werkzeug alle Aktivitäten dieser Accounts und speichert sie in einer Log-Datei. Jedes Mal, wenn eine verdächtige oder unpassende Aktion durchgeführt wird, löst die Anwendung zudem einen Alarm aus.
Diese Möglichkeit, die in der gesamten IT-Umgebung eingesetzten Identitäten und die ihnen zugewiesenen Rechte an einer zentralen Stelle zu überwachen, sorgt zudem dafür, dass sie jederzeit mit den Aufgaben und Verantwortlichkeiten der jeweiligen Mitarbeiter übereinstimmen. So kann auch verhindert werden, dass einzelne Anwender nach und nach immer mehr Rechte ansammeln, wenn ihnen neue Rollen zugewiesen werden, ohne dass die alten dabei entfernt werden – die so genannte schleichende Rechteausweitung. Außerdem reduzieren sie Gefahren durch Insider, da sie automatisch auf alle ungewöhnlichen Aktivitäten durch Nutzer mit erweiterten Rechten hinweisen. Weil sich die Bedeutung und Einstufung der auf verschiedenen Servern und in diversen Datenbanken in einem Unternehmen gespeicherten Informationen immer wieder mit der Zeit ändert, sind regelmäßig durchgeführte Audits von besonderer Wichtigkeit. Sie sorgen dafür, dass die zugewiesenen Privilegien immer wieder überprüft und angepasst werden, insbesondere dann, wenn automatische Rollenzuweisungen genutzt werden.
Wichtige Funktionen, über die ein PIM verfügen sollte
Die erste Anforderung, die jedes Tool zum Privileged Identity Management erfüllen sollte, ist eine nahtlose Integrierbarkeit in die verschiedenen bereits vorhandenen Technologien, die ein Unternehmen nutzt oder in Zukunft einsetzen will. Unterm Strich bedeutet dieser Punkt, dass es unter allen Plattformen funktionieren muss. Die Einbindung der Cloud in PIM-Produkte ist dabei einer der wichtigsten aktuellen Trends. Sie lassen sich entweder direkt in der eigenen Infrastruktur, als Plattform oder als SaaS-Angebot (Software as a Service) nutzen. Dadurch können Unternehmen aller Größen die zu ihnen passende Enterprise-taugliche Sicherheitslösung aussuchen, die auch zu ihrem Budget passt.
Zweitens sollte die ausgewählte PIM-Lösung umfassende Audits erstellen können, die wesentliche Informationen in einem leicht zu verstehenden Format in Dashboards und schriftlichen Berichten zusammenfassen. Administratoren sollte sie ermöglichen, auf einen Blick zu erfassen, welche Nutzer einer privilegierten Rolle zugewiesen sind und welche Aktivitäten derzeit im Unternehmen durch sie geschehen. Diese Fähigkeit, den derzeitigen Status der einzelnen Nutzer und die ihnen zugewiesenen Rollen und Zugangsdaten darzustellen, vereinfacht die Kontrolle über alle Accounts mit erweiterten Rechten erheblich. Aus diesem Grund sollte sich das PIM-Tool auch in das bereits genutzte HR-System (Human Resources) eines Unternehmens integrieren lassen.
Ein korrekt konfiguriertes PIM-Tool sollte außerdem weitere Daten bereitstellen können, um Verhaltens- oder Kontext-basierten Security-Anwendungen zu ermöglichen, ihre Aufgabe zu erfüllen. So können sie entscheiden, ob ein Account gerade aktiv missbraucht oder ob dies möglicherweise bald geschehen wird und ob deswegen etwa zusätzliche Authentifizierungsmaßnahmen erforderlich sind. Automatisch ausgelöste Aktionen sind dabei einer der wichtigsten Punkte, um die Entdeckungs- und Reaktionszeiten spürbar zu reduzieren. Zudem senken sie die Arbeitsbelastung der eingesetzten IT-Sicherheitsspezialisten. Alle PIM-Anwendungen, die sofortige Reaktionen auslösen können, erlauben es legitimen Nutzern, ihre Arbeiten zu vollenden, während unerwünschte Aktivitäten unterbrochen oder komplett gestoppt werden, bevor ein Schaden eintritt. Die Möglichkeit, individuell angepasst auf unerwartete oder verdächtige Situationen reagieren zu können, erlaubt das Fortführen legitimer Aktionen. Weniger ausgefeilte Systeme loggen nur die betroffenen Anwender aus oder beenden ihre aktuelle Sitzung. Weit wichtiger ist es jedoch, die echten Bedrohungen zu erkennen, einzuschränken und konsequent zu stoppen.
Es gibt noch eine weitere Funktion, die das Zeitfenster, das einem Hacker zur Verfügung steht, erheblich verkürzt. Dabei werden einem Nutzer bestimmte erweiterte Rechte oder eine administrative Rolle nicht dauerhaft, sondern nur für einen eng begrenzten Zeitraum zugewiesen, den er zur Erledigung seiner Aufgaben benötigt. Das erlaubt dem Admin, die benötigten Rechte genau dann zu aktivieren, wenn er sie für seinen Job benötigt. Das bedeutet, dass die Superuser nicht permanent mit erweiterten Rechten eingeloggt sind, wie es ansonsten oft noch üblich ist.
Fazit
Der Markt für PIM-Tools umfasst viele Hersteller, so dass der Wettbewerb in diesem Bereich sehr intensiv ist. Sobald sich die IT-Entscheider in einem Unternehmen auf eine knappe Liste geeigneter Tools geeinigt haben, die die benötigten Funktionen enthalten, sollten Sie die Hersteller kontaktieren und um eine Demonstration bitten. Waren diese überzeugend, dann fordern Sie eine kostenfreie Teststellung an. Nur so können Sie testen, wie gut oder schlecht sich die ausgewählten Tools in Ihre echte IT-Umgebung integrieren lassen.
Die Reaktionsfähigkeit nicht nur der Vertriebs-, sondern auch der Support-Mitarbeiter ist dabei ein wichtiger Aspekt, um bewerten zu können, wie leicht sich eventuell künftige auftretende Probleme beheben lassen. Prüfen Sie unbedingt, welche Art von Unterstützung die Hersteller anbieten: Kostenfrei, als Abonnement oder auf Basis einzelner Vorkommnisse, da dies Auswirkungen auf die Kosten haben kann, die das neue PIM auf Dauer verursachen wird. Führen Sie zuletzt außerdem noch einmal einen Vergleich mit den ursprünglichen Vorgaben durch, um sicherzustellen, dass das ausgewählte Produkt auch wirklich alle Ihre Anforderungen erfüllt, wenn Sie es in Ihrer Umgebung einsetzen wollen.
Spätestens nach ein paar Monaten sollten die erstellten Protokolle und Logs des verwendeten PIM-Tools wertvolle Hinweise darauf liefern, wie Sie Ihre vorhandenen Sicherheitskontrollen und -richtlinien auf Basis echter Ereignisse anpassen und verbessern können. Erfordern mehr Rollen den Einsatz einer Zwei-Faktor-Authentifizierung oder werden erweiterte Maßnahmen zur Schulung der mit Superuser-Rechten ausgestatteten Mitarbeiter in sicherheitsrelevanten Vorfällen benötigt?
Auch in Anbetracht der in vielen Firmen kontinuierlich steigenden Zahl der Nutzer, Auftragnehmer, externen Partner und Geräte, die sich mit dem Netzwerk verbinden, sollte unbedingt das Prinzip der geringsten benötigten Rechte umgesetzt werden. Das passende Werkzeug zum Privileged Identity Management kann die Aufgabe, die Rechte von Superusern und ihre Privilegien zu verwalten, erheblich vereinfachen. Gleichzeitig erhöht sich dadurch die allgemeine Sicherheit des Firmennetzes und der von einem Unternehmen genutzten Cloud-Umgebungen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!