Anzeige

Security

Dass Unternehmen verstärkt versuchen, ihre Infrastruktur und ihre Mitarbeiter bestmöglich abzusichern, verwundert angesichts der sich rapide verschärfenden Bedrohungssituation in Sachen IT-Sicherheit kaum. Auch um regulatorischen Vorgaben wie der DSGVO Rechnung zu tragen, ist eine Intensivierung der Cybersicherheit eine Notwendigkeit geworden.

Der Schlüssel zur Gewährleistung einer nachhaltigen IT-Sicherheit ist die Absicherung der Zugänge zu den Unternehmenssystemen. Speziell User Accounts, die mit besonderen Privilegien ausgestattet sind, bedürfen hierbei einer besonderen Aufmerksamkeit. Das gilt beispielsweise für Administratoren, Mitarbeiter im technischen Support sowie externe Dienstleister (beispielsweise Managed Service Provider). Da diese Benutzer besonders weitreichende Berechtigungen benötigen, um ihrer Arbeit nachzugehen, stehen sie aber auch verstärkt im Fokus von Cyberkriminellen. Einmal erbeutete Zugangsdaten für einen solchen privilegierten Account, erlauben es den Angreifern viel tiefer in ein Unternehmen vorzudringen, als es mit einer normalen Benutzerberechtigung der Fall wäre. Aus diesem Grund ist hier der bloße Einsatz von komplexen Passwörtern – wie sie heute in der Regel gefordert werden – beileibe nicht ausreichend.



Paradigmenwechsel beim Zugangsschutz 

Stattdessen bedarf es zur nachhaltigen Absicherung von Unternehmensressourcen eines Paradigmenwechsels aufseiten der IT-Verantwortlichen. Denn selbst das ausgefallenste Kennwort kann Angreifern in die Hände fallen. Ob sie dessen mittels Brute-Force-Angriffen – bei denen ein starkes Passwort tatsächlich den Cyberkriminellen die Arbeit zumindest erschwert – oder Phishing habhaft werden, spielt dabei keine Rolle. Vor fremdem Zugriff vollkommen sicher sind Login-Daten im Grunde nie. Auf lange Sicht mag es möglich sein, gänzlich auf Kennwörter zu verzichten, doch für den Moment gilt es viel mehr sich der Frage zu stellen, wie sich Mitarbeiterkonten und insbesondere privilegierte Accounts bestmöglich schützen lassen. Hier spielt das sogenannte Privileged Access Management (PAM) seine Stärken aus.

Anders als es bei Identity-Management-Lösungen (IdM) der Fall ist, die allgemein das Management aller Nutzer zum Ziel haben, widmet sich PAM vor allem dem eigentlichen Zugriff. Dieser wird vollständig für die komplette Dauer einer Sitzung abgesichert. Somit dienen PAM-Lösungen als Ergänzung zu IdM und stellen sicher, dass entsprechende Sicherheitsrichtlinien individuell für das Profil eines Benutzers eingehalten werden. 

Access Manager

Der Access Manager dient dazu, die Zugriffsrechte der Nutzer individuell zu verwalten. Zudem können mit seiner Hilfe generelle und rollenbasierte Richtlinien ergänzt werden. Er ist innerhalb einer PAM-Lösung das zentrale Zugangsportal. Mittels des Access Manager können die Benutzer auf das von ihnen benötigte Zielsystem zugreifen oder den Zugang hierzu beantragen. Für Unternehmen hat das den Vorteil, dass sie nicht länger eine Schnittstelle zum Fernzugriff in ihrer Firewall benötigen, was zu einer Stärkung ihres Perimeters beiträgt. Darüber hinaus kann auch auf die Nutzung eines VPNs verzichtet werden, da bereits der Access Manager eine abgesicherte Verbindung zum Zielsystem ermöglicht. Es ist somit auch nicht mehr möglich, auf das entsprechende System direkt zugreifen zu können.

