Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2020
14.01.20 - 17.01.20
In Wien, Hotel Savoyen

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

DSAG-Technologietage 2020
11.02.20 - 12.02.20
In Mannheim, Congress Center Rosengarten

E-commerce Berlin Expo
13.02.20 - 13.02.20
In Berlin

SMX
18.03.20 - 19.03.20
In München

Anzeige

Anzeige

Nur für Mitglieder

Systemadministratoren schaffen mit ihren privilegierten Accounts ein hohes Risikopotential, weil sie durch ihre uneingeschränkten Berechtigungen Zugriff auf alle Unternehmensdaten haben. Sorgfältige Überlegungen wie „wer benötigt wirklich einen privilegierten Zugang ins Unternehmensnetzwerk?“ und „wie werden diese Accounts sicher verwaltet?“ zahlen sich früher oder später aus. 

Denn die Administratoren verfügen sowohl über die IT, als auch über die Business-Ressourcen sehr viel Macht. Wer an dieser Stelle saubere Prozesse einführt, beugt Datenmissbrauch oder -pannen mit unangenehmen Folgen vor.

Privilegierte User mit kontrollierten Zugriffsmöglichkeiten (Quelle: Beyondtrust)

Bild 1: Privilegierte User mit kontrollierten Zugriffsmöglichkeiten (Quelle: Beyondtrust)

Weite Kreise über die Unternehmensgrenze hinweg

Externe (IT-)Dienstleister, Softwarehersteller, Zulieferer, Logistiker und andere externe Partner benötigen häufig User mit erweiterten Privilegien und Zugriffsmöglichkeiten. Daher führen viele Unternehmen ein „Privileged Access Management“ (PAM) für die Zusammenarbeit über Unternehmensgrenzen hinweg ein. Oft sogar schon bevor sie die Rechte der internen Administratoren aktiv managen.


Netzwerk mit privilegierten externen Usern (Quelle: Beyondtrust)

Bild 2: Netzwerk mit privilegierten externen Usern (Quelle: Beyondtrust)

Privilegierte Accounts öffnen Tür und Tor

Aktuelle Studien schätzen den Schaden durch Cyberkriminalität bis 2021 auf jährlich 6 Billionen Dollar. Sie nennen das die "Hacker Apokalypse". Dieser Betrag ist doppelt so hoch wie der Schaden, der 2015 in Höhe von 3 Billionen Dollar entstanden ist. Dies ist die größte globale Bedrohung für Unternehmen und eines der größten Probleme der Menschheit in der digital vernetzten Welt. Die Anreize für kriminelle Cyberangriffe sind inzwischen so groß, dass sie den Geldbetrag aus dem illegalen weltweiten Drogenhandel übersteigen werden.

Dies ist mittlerweile zwar allgemein bekannt, trotzdem setzen viele nach wie vor auf die Karte „Vertrauen“. Hand aufs Herz – was ist mit den privilegierten Konten und den Zugriffsmöglichkeiten? Ist beispielsweise ein Mitarbeitender nicht als Domänen-Administrator tätig, besitzt aber trotzdem dessen weitreichende Zugriffsrechte, kann dies für ein Unternehmen gefährlich werden. Wer dagegen genau weiß, wer auf den Systemen und im Firmennetzwerk mit erhöhten oder sogar absoluten Zugriffsrechten arbeitet, sitzt am längeren Hebel.

PAM-Lösungen kontrollieren Zugriffe privilegierter User

IT-Abteilungen wähnen sich teilweise in der trügerischen Sicherheit, dass sie alle Zugriffsberechtigungen durch den Einsatz von Active Directory oder auch durch Lösungen für das Identity Access Management (IAM) vollständig unter Kontrolle haben. Aber gerade im Netzwerk ist es wichtig, dass die Zugriffsrichtlinien zuverlässig und auf Identitäten basierend durchgesetzt werden. In einer komplexen Netzwerkumgebung erfüllen einfache Lösungen diese Anforderungen nicht mehr. Oft kommen IAM-Lösungen zum Einsatz, die in der Lage sind, den grundsätzlichen Zugriff der Nutzer auf Ressourcen wie Anwendungen, Datenbanken, Storage und die Netzwerke richtlinienkonform zu regeln. Braucht es da noch eine PAM-Software, mit deren Hilfe die privilegierten Konten aufgespürt und überwacht werden?

Absolut - weil sich privilegierte Nutzerkonten oft den relevanten Kontrollmechanismen entziehen. PAM-Lösungen dagegen kontrollieren die betroffenen Nutzergruppen, im Idealfall in allen Bereichen. Sie können dort wirken, wo die Standardmechanismen der IAM-Lösungen – die sich um die „normalen Nutzer“ kümmern – nicht mehr greifen.

Die Zugriffsverwaltung wird zusammen mit der Benutzeridentifikation verwendet, um den Benutzerzugriff auf Netzwerkdienste zu steuern. Die Berechtigungsverwaltung wird verwendet, um die Berechtigungsstufen zu steuern, die als Sicherheitsrichtlinie für Gruppen, Kontoarten, Anwendungen und Einzelpersonen festgelegt sind. Dazu gehören die Verwaltung von Passwörtern, die Überwachung von Sitzungen, der Zugriff auf Herstellerrechte und der Zugriff auf Anwendungsdaten. Die PAM-Software (Privileged Access Management) speichert die Anmeldeinformationen von privilegierten Konten in einem hochsicheren und separaten Repository, in dem die Dateien verschlüsselt sind. Der separate verschlüsselte Speicher trägt dazu bei, dass die Anmeldeinformationen nicht gestohlen oder von einer unbefugten Person verwendet werden können, um sich auf der Ebene des Systemadministrators Zugang zum Netzwerk zu verschaffen. Die anspruchsvolleren PAM-Systeme erlauben es den Benutzern nicht, Passwörter zu wählen. Stattdessen verwendet ein Manager für sichere Passwörter eine Multi-Faktor-Authentifizierung, um die Anforderung eines legitimen autorisierten Benutzers zu überprüfen. Er gibt dann jedes Mal, wenn sich ein Admin-Benutzer anmeldet, ein Einmalpasswort aus. Diese Passwörter verfallen automatisch, wenn sich der Benutzer abmeldet, die Sitzung unterbrochen wird oder nach einem bestimmten Zeitraum.

Fazit

In der Praxis herrscht (leider) in vielen IT-Abteilungen ein «Bereichsegoismus». Die Netzwerkverantwortlichen wollen sich vielfach nicht um die Sicherheit kümmern, denn das ist ja die Aufgabe des Bereichs Security. Umgekehrt findet der Bereich Security, dass es sich um eine Netzwerkproblematik handelt, wofür die Security nicht zuständig ist. Als wirksames Mittel gegen Cyberkriminalität müssen beide einen Konsens finden und mit konstruktiver Zusammenarbeit ein besonderes Augenmerk auf die privilegierten User richten.

Die Einführung von Privileged Account Management Lösungen kann phasenweise und mit überschaubarem Aufwand erfolgen. Sie entsprechen dem «state-of-the art», den Datenschutzbehörden immer dringender einfordern und werden daher zunehmend unverzichtbar.

Arne Vodegel, Service Manager Germany
Arne Vodegel
Service Manager Germany, IPG-Gruppe
Arne Vodegel, ist seit 2016 für IPG im ganzen DACH-Raum tätig. Er verfügt über umfangreiche und mehrjährige Erfahrungen aus verschiedenen Tätigkeiten als Produkt- und Salesmanager bei IAM-Herstellern. Dabei lag der Schwerpunkt in den letzten sieben Jahren ausschließlich auf Identity und Access Management. Hier gehörten neben der Konzeptionierung auch die Realisierung einzelner Projekte insbesondere innerhalb komplexer IT-Umgebungen zu seinen Tätigkeiten. Zu seinen persönlichen Stärken zählen die kompetente Beratung sowie aktives Informations- und Vorschlagswesen. 
GRID LIST
Barcode und Menschen

Digitale Identitäten - Prognosen für 2020

Digitale Identitäten für Menschen und Maschinen werden die nächsten Jahre prägen. Darrell…
Tb W190 H80 Crop Int E0dc3f20177fb486b6a07cedf0a8a9b0

Einloggen, statt Hacken: Missbrauch privilegierter Konten

Für Cyberkriminelle ist der Missbrauch kompromittierter Anmeldedaten heute eine der…
Security Baum

Vier Fehler, die PKI-Administratoren belasten können

PKI-Administratoren stehen durch die zunehmende Notwendigkeit mehr Netzwerkverkehr zu…
Aaron Cockerill

Kommt die passwortfreie Zukunft?

Aaron Cockerill, Chief Strategy Officer, Lookout, im Interview mit it security über den…
Security Schloss

Sicheres Identitätsmanagement in Unternehmen

Ein starkes Identity- und Access-Management (IAM) wird zum Standard in Unternehmen, die…
Mobile Access

In der Zutrittskontrolle beginnt das Mobile-Access-Zeitalter

HID Global sieht eine deutlich steigende Nachfrage nach Mobile-Access-Lösungen. Sie…