Bekannt ist, dass Superuser-Accounts mit ihren weitreichenden Rechten ein Sicherheitsrisiko für jedes Unternehmen darstellen, denn privilegierte Benutzerkonten, wie sie Administratoren besitzen, ermöglichen einen Zugriff auf unternehmenskritische Datenbestände. Die Implementierung zuverlässiger und vor allem einfach zu verwaltender Passwort-Management-Applikationen ist aber immer noch die Ausnahme.

Cyber-Ark, führender Anbieter von Sicherheitssoftware für privilegierte Nutzerkennungen und vertrauliche Daten, listet die sechs häufigsten Schwachstellen auf, die sich bei Unternehmen finden:

 

• 1. Ein Unternehmen hat Hunderte bis Tausende Rechner zu verwalten, das Admin-Passwort ist allerdings überall identisch. Grund hierfür ist oft einfach die Bequemlichkeit und vereinfachte Verwaltung der Systeme.
• 2. Die Passwörter werden nie oder nicht regelmäßig geändert, weil die Admins und Helpdesk-Mitarbeiter Änderungen in der Regel direkt am Rechner vornehmen müssten.
• 3. Die Admins geben ihr Passwort auch an einzelne User weiter, damit diese zum Beispiel schnell ein Update installieren können. So erhalten diese aber auch einen Vollzugriff auf die Unternehmenssysteme.
• 4. Es werden Passwörter verwendet, die einfach zu erraten sind. Es ist auch kein Einzelfall, dass bei Applikationen die Default-Passwörter nicht geändert werden.
• 5. Vielfach werden Tools zur Erstellung von Passwort-Datenbanken verwendet. Hier finden sich oft Excel-Listen, die zwar eine Speicherung der Kennwörter ermöglichen, aber keine automatische Änderung.
• 6. Die Nutzung von Shared Accounts ist weit verbreitet, das heißt mehrere Administratoren nutzen dasselbe Passwort. Dadurch kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat, eine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene ist also nicht möglich.

Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn, betont: "Unsere Erfahrung zeigt, dass bei vielen Unternehmen im Hinblick auf Admin-Passwörter einiges im Argen liegt und sie sich die Verwaltung von Passwörtern auch unnötig schwer machen. Einmal abgesehen davon, dass es vereinzelt überhaupt kein Passwort-Management gibt, werden die Passwörter sehr oft auch noch manuell geändert. Dies ist in der Regel ein sehr zeitaufwändiger Prozess, bei dem außerdem auch Fehler nicht ausgeschlossen werden können. Da es heute Lösungen gibt, mit denen privilegierte administrative Accounts automatisch zu verwalten und zu ändern sind, ist eine solche Vorgehensweise völlig überflüssig."

Cyber-Ark bietet für die Verwaltung von Admin-Passwörtern die Software-Lösung Enterprise Password Vault (EPV) an. Sie ermöglicht eine automatische Verwaltung, regelmäßige Änderung und Überwachung von administrativen Accounts. Die Passwörter befinden sich verschlüsselt in einem "digitalen Tresor", dem Vault. Eine starke Authentisierung und eindeutige Berechtigungsstrukturen ermöglichen einen Zugriff nur durch berechtigte Administratoren. Nach den Vorgaben der jeweiligen Security-Policy werden die Passwörter automatisch geändert, der Anwender kann dabei die Komplexität und den Änderungszyklus frei festlegen. Durch eine vollständige Zugriffskontrolle und revisionssichere Protokollierung kann die Nutzung der privilegierten Benutzerkonten zu jeder Zeit überprüft werden.

 

www.cyber-ark.com