2013/7 | Fachbeitrag | Privileged Identity Management
Privileged Identity Management: Fluch oder Segen für den Admin?
Inhaltsübersicht
- Automatische Passwortverwaltung: schnell, fehlerfrei & rechtssicher
- Sicherheitslücken wirkungsvoll schließen
- Rollen & Rechte: Welcher Mitarbeiter braucht welchen Zugriff?
- PIM als Überwachungsfunktion?
- Fazit
Der Veränderung etablierter betrieblicher Prozesse begegnen Mitarbeiter oft mit Skepsis. Die frühzeitige Integration aller betroffenen Mitarbeiter und Informationsmaßnahmen sind deshalb im Veränderungsmanagement unerlässlich. Eine klare Nutzenargumentation durch die Projektverantwortlichen ist dabei ein entscheidender Erfolgsfaktor. Bezogen auf die Vorteile einer Lösung im Bereich Privileged-Identity-Management (PIM), mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können, ist eine solche Kommunikation relativ einfach.
Automatische Passwortverwaltung: schnell, fehlerfrei rechtssicher
Nach wie vor ist in vielen Unternehmen die „nicht-automatische“, das heißt manuelle Änderung von privilegierten Benutzerkonten, gängige Praxis. Bei der normalerweise sehr großen Anzahl an Servern, Datenbanken und Netzwerkgeräten ist dieser Prozess allerdings extrem zeitaufwändig und fehlerbehaftet. Mit einer PIM-Lösung kann hier einfach und schnell Abhilfe geschaffen werden, da sie eine automatisierte Passwortverwaltung und damit Prozessoptimierung ermöglicht.
Mit einem umfassenden Passwortmanagement werden zudem zentrale gesetzliche und aufsichtsrechtliche Bestimmungen erfüllt. Compliance-Vorschriften aus dem Sarbanes Oxley Act, PCI-DSS, ISO 27001, Basel II oder MaRisk erfordern einen Nachweis, wer wann Zugriff auf privilegierte Benutzerkonten hat, welche Veränderungen vorgenommen wurden und ob die Passwörter ordnungsgemäß geschützt und geändert wurden. Aber auch in Gesetzestexten wie KWG, StGB, GoBS oder BDSG finden sich entsprechende Regelungen für IT-Verantwortliche. Darüber hinaus führt eine Automatisierung der Passwortverwaltung mit der automatischen Anlage und Löschung von Accounts oder der automatischen Erstellung von Audit-Reports zu einer deutlichen Arbeitserleichterung.
Die Privileged-Identity-Management-Lösung von Cyber-Ark im Überblick
Sicherheitslücken wirkungsvoll schließen
Die zentrale Speicherung von Passwörtern wird gelegentlich auch als sicherheitsgefährdend betrachtet. Dies ist allerdings nicht der Fall, wenn die eingesetzte PIM-Lösung mit mehreren unterschiedlichen Security-Layern versehen ist und zuverlässigen Schutz vor unbefugten Zugriffen bietet. Mit Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP muss sichergestellt werden, dass nur autorisierte Anwender Zugang zu den Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten. Außerdem hat für jeden Benutzer und jede Benutzergruppe eine individuelle Berechtigungsvergabe zu erfolgen. So können User immer nur auf die für sie bestimmten Passwörter zugreifen. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein.
Im Cyber-Ark-Vault sind Passwörter umfassend geschützt
Rollen & Rechte: Welcher Mitarbeiter braucht welchen Zugriff?
Zudem wird vereinzelt die Frage gestellt, ob die Einführung einer PIM-Lösung nicht auch immer mit dem Entzug von Rechten für den einzelnen Administrator verbunden ist. Dies ist zunächst einmal keine Frage, die direkt die PIM-Lösung betrifft, sondern vielmehr die Definition von Rollen und Berechtigungsstrukturen. Im Hinblick auf privilegierte Administratoren-Accounts mit erweiterten Rechten sollte jedes Unternehmen Prozesse für IT-Berechtigungsvergaben definiert haben. Damit kann sichergestellt werden, dass die Mitarbeiter nur die Rechte erhalten, die für ihren Tätigkeitsbereich erforderlich sind.
Dieser Punkt sollte insbesondere deshalb nicht vernachlässigt werden, da gerade Wirtschaftsprüfungsgesellschaften zunehmend die Thematik Passwortmanagement aufgreifen und bemängeln, dass zu viele Mitarbeiter im Unternehmen umfangreiche Privilegien besitzen – Privilegien, die sie nicht oder nur selten benötigen. Die Berechtigungsvergabe bei Rollenmodellen ist somit ein Thema für jedes Unternehmen. Die PIM-Lösung unterstützt lediglich die technische Umsetzung. Hat ein Administrator also heute schon – gewollt – Vollzugriff, gilt diese Berechtigungsstufe auch nach der Einführung der PIM-Lösung: mit dem Unterschied, dass dieser Zugriff nun nachgewiesen und nachvollzogen werden kann.