Sofern dieser Ansatz konsequent umgesetzt wird, verringert sich damit auch die Gefahr von Insider-Attacken. Hierbei sind vor allem ehemalige Mitarbeiter aufgrund von Fahrlässigkeit oder Vorsatz für Schäden an der Unternehmens-IT verantwortlich. Oftmals wird dieser Bedrohung jedoch nicht die Aufmerksamkeit zuteil, die ihr aufgrund der potenziellen Schäden gerecht werden würde. Denn durch Insider Attacken kommt es immer wieder zu großen Schäden aufseiten der Unternehmen. Der möglicherweise zusätzlich entstehende Schaden für den Ruf der Organisation, sollten derlei Vorfälle öffentlich werden, ist hierbei noch nicht miteinbezogen. Aktuell fallen bei Insider-Angriffen durchschnittlich Schäden in einer Höhe von mehr als 300.000 US-Dollar an. Das ist das Ergebnis einer Studie des Ponemon Institute im Auftrag von Proofpoint und IBM, die vor kurzem veröffentlicht wurde.

Password Tresor

Zusätzlich zum Access Manager verfügen PAM-Lösungen über einen Password Vault, also einen besonders abgesicherten Passwort-Tresor. Um Zugriff auf ein Zielsystem zu erhalten, auch ohne die Passwörter kennen zu müssen, werden in ihm die Zugangsdaten zu kritischen Systemen zentral abgelegt. Auf Basis definierter Sicherheitsvorgaben generiert und rotiert das System die entsprechenden Passwörter. Ferner bieten ausgeklügelte PAM-Lösungen zudem eine Schnittstelle, um DevOps-Verfahren sowie roboterbasierte Prozesse (RPA) an den Password Vault anbinden zu können. Dabei ermöglicht der sogenannte Application-to-Application-Passwort-Manager (AAPM), dass nicht länger hartcodierte Passwörter in Skripten verbleiben müssen. Diese Zugangsdaten können stattdessen via API-Calls abgefragt werden.

Session Manager

Abgerundet wird die PAM-Lösung durch einen Session Manager. Dieser dient Sicherheitsverantwortlichen dazu, die Aktivitäten der Nutzer im Verlauf der Sitzung aufzuzeichnen und zudem auf potenziell gefährliches oder abweichendes Nutzerverhalten hin zu überprüfen. Wird bei der Analyse ein solches Verhalten erkannt, kann mittels des Session Managers direkt eine passende Gegenmaßnahme eingeleitet oder die Sitzung umgehend beendet werden. Darüber hinaus kann die umfassende Aufzeichnung von Sitzungen privilegierter Nutzer für die Auditierung herangezogen werden. Da alle Daten- und Systemzugriffe komplett nachvollzogen werden können, wird auf diese Weise auch gesetzlichen Vorgaben und Compliance-Richtlinien Rechnung getragen.

Ferner ist es wichtig, dass die IT-Teams in der Lage sind, Privilegien auf den Endgeräten so zu verwalten, dass ein Nutzer nur über die Berechtigung verfügt, die er zur Erfüllung seiner Arbeit auf dem jeweiligen System auch tatsächlich braucht (Privilege Elevation and Delegation Management – PEDM). Ein weiterer Vorteil von PEDM ist es, dass Legacy-Anwendungen, die nicht mehr die aktuell geltenden Sicherheitsstandards erfüllen, noch immer unkritisch verwendet werden können. 

Darüber hinaus ist es mittels der Lösung möglich, eine Ausführung oder die Installation von unbekannten Applikationen, die ein verdächtiges Verhalten zeigen oder als potenziell gefährlich beurteilt werden, zu überwachen sowie dauerhaft zu blockieren.

Das geringste Privileg als Maxime der IT-Sicherheit

Ein wichtiger Aspekt in puncto Cybersecurity ist das sogenannte „Prinzip des geringst notwendigen Privilegs“ (Principle of Least Privilege - PoLP). Dieses Prinzip lässt sich mittels einer Lösung für das „Endpoint Privilege Management“ (EPM) implementieren. Dadurch kann der Schutz der Workstations gewährleistet werden. Kommt es zu einem Malware-Angriff, bei dem sich die Schadsoftware über Administratoren-Accounts auf Endgeräten und Anwendungsservern zu verbreiten versucht, kann dies damit nachhaltig verhindert werden. Das „Prinzip des geringst notwendigen Privilegs“ bildet eine Säule der Zero-Trust-Unternehmensarchitekturen. Es bezieht sich auf Server-Umgebungen, Workstations und Steuerungssysteme für Maschinen in Industrieumgebungen. Hierdurch wird das sogenannte „Security by Design" implementiert.

Durch die Verbindung von PAM und PEDM ist es möglich, das Prinzip des geringst notwendigen Privilegs auf die globale Zugriffsverwaltung und alle privilegierten Konten anzuwenden. Dies geschieht unter Einhaltung von regulatorischen Vorgaben wie der DSGVO, NIS, BSI IT-Grundschutz und weiteren. Es ist somit ein wichtiger Baustein eines ISMS (Information Security Management Systems), das dem ISO 27001 Standard entspricht. Ziel ist es, das Sicherheits- und Vulnerability-Management digitaler Ressourcen zu zentralisieren.

PAM-Lösungen sind ein bedeutender Schritt auf dem Weg zu einer umfassenden Sicherheitsarchitektur der Unternehmens-IT

In der Sicherheitsarchitektur von Unternehmen kommt der Absicherung der Zugänge zu den Unternehmensressourcen zentrale Bedeutung zu. PAM-Lösungen sind eine tragende Säule, um diesen Schutz zu gewährleisten. So ist es möglich, privilegierte Zugriffe und Sitzungen umfassend zu überwachen. Sie bieten ferner Audit-Trails und Reports zur Verhaltensanalyse bei Aktivitäten privilegierter Benutzer, was einem Unternehmen einen bedeutenden Mehrwert liefert. Von der Absicherung aller Zugriffe können Organisationen vielfältig profitieren: Die Security-Verantwortlichen werden bei ihrer täglichen Arbeit unterstützt, was zu einer gesteigerten Effizienz führt. Zudem hilft Access Management Unternehmen dabei, Datenschutzvorschriften zu erfüllen und schützt sie vor empfindlichen Bußen. 

Stefan Rabben, Managing Director, Area Sales Director DACH and Eastern Europe
Stefan Rabben
Managing Director, Area Sales Director DACH and Eastern Europe, WALLIX Group

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Archivierung
Okt 24, 2020

DSGVO-konforme Archivierung aus der Cloud

Dokumentenmanagement ist schon per Definition ein auf Langfristigkeit und Sicherheit…
Phishing
Okt 19, 2020

Coronavirus-bezogene Phishing-E-Mail-Angriffe hören nicht auf

KnowBe4, Anbieter einer Plattform für die Schulung des Sicherheitsbewusstseins und…
Passwort
Okt 14, 2020

Starke Passwörter sind kein Hexenwerk

Bequemlichkeit statt Sicherheit: Das ist nach wie vor das Credo vieler…

Weitere Artikel

Cybercrime

Effizienter Schutz vor Credential Stuffing

Die globale Coronavirus-Pandemie hat das Problem von Credential Stuffing noch verschärft. Bei dieser Angriffsmethode probiert ein Cyberkrimineller eine große Anzahl gestohlener Anmeldedaten bei mehreren Websites aus. Damit möchte er sich unbefugten Zugang zu…
Weihnachten Kalender

Der Adventskalender für mehr IT-Sicherheit

Die Weihnachtszeit naht und für Viele ist das Öffnen von 24 Adventskalender-Türchen eines der am meisten geschätzten Dezember-Rituale. Passend dazu startet zum zweiten Mal die Aktion “Sicher im Advent”
Business Continuity Management

Business Continuity Management: Überlebenswichtig in Corona-Zeiten

Die Corona-Pandemie stellt zahlreiche Unternehmen auf eine harte Probe. In dieser unsicheren Wirtschaftslage können Systemausfälle oder Ähnliches nicht nur Zeit, Geld und die Reputation kosten, sondern auch die Existenz.
E-Mails

E-Mail-Kommunikation mittels Blockchain: totemomail Verified

Die E-Mail ist gerade im Geschäftsleben nach wie vor das universelle Kommunikationsmittel, obwohl ihren Vorteilen auch Nachteile wie Phishing-Risiken oder die fehlende Revisionssicherheit gegenüberstehen.
Netzwerk-Sicherheit

Das Netzwerk sichern wie den Firmen-Komplex

Ransomware-Angriffe nehmen mehr und mehr zu, nicht zuletzt begünstigt durch die fortschreitende Digitalisierung, Cloudmigration und breit angelegte Tele-Arbeit. Nun gilt es, die Strategie für Netzwerksicherheit ebenfalls zu adaptieren. Mehr Homeoffice. Mehr…
Endpoint Security Baum

Welche Strategie schützt den Endpunkt?

In einer perfekten Welt wäre Software vollkommen sicher und Angriffe wären unmöglich. Sie ist jedoch zu komplex, um perfekt entworfen oder programmiert werden zu können, jedenfalls, wenn Menschen im Spiel sind. Selbst die sichersten Anwendungen haben Fehler.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!