Anzeige

Privilegierte Accounts

Derzeit wächst in vielen Unternehmen das Bewusstsein, dass privilegierte Accounts ein Sicherheitsrisiko darstellen. Nicht nur in regulierten Branchen erkennt man, dass Administratoren-Accounts, die von mehreren Personen genutzt werden nicht mehr existieren dürfen: Jeder Administrator muss zukünftig mit personalisierten Accounts arbeiten. Oft werden dezidierte Privileged Account/Access Management (PAM) Produkte eingeführt, die den privilegierten Usern eigene Sessions bereitstellen und sie damit sogar davon entlasten, sich komplexe Admin-Passwörter zu merken. Allerdings ist es auch möglich, das Management der Accounts selbst im IdM abzubilden.

In jedem Fall ist es sinnvoll, Kennzahlen für eine initiale Bestandsaufnahme sowie für die Formulierung von kurz- und langfristigen Zielen zu erheben. Für die folgenden Accountarten sollten die Anzahl erhoben werden und der Anteil gemanagter Accounts – unabhängig davon ob das mit einem PAM-Produkt oder dem IdM-System erfolgt:

  • Admin-Accounts: Hier unterstellen wir, dass diese Accounts bereits auf personengebundene Accounts „umgestellt“ wurden. Sonst müsste auch gezählt werden, wie viele Personen mit geteilten Admin-Accounts arbeiten.
  • System Accounts: Bei diesen Accounts, die meistens von Applikationen verwendet werden, muss mindestens ein Verantwortlicher hinterlegt sein. Das kann eine Person oder auch eine Rolle sein. Dabei muss sichergestellt sein, dass beim Ausscheiden einer verantwortlichen Person immer ein Nachfolger bzw. Stellvertreter bekannt ist.
  • Emergency oder Firefighter Accounts: Diese werden prinzipiell nur zeitlich befristet vergeben um akute Probleme zu lösen.
  • Externe: Hierbei handelt es sich um privilegierte Zugänge von externen Partnern, also von IT-Dienstleistern oder auch Produktherstellern die im Supportfall auf Systeme zugreifen müssen.

Privilegierte Accounts

Bild 5: Der Reifegrad des Managements privilegierter Zugriffe kann für jeden Accounttyp gesondert geplant werden.

Für jeden dieser Account-Typen können in einer Roadmap kurz- und mittelfristige Ziele vorgegeben werden, die geprägt werden von den Sicherheitsanforderungen sowie den Aufwand. Der rein technische Aufwand ist dabei oft vergleichsweise klein. Häufig verzögern historisch gewachsene und schlecht dokumentierte Strukturen bei den Systemaccounts ein durchgängiges «Management» und muss durch einen organisatorischen Prozess begleitet werden.

Businessrollen machen Sinn – aber nicht zuviele davon!

Immer mehr Unternehmen führen Geschäftsrollen ein, die möglichst viele Einzelberechtigungen aus unterschiedlichen Applikationen beinhalten. Das fördert die Transparenz und reduziert den Verwaltungsaufwand. In stark regulierten Branchen, beispielsweise Banken erzwingen mittlerweile die Aufsichtsbehörden die Einführung von Geschäftsrollen. Ein gängiges Missverständnis dabei ist: In keinem Fall wird gefordert dass ausnahmslos alle Berechtigungen über Geschäftsrollen vergeben werden: Diese Forderung würde nämlich zu einer «Explosion» der Anzahl von Geschäftsrollen führen und die Transparenz sogar verschlechtern anstatt zu verbessern.

Ohne an dieser Stelle auf Details der Einführung von Geschäftsrollen einzugehen unterscheiden wir die folgenden Zuweisungswege, über die Benutzer Berechtigungen erhalten (haben):

  1. Direktzuweisung ohne klare Prozesse, das heißt Zuweisung auf «Zuruf» oder über Freitextbestellungen, die dann ohne festgelegte Regeln von einem Adminteam o.ä. umgesetzt werden. Dieser Zuweisungsweg ist bei Weitem der schlechteste, spiegelt in vielen Organisationen allerdings den aktuellen Status quo wider.
  2. Einzelzuweisungen über einen klar geregelten Antragsprozess: Berechtigungen werden beantragt, bei Bedarf genehmigt und dann manuell oder automatisch zugewiesen.
  3. Geschäftsrollen: Möglichst viele Einzelberechtigungen werden durch Geschäftsrollen gebündelt und dann entweder über Regeln zugewiesen oder über Anträge bzw. Bestellungen. Die Regeln können sich auf Organisationszugehörigkeiten, Standorten, Funktionen etc. beziehen. Grundsätzlich empfehlen wir Geschäftsrollen über beide Wege zuweisbar zu machen.
  4. Regeln / Policies: Dabei werden Berechtigungen direkt in Abhängigkeit von Organisationszugehörigketen o.ä. vergeben. Beispielsweise kann die automatische Zuweisung von Abteilungslaufwerken über Regeln erfolgen.

