2013/7 | Fachbeitrag | Privileged Identity Management

Privileged Identity Management: Fluch oder Segen für den Admin?

von Jochen Koehler

Inhaltsübersicht

Der Veränderung etablierter betrieblicher Prozesse begegnen Mitarbeiter oft mit Skepsis. Die frühzeitige Integration aller betroffenen Mitarbeiter und Informationsmaßnahmen sind deshalb im Veränderungsmanagement unerlässlich. Eine klare Nutzenargumentation durch die Projektverantwortlichen ist dabei ein entscheidender Erfolgsfaktor. Bezogen auf die Vorteile einer Lösung im Bereich Privileged-Identity-Management (PIM), mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können, ist eine solche Kommunikation relativ einfach.

Automatische Passwortverwaltung: schnell, fehlerfrei rechtssicher

Nach wie vor ist in vielen Unternehmen die „nicht-automatische“, das heißt manuelle Änderung von privilegierten Benutzerkonten, gängige Praxis. Bei der normalerweise sehr großen Anzahl an Servern, Datenbanken und Netzwerkgeräten ist dieser Prozess allerdings extrem zeitaufwändig und fehlerbehaftet. Mit einer PIM-Lösung kann hier einfach und schnell Abhilfe geschaffen werden, da sie eine automatisierte Passwortverwaltung und damit Prozessoptimierung ermöglicht.

Mit einem umfassenden Passwortmanagement werden zudem zentrale gesetzliche und aufsichtsrechtliche Bestimmungen erfüllt. Compliance-Vorschriften aus dem Sarbanes Oxley Act, PCI-DSS, ISO 27001, Basel II oder MaRisk erfordern einen Nachweis, wer wann Zugriff auf privilegierte Benutzerkonten hat, welche Veränderungen vorgenommen wurden und ob die Passwörter ordnungsgemäß geschützt und geändert wurden. Aber auch in Gesetzestexten wie KWG, StGB, GoBS oder BDSG finden sich entsprechende Regelungen für IT-Verantwortliche. Darüber hinaus führt eine Automatisierung der Passwortverwaltung mit der automatischen Anlage und Löschung von Accounts oder der automatischen Erstellung von Audit-Reports zu einer deutlichen Arbeitserleichterung.

Die Privileged-Identity-Management-Lösung von Cyber-Ark im Überblick

Sicherheitslücken wirkungsvoll schließen

Die zentrale Speicherung von Passwörtern wird gelegentlich auch als sicherheitsgefährdend betrachtet. Dies ist allerdings nicht der Fall, wenn die eingesetzte PIM-Lösung mit mehreren unterschiedlichen Security-Layern versehen ist und zuverlässigen Schutz vor unbefugten Zugriffen bietet. Mit Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP muss sichergestellt werden, dass nur autorisierte Anwender Zugang zu den Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten. Außerdem hat für jeden Benutzer und jede Benutzergruppe eine individuelle Berechtigungsvergabe zu erfolgen. So können User immer nur auf die für sie bestimmten Passwörter zugreifen. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein.

Im Cyber-Ark-Vault sind Passwörter umfassend geschützt

Rollen & Rechte: Welcher Mitarbeiter braucht welchen Zugriff?

Zudem wird vereinzelt die Frage gestellt, ob die Einführung einer PIM-Lösung nicht auch immer mit dem Entzug von Rechten für den einzelnen Administrator verbunden ist. Dies ist zunächst einmal keine Frage, die direkt die PIM-Lösung betrifft, sondern vielmehr die Definition von Rollen und Berechtigungsstrukturen. Im Hinblick auf privilegierte Administratoren-Accounts mit erweiterten Rechten sollte jedes Unternehmen Prozesse für IT-Berechtigungsvergaben definiert haben. Damit kann sichergestellt werden, dass die Mitarbeiter nur die Rechte erhalten, die für ihren Tätigkeitsbereich erforderlich sind.

Dieser Punkt sollte insbesondere deshalb nicht vernachlässigt werden, da gerade Wirtschaftsprüfungsgesellschaften zunehmend die Thematik Passwortmanagement aufgreifen und bemängeln, dass zu viele Mitarbeiter im Unternehmen umfangreiche Privilegien besitzen – Privilegien, die sie nicht oder nur selten benötigen. Die Berechtigungsvergabe bei Rollenmodellen ist somit ein Thema für jedes Unternehmen. Die PIM-Lösung unterstützt lediglich die technische Umsetzung. Hat ein Administrator also heute schon – gewollt – Vollzugriff, gilt diese Berechtigungsstufe auch nach der Einführung der PIM-Lösung: mit dem Unterschied, dass dieser Zugriff nun nachgewiesen und nachvollzogen werden kann.

PIM als Überwachungsfunktion?

Auch der gelegentlich geäußerte Vorbehalt, dass eine PIM-Lösung eine überflüssige „Überwachungsfunktionalität“ beinhaltet, ist unzutreffend. Hier sollte man zunächst einmal berücksichtigen, dass privilegierte Accounts oft nicht von einer einzelnen Person, sondern von einer ganzen Gruppe von Administratoren verwendet werden, man spricht hier von so genannten Shared Accounts. Beispiele für diese generischen Benutzerkonten mit höchsten Privilegien sind Accounts wie „Root“ bei Unix/Linux, „Administrator“ bei Windows, „Cisco enable“, „Oracle system/sys“ oder „MSSQL sa“. Ohne PIM-Lösung ist eine Nachvollziehbarkeit, welche Person einen solchen Account wann und wozu verwendet hat, praktisch ausgeschlossen. Es ist somit keine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene möglich. Dies entspricht weder gängigen Compliance-Anforderungen, wie sie sich zum Beispiel in den Normen ISO 27001 oder ISO 27002 finden, noch kann es im Sinne der einzelnen Administratoren sein. Natürlich kann es auch unter Administratoren schwarze Schafe geben, aber das Problem bei Shared Accounts besteht gerade darin, dass ein Generalverdacht auf alle Administratoren fällt, falls zum Beispiel Daten abhandenkommen. Mit einer PIM-Lösung, die eine Personalisierung des Zugriffs auf vorhandene (Shared) Accounts ermöglicht, kann ein solcher Fall zuverlässig ausgeschlossen werden.

„Überflüssig“ ist das Thema „Überwachung“ im Bereich der Passwortverwaltung allein schon deshalb nicht, wenn man sich die zunehmende Nutzung von Services in den Bereichen Cloud Computing oder Business Process Outsourcing vor Augen hält. Falls ein externer Administrator Zugriff auf wichtige Unternehmenssysteme hat, ist die Notwendigkeit einer Überwachung privilegierter Benutzerkonten umso offensichtlicher. Dabei sollte zudem nicht nur kontrolliert werden, wer Verbindungen aufbaut, sondern auch, was Inhalt solcher Sessions ist. Dies muss jedes Unternehmen berücksichtigen, das auf Outsourcing setzt, da auch bei der Auslagerung von Geschäftsprozessen an einen externen Dienstleister die Anforderungen an das Risikomanagement bestehen bleiben.

Fazit

Die verschiedentlich vorgebrachten Bedenken gegen die Einführung einer PIM-Lösung sind somit leicht zu entkräften. An der Implementierung einer solchen Lösung, sei es einer Hardware-Appliance oder einer reinen Software-Lösung, wird künftig kein Weg vorbeiführen – allein schon aufgrund verschärfter Compliance-Richtlinien. Dabei spricht nicht nur die Erfüllung von Compliance-Anforderungen oder die Automatisierung der Passwortverwaltung für eine PIM-Lösung, sondern auch die damit mögliche Optimierung allgemeiner betrieblicher Prozesse.

Durch die Vergabe von Berechtigungen im Rahmen von Rollenmodellen und strikte Authentifizierungsverfahren mittels einer PIM-Lösung kann eine Workflow-Verbesserung und Konsolidierung im Hinblick auf Art und Umfang der Zugriffe auf Zielsysteme und -applikationen erreicht werden. So führt zum Beispiel die mögliche Unterbindung unnötiger Zugriffe auf Produktions- oder Entwicklungssysteme zu einer Beseitigung potenzieller Fehlerquellen. Dies trägt in letzter Konsequenz auch zu einer Optimierung allgemeiner Unternehmensprozesse bei.

Insgesamt stellt sich somit nicht die Frage, ob eine PIM-Lösung Fluch oder Segen bedeutet. Die Notwendigkeit zur Einführung liegt auf der Hand – gerade in einer Zeit, in der das Thema Datensicherheit zunehmend an Bedeutung gewinnt. Eine zentralisierte, automatisierte und sichere Verwaltung von administrativen Benutzerkonten, die einen uneingeschränkten Zugriff auf alle – auch vertraulichen – Unternehmensdaten ermöglichen, ist heute unverzichtbar.

Der Autor

Jochen Koehler ist Regional Director DACH & Middle East bei Cyber-Ark. Er hat in den vergangenen 14 Jahren für verschiedene IT-Sicherheitsