Anzeige

IAM

Ein Manager für privilegierte Zugriffe

An dieser Stelle kommt das passwortlose Management ins Spiel, bei der administrative Funktionen auf einem Endpunkt ausgeführt werden, ohne mit Administratorstatus oder hohen Zugriffsprivilegien arbeiten zu müssen. Ein solches Konzept hat enorme Auswirkungen auf die IT-Strategie einer Organisation. Übergeordnetes Ziel ist es, allen Benutzern die Administratorrechte zu entziehen und ihnen trotzdem die Ausführung der erforderlichen Betriebssystemaufgaben und die Verwendung aller benötigten Anwendungen zu ermöglichen.

Technisch gesehen laufen diese Prozesse unterhalb des Rechtemanagements von Anwendungen oder Betriebssystemen ab. Die individuell zugeordneten Berechtigungen, einschließlich der Netzwerkauthentifizierung, erlauben eine vollständige Transparenz von Nutzeraktivitäten und die applikationsgesteuerte Kontrolle der Betriebssystemfunktionen. Ohne eine umständliche Implementierung über Datei-Hashfunktionen wird sichergestellt, dass sich nur richtlinienkonforme Aktionen durchführen lassen.

Eine passwortlose Administration lässt sich beispielsweise über Endpoint Privilege Management (EPM) in die Realität umsetzen. Diese IT-Strategie kann als Unterdisziplin von Privileged Access Management (PAM) definiert werden. Sie ermöglicht eine automatisierte Passwort- und Sitzungsverwaltung zur fortlaufenden Kontrolle von Berechtigungen für Endpunkte und Remote-Access-Sicherheit. Jeder Benutzer kann die ihm zugewiesenen Aufgaben ausführen, ohne zusätzliche Administratorrechte zugeteilt zu bekommen. Das ist der entscheidende Unterschied zur kennwortfreien Authentifizierung, die eine Verifikation aus benutzerbasierten Attributen oder biometrischen Verfahren im Authentisierungsverfahren durchführt.

Privilegierte Zugriffskontrollen müssen an die agilen Geschäftsprozesse im Unternehmen angepasst sein, um häufige Passwortwechsel bei wechselndem Personal und maschinellen Identitäten durchführen zu können. Daher wird eine passwortlose IT-Verwaltung in der Regel durch Just-in-Time-Zugriffssteuerung (JIT) unterstützt. Zeitgesteuerte Remote-Access-Verbindungen mit kontextbezogenen Workflows für den Freigabeprozess vermeiden unnötige Verzögerungen und unterstützen den Geschäftserfolg.

Automatisierte Freigabeprozesse

Best-Practice-Empfehlungen für die IT-Sicherheit sehen vor, dass es einen Freigabeprozess geben sollte, bevor privilegierte Anwender (oder Administratoren) neue Programme starten, Befehle ausführen oder Betriebssystemänderungen vornehmen möchten. In aller Regel erfolgt das, indem diese Nutzer ihre Anmeldedaten mit weit gefassten Administrationsrechten erneut eingeben müssen. Das ist ein häufiger Angriffspunkt, den Bedrohungsakteure zum Diebstahl von Anmeldeinformationen nutzen können.

Passwortfreie IT-Administrationsprozesse weisen die benötigten IT-Ressourcen entsprechend vordefinierter Zugriffsrechte zu. Dafür muss das Vertrauen in die Erstauthentifizierung so hoch sein, dass administrative Aufgaben ganz ohne zusätzliche Freigabeprozesse ablaufen können. IT-Verwaltungsfunktionen werden Endnutzern und IT-Assets auf Basis festgelegter Richtlinien und unter Verwendung entsprechender Sicherheitstechnologien zugewiesen. 

Der Einzelanwender fungiert als Administrator oder Root-User, ohne sekundäre Administratoranmeldeinformationen eingeben zu müssen. Anstelle von Anmeldeinformationen kann dafür eine einfache Begründung im Klartext angefordert und für privilegierte Ereignisse protokolliert werden, um IT-Compliance-Anforderungen für privilegierte Aktivitäten einzuhalten. Auf diese Weise lassen sich einfach bedienbare und zugleich sichere IT-Konzepte durchsetzen, die eine Vergabe weitreichender und schwer kontrollierbarer Administratorrechte auf Nutzerseite vermeiden.

Im Kontext dieser Sicherheitskontrollen wird eine passwortlose IT-Administration basierend auf Regeln und Richtlinien für Betriebssystemaufgaben und Anwendungen möglich. Der Schlüssel zur effizienten Umsetzung dieser Sicherheitsstrategie ist ein universeller Ansatz für Privileged Access Management zur Verwaltung von Zugriffsrechten. Ohne Vergabe lokaler Administratorrechte lassen sich Best-Practice-Richtlinien im Unternehmen einhalten, um einen produktiven und sicheren Einsatz von Applikationen zu gewährleisten.

Mohamed Ibbich, Lead Solutions Engineer
Mohamed Ibbich
Lead Solutions Engineer, BeyondTrust

Artikel zu diesem Thema

Cyber Attack
Apr 12, 2021

Cyberangriffe gegen digitale Identitäten häufen sich

SailPoint Technologies veröffentlichte die Ergebnisse einer aktuellen Umfrage unter…
Hacker Stoppschild
Mai 23, 2020

Least Privilege-Ansatz: Starke Barrieren gegen Hacker

Bei traditionellen perimeterbasierten Sicherheitskonzepten haben Cyberkriminelle meist…
Mythen und Fakten
Apr 27, 2020

Die vier größten Fehleinschätzungen zum Privileged Access Management

Privileged-Access-Management-Lösungen, die den Zugang zu kritischen…

Weitere Artikel

Identity

Zero-Trust-Network: Die Identität als neues Sicherheitsperimeter

Zero-Trust-Modelle stehen aktuell hoch im Kurs und basieren auf einem einfachen Prinzip: Um IT-Systeme vor Cyber-Bedrohungen zu schützen, muss man alles anzweifeln und in nichts vertrauen. Doch was wäre, wenn man das Vertrauen nicht abschaffen, sondern…
Passwort

Lieber Farbe beim Trocknen zusehen, als ein neues Passwort zu erstellen?

Die Ergebnisse der Studie zeigen, dass viele deutsche Verbraucher lieber unangenehme Alltagsaufgaben erledigen, als für jeden Dienst, der genutzt wird, ein eigenes Passwort zu erstellen. Jeder Zehnte verwendet daher immer noch dasselbe Passwort für sämtliche…
Fingerabruck

Der Weg zum passwortlosen Login lohnt sich

Der Einsatz von Passwörtern gilt schon seit längerem als überholt: Zu oft wählen Nutzer zu einfache Kennwörter aus, teilen sie mit Kollegen oder bewahren sie an leicht zugänglichen Stellen auf. Deswegen gehen immer mehr Unternehmen dazu über, Passwörter…
Identity Management

Automatisiertes Identity Management erleichtert die Arbeit im Homeoffice

Lange Arbeitswege und den festen Platz im Büro tauschen immer mehr Berufstätige in Deutschland zumindest zeitweise gegen den Schreibtisch in den eigenen vier Wänden.
IAM

Identitätszentrierte Security

79 Prozent der Unternehmen haben in den letzten zwei Jahren einen identitätsbezogenen Sicherheitsverstoß erlitten, und 99 Prozent glauben, dass diese Sicherheitsverstöße vermeidbar gewesen wären, so das Ergebnis von Untersuchungen der Identity Defined…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.