olly - Fotolia
Das muss Privileged Account Management in der Praxis leisten
Kommen Admin-Accounts und Maschinenzugänge mit hohen Zugriffsrechten abhanden, kann dies verheerende Folgen haben. Entsprechende Sorgfalt ist bei der Verwaltung vonnöten.
Im Zuge der digitalen Transformation haben sich IT-Prozesse und Bereitstellungsoptionen – Stichwort Virtualisierung und Cloud-Computing – grundlegend verändert. Für die Sicherheit sind diese Veränderungen eine große Herausforderung, da herkömmliche Sicherheitsmaßnahmen nun an ihre Grenzen stoßen und die Angriffsfläche für Cyberkriminelle gleichzeitig stark gewachsen ist – etwa im Bereich privilegierter Konten. So hat die Zahl administrativer und mit umfassenden Zugriffsrechten ausgestatteter Accounts stark zugenommen. Neue Wege im Privileged Account-Management (PAM) sind unumgänglich.
Privilegierte Konten – hierzu zählen nutzergebundene Administratoren-Accounts ebenso wie Non-Human Accounts, die etwa den Zugriff auf Datenbanken, Maschinen oder Cloud-Anwendungen ermöglichen – sind aufgrund ihrer weitreichenden Befugnisse ein attraktives Angriffsziel. Wer die Zugangsdaten eines solchen Kontos erbeutet, kann kritische Unternehmensressourcen kontrollieren, Sicherheitssysteme ausschalten und auf geistiges Eigentum und streng vertrauliche Daten zugreifen. Ein Szenario, das es unbedingt zu vermeiden gilt.
Risiko erkannt – Gefahr nicht gebannt
Wie der aktuelle Report 2018 Global State of PAM Risk and Compliance zeigt, erkennen Unternehmen durchaus die Notwendigkeit, privilegierte Konten effektiv zu verwalten und abzusichern. Dennoch setzen viele IT-Abteilungen kein wirkungsvolles Privileged Account Management um. So geben zwar 80 Prozent der befragten IT-Mitarbeiter an, dass PAM für sie hohe Priorität hat, doch die Tatsache, dass rund drei Viertel der Befragten eine Überprüfung der Zugriffskontrollen für ihre privilegierten Konten nicht bestehen würden, offenbart, dass sie hier kein ganzheitliches Konzept verfolgen. 73 Prozent der Unternehmen verlangen bei vitalen Accounts sogar keine Multifaktor-Authentifizierung.
Privileged Account Management in der Praxis: Die fünf wichtigsten Punkte
Da es bei Privileged Account Management um mehr geht als sichere Passwörter und die reine Verwaltung von Administrator-Accounts, empfiehlt sich der Einsatz einer vollumfänglichen, vollständig integrierten Lösung.
Folgende fünf Punkte sollte eine Privileged-Account-Management-Lösung bieten, wenn IT-Abteilungen sowohl Sicherheit als auch Effizienz anstreben.
- Privilegierte Konten sichtbar machen: Die verlässliche Identifikation von schützenswerten Accounts ist die Basis eines effektiven Privileged Account Managements, denn nur was man kennt, kann man auch schützen. Unternehmen sollten deshalb PAM-Lösungen einsetzen, die sensible Konten automatisch erkennen und den Verantwortlichen jederzeit einen Überblick über die Anzahl an privilegierten Accounts sowie die Anzahl sämtlicher Nutzer mit lokalen Admin-Rechten bietet.
- Kontrolle und Überwachung der Zugriffe: Eine scharf umrissene Definition von Zugriffsrechten und Zuständigkeiten ist unabdingbar, wenn Unternehmen eine klare Sicherheitslinie fahren wollen. Um mögliche Rechteüberschreitungen zu vermeiden, sollten deshalb PAM-Lösungen zum Einsatz kommen, die die Einhaltung dieser Rechtevergabe stetig kontrollieren. Dabei sollte eine vollständige Transparenz über die Aktivitäten sämtlicher administrativer Benutzer sowie alle Zugriffe sichergestellt werden. Einige Lösungen greifen dabei auf Machine-Learning-Technologien zurück, mit deren Hilfe Benutzeraktivitäten auf Basis von individuellen Verhaltensmustern analysiert und verdächtige Zugriffe auf privilegierte Accounts automatisch gemeldet werden. Mögliche Kompromittierungen der Accounts durch Hacker oder interne Angreifer können so abgewendet werden, bevor Schaden entsteht.
- Effektive Passwortverwaltung: Passwörter sind eines der wichtigsten Mittel gegen unberechtigte Zugriffe auf Systeme und damit alle unternehmenskritischen Daten und Informationen. Bei kritischen Konten gilt dies ganz besonders. Umso wichtiger ist es, dass privilegierte Passwörter in einer sicheren Umgebung erstellt, gespeichert, weitergegeben, geändert und überprüft werden. Effektive PAM-Lösungen ermöglichen ein Passwort-Management, das vertrauliche Anmeldeinformationen regelmäßig kontrolliert, umfassende Nutzerprotokolle erstellt und automatisch Passwortwechsel durchführt. Das Team wird dabei präzise in Echtzeit über alle Änderungen informiert.
- Einfache Implementierung und nutzerfreundliche Handhabung: Um unnötigen Zusatzaufwand zu vermeiden und die IT-Abteilung in ihrem Alltagsgeschäft zu entlasten, sollten Unternehmen eine PAM-Lösung wählen, deren Implementierung schnell und problemlos durchgeführt werden kann und die einfach zu bedienen ist. Für Unternehmen, die eine Beeinträchtigung ihrer Geschäftsprozesse befürchten, empfiehlt es sich, stufenweise vorzugehen. Sie können sich etwa zunächst nur auf die nutzergebundenen Accounts konzentrieren und die Sicherheit in einem zweiten Schritt auf alle anderen privilegierten Konten ausweiten.
- Desaster Recovery: Weil trotz bester Sicherheitsmaßnahmen und größter Vorsicht dennoch auch mal ein Ernstfall eintreten kann, lohnt es sich, auf Privileged Account Management-Lösungen zu setzen, die eine automatische Erstellung von Datenbank- und IIS-Backups sowie SQL-Datenbankspiegelungen unterstützt. Auf diese Weise steht zu jeder Zeit ein Echtzeit-Backup aller gespeicherten Daten zur Verfügung.
„Eine scharf umrissene Definition von Zugriffsrechten und Zuständigkeiten ist unabdingbar, wenn Unternehmen eine klare Sicherheitslinie fahren wollen.“
Markus Kahmen, Thycotic
PAM-Lösungen, die oben genannte Funktionen und Eigenschaften kombinieren, ermöglichen es Unternehmen, komplexe Angriffe auf privilegierte Konten zu verhindern, ohne lästige Behinderungen und Ausfälle in Kauf nehmen zu müssen.
Über den Autor:
Markus Kahmen ist Regional Director Central Europe bei Thycotic.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!