Thought Leadership
Viele der in letzter Zeit bekannt gewordenen Cyberangriffe und Datenverstöße haben eines gemeinsam: Sie können fast alle auf kompromittierte Benutzerkennwörter für sensible Unternehmenskonten – sogenannte Privileged Accounts – zurückgeführt werden.
Das Analystenhaus Forrester Research belegt dies sogar mit konkreten Zahlen: Demnach sind heutzutage bei 80 Prozent der Datensicherheitsvorfällen und Datenpannen ausgespähte Zugangsdaten für privilegierte Konten involviert. In vielen Fällen wurden die Passwörter dabei durch verschiedene Social Engineering Techniken gehackt. Der Schutz wertvoller und sensibler Daten wird für Unternehmen so mehr und mehr zur Herausforderung, ein effektives Privileged Account-Management (PAM) zum notwendigen Muss.
Kein Unternehmen, egal ob großer Konzern oder kleiner Mittelstand, ist vor Cyberangriffen gefeit – so viel steht fest –, denn lukrative Informationen oder wertvolles geistiges Eigentum lassen sich letztlich überall abschöpfen. Die Schlüssel zu diesen „Kronjuwelen“ sind dabei privilegierte Unternehmen-Accounts, seien es nutzergebundene Administratorkonten oder Server-Accounts, bzw. die Passwörter, um auf sie zugreifen zu können. Diese vor Missbrauch zu schützen, muss für die IT-Abteilungen eigentlich oberste Priorität haben, doch die Realität sieht anders aus. Denn obwohl es Hackern dank einem Arsenal an technischen Werkzeugen und Angriffsmethoden immer öfter gelingt, Passwörter schnell und unkompliziert zu knacken, verlassen sich viele Sicherheitsverantwortliche bei der Identifizierung, Verwaltung und Absicherung privilegierter Konten nach wie vor auf herkömmliche manuelle Methoden, die aufgrund ihres Zeitaufwandes zudem nur selten oder ad-hoc durchgeführt werden. Diese Nachlässigkeit kann schnell zur Sicherheitskatastrophe führen, denn wenn es einem Angreifer gelingt, einen privilegierten Account zu hacken, kann er sich als vertrauenswürdiger Mitarbeiter ausgeben und so lange Zeit unbemerkt im Netzwerk bewegen, ohne dass Verdacht geschöpft wird. Auf diese Weise kann es schnell zu Datendiebstählen von extremen Ausmaßen kommen. Man denke hier etwa an den spektakulären Yahoo-Hack, bei dem es Angreifern gelungen ist, ganze drei Milliarden Nutzerdaten zu entwenden.
Über den Perimeter hinausgehen
Traditionell konzentrieren sich Unternehmen beim Schutz ihrer Systeme und Daten auf typische Perimeter-Tools wie Firewalls und Antivirenprogrammen. Diese haben lange Zeit einen guten Dienst erbracht und sind nach wie vor wichtig. Dennoch sollte klar sein, dass es in Zeiten der digitalen Transformation längst nicht mehr ausreicht, einen Zaun um kritische Unternehmenswerte zu bauen. Vielmehr müssen Unternehmen direkt dort ansetzen, wo die Cyberkriminellen auch hinwollen, nämlich bei den privilegierten Accounts, digitalen Identitäten und Passwörtern – und zwar nicht nur im eigenen Unternehmen, sondern auch bei Partnern oder Drittanbietern, die Zugriff auf kritische Daten haben. Wie jede andere Sicherheitsmaßnahme erfordert auch die Verwaltung und der Schutz privilegierter Accounts sowohl ein gut durchdachtes Konzept als auch einen langfristigen Plan. Die Identifizierung dieser besonders schützenswerten Accounts muss dabei oberste Priorität haben, denn viel zu viele Unternehmen unterschätzen nach wie vor ist die Breite ihrer Systeme und die Vielfalt der betroffenen Accounts. Vor allem Konten jenseits klassischer direkt verwalteter Administrator-Accounts, wie etwa privilegierte Root- und Maschinenkonten, werden dabei gerne übersehen. Ein weiterer Schwachpunkt sind zudem viel zu weit gefasste und unkontrollierte Zugriffsvergaben.
PAM – Worauf es wirklich ankommt
Etliche Unternehmen setzen bei der Verwaltung von privilegierten Konten und ihren Passwörtern nach wie vor auf manuelle Lösungen und Tabellenkalkulationen. Diese Praktiken sind jedoch nicht nur ineffizient und unpraktisch, sondern aus Sicherheitssicht vor allem extrem gefährlich. Aus diesem Grund empfiehlt sich Unternehmen die Implementierung einer automatisierten PAM-Lösung, die privilegierte Konten automatisch erkennt, deren Passwörter sicher verwaltet und durch regelmäßige Rotation proaktiv schützt.
Auf diese Weise erhalten IT-Abteilungen nicht nur vollkommene Transparenz über alle im System existenten Privileged Accounts, sie profitieren zudem von bestmöglichem Passwortmanagement und eliminieren das Risiko, sensible Zugangsdaten zu verlieren oder an unbefugte Personen weiterzugeben. Noch mehr Sicherheit bieten PAM-Lösung, die privilegierte Sitzungsaktivitäten proaktiv analysieren und so in der Lage sind, Cyberangriffe und potenziellen Insider-Missbrauch frühzeitig zu erkennen und zu melden. Ebenso wichtig ist die Umsetzung eines Privilegienmodells auf Basis der minimalen Rechtevergabe, bei dem Mitarbeitern und Geschäftspartnern nur dann Zugriff auf Konten, Systeme und Endgeräte gewährt wird, wenn er auch wirklich erforderlich ist. Denn je enger und konzentrierter Privilegien gefasst sind, desto geringer ist das Risiko für deren Missbrauch.
In einer Zeit, in der die digitale Vernetzung kontinuierlich zunimmt und die Zahl schützenswerter Daten rasant steigt, muss die Verwaltung und Sicherung privilegierter Konten auf einer soliden Grundlage gebaut sein. Dies zu verwirklichen ist längst keine unüberwindbare Herausforderung mehr, denn mit der richtigen PAM-Lösung können Unternehmen ihre privilegierten Konten ordnungsgemäß im Blick haben und absichern und auf diese Weise vor Bedrohungen durch externe Cyberangreifer und böswillige Insider schützen.
Markus Kahmen, Regional Director Central Europe, Thycotic