Ein optimaler Zielzustand ist derjenige, der möglichst viele Berechtigungen über Regeln und Geschäftsrollen zuweist und gleichzeitig die Anzahl dieser Regeln und Geschäftsrollen nicht zu sehr wachsen lässt.

Bild 6 zeigt daher einen möglichen Fahrplan der Reifung von Berechtigungszuweisungen: Initial sind bereits einige Regeln umgesetzt, ansonsten ist allerdings nicht nachvollziehbar, wer warum und wann welche Berechtigung erhalten hat. In einer Pilotphase wird ein Teil der Berechtigungen über ein strukturiertes Verfahren «bestellbar» gemacht. In Phase 3 erfolgt der Ausbau des Bestellsystems und gleichzeitig die Pilotierung von Geschäftsrollen. Im Zuge der Reifung der Prozesse wird sowohl das Rollenmanagement sowie das Regelwerk werden ausgebaut und idealerweise alle anderen Berechti-gungen über einen gut dokumentierten Antragsprozess geführt.

Verteilung der Zuweisungswege

Bild 6: Der Reifegrad des Managements privilegierter Zugriffe kann für jeden Accounttyp gesondert geplant werden.
 

Peter Weierich, Managing Director Germany
Peter Weierich
Managing Director Germany, IPG GmbH Deutschland
Dipl.-Inf. Peter Weierich war Leiter Marketing und Vertrieb bei der Völcker Informatik AG (heute Dell One Identity Manager), bevor er zur iC Consult stieß. Neben seiner Rolle als IAM Strategieberater in zahlreichen Projekten ist er heute zusätzlich Managing Director bei der ipg Deutschland GmbH.



Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Face ID mit dem Smartphone
Jun 06, 2019

Schnellere Einführung von MFA- und SSO für Cloud-Dienste

Das neue Produktpaket von Ping Identity kombiniert eine Cloud-basierte…
KI Security
Mai 22, 2019

Vollautomatische Personenidentifikation auf Basis von KI

Die Nutzung künstlicher Intelligenz (KI) dringt in immer mehr Bereiche unseres Lebens…
IAM Concept
Mär 12, 2019

Ein IAM in 20 Tagen

Eine Krankenkasse mit etwa 9.000 Usern hat sich entschlossen, ein IAM in Nutzung zu…

Weitere Artikel

Team Meeting

Strategien für Identitäts- und Zugriffsmanagement

Identitätsmanagement war noch nie so wichtig wie in Zeiten von Home-Office und mobilen Arbeitsumgebungen. Eine sichere Identität optimiert das Risikomanagements. Doch jede Branche legt bei ihrer IAM-Stragie andere Schwerpunkte. Welche Strategien Finanz-,…
Authentifizierung

Corona-Krise: Multi-Faktor-Authentifizierung für Remote-Mitarbeiter

Über zwei Drittel (70 Prozent) der Unternehmen setzen Multi-Faktor-Authentifizierung (MFA) und ein Virtual Private Network (VPN) ein, um die Sicherheitsrisiken zu bewältigen, die durch die Zunahme der Fernarbeit während der Corona-Krise entstehen.
IAM

Kombination von Digital Risk Protection-Plattform und IAM

ID Agent erweitert seine Digital Risk Protection (DRP)-Plattform mit Passly, eine integrierte Lösung für sicheres Identity- und Access-Management.
Asset Protection

Cyberkriminalität - PAM schützt Assets

Cyberkriminalität hat sich weltweit zu der am häufigsten vorkommenden kriminellen Aktivität entwickelt. Bis 2021 werden die illegalen Erlöse 6 Trilliarden US-Dollar ausmachen. Unternehmen müssen sich deshalb vor dieser ständig wachsenden Bedrohung schützen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!