PIM als Überwachungsfunktion?
Auch der gelegentlich geäußerte Vorbehalt, dass eine PIM-Lösung eine überflüssige „Überwachungsfunktionalität“ beinhaltet, ist unzutreffend. Hier sollte man zunächst einmal berücksichtigen, dass privilegierte Accounts oft nicht von einer einzelnen Person, sondern von einer ganzen Gruppe von Administratoren verwendet werden, man spricht hier von so genannten Shared Accounts. Beispiele für diese generischen Benutzerkonten mit höchsten Privilegien sind Accounts wie „Root“ bei Unix/Linux, „Administrator“ bei Windows, „Cisco enable“, „Oracle system/sys“ oder „MSSQL sa“. Ohne PIM-Lösung ist eine Nachvollziehbarkeit, welche Person einen solchen Account wann und wozu verwendet hat, praktisch ausgeschlossen. Es ist somit keine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene möglich. Dies entspricht weder gängigen Compliance-Anforderungen, wie sie sich zum Beispiel in den Normen ISO 27001 oder ISO 27002 finden, noch kann es im Sinne der einzelnen Administratoren sein. Natürlich kann es auch unter Administratoren schwarze Schafe geben, aber das Problem bei Shared Accounts besteht gerade darin, dass ein Generalverdacht auf alle Administratoren fällt, falls zum Beispiel Daten abhandenkommen. Mit einer PIM-Lösung, die eine Personalisierung des Zugriffs auf vorhandene (Shared) Accounts ermöglicht, kann ein solcher Fall zuverlässig ausgeschlossen werden.
„Überflüssig“ ist das Thema „Überwachung“ im Bereich der Passwortverwaltung allein schon deshalb nicht, wenn man sich die zunehmende Nutzung von Services in den Bereichen Cloud Computing oder Business Process Outsourcing vor Augen hält. Falls ein externer Administrator Zugriff auf wichtige Unternehmenssysteme hat, ist die Notwendigkeit einer Überwachung privilegierter Benutzerkonten umso offensichtlicher. Dabei sollte zudem nicht nur kontrolliert werden, wer Verbindungen aufbaut, sondern auch, was Inhalt solcher Sessions ist. Dies muss jedes Unternehmen berücksichtigen, das auf Outsourcing setzt, da auch bei der Auslagerung von Geschäftsprozessen an einen externen Dienstleister die Anforderungen an das Risikomanagement bestehen bleiben.
Fazit
Die verschiedentlich vorgebrachten Bedenken gegen die Einführung einer PIM-Lösung sind somit leicht zu entkräften. An der Implementierung einer solchen Lösung, sei es einer Hardware-Appliance oder einer reinen Software-Lösung, wird künftig kein Weg vorbeiführen – allein schon aufgrund verschärfter Compliance-Richtlinien. Dabei spricht nicht nur die Erfüllung von Compliance-Anforderungen oder die Automatisierung der Passwortverwaltung für eine PIM-Lösung, sondern auch die damit mögliche Optimierung allgemeiner betrieblicher Prozesse.
Durch die Vergabe von Berechtigungen im Rahmen von Rollenmodellen und strikte Authentifizierungsverfahren mittels einer PIM-Lösung kann eine Workflow-Verbesserung und Konsolidierung im Hinblick auf Art und Umfang der Zugriffe auf Zielsysteme und -applikationen erreicht werden. So führt zum Beispiel die mögliche Unterbindung unnötiger Zugriffe auf Produktions- oder Entwicklungssysteme zu einer Beseitigung potenzieller Fehlerquellen. Dies trägt in letzter Konsequenz auch zu einer Optimierung allgemeiner Unternehmensprozesse bei.
Insgesamt stellt sich somit nicht die Frage, ob eine PIM-Lösung Fluch oder Segen bedeutet. Die Notwendigkeit zur Einführung liegt auf der Hand – gerade in einer Zeit, in der das Thema Datensicherheit zunehmend an Bedeutung gewinnt. Eine zentralisierte, automatisierte und sichere Verwaltung von administrativen Benutzerkonten, die einen uneingeschränkten Zugriff auf alle – auch vertraulichen – Unternehmensdaten ermöglichen, ist heute unverzichtbar.
Der Autor
Jochen Koehler ist Regional Director DACH & Middle East bei Cyber-Ark. Er hat in den vergangenen 14 Jahren für verschiedene IT-Sicherheitsberatungsunternehmen gearbeitet und dabei seine Konzentration auf die Einführung innovativer Lösungen in den deutschsprachigen Markt gelegt. Seit 2008 verantwortet er das Business Development für Cyber-Ark in Deutschland, Österreich, der Schweiz und Middle East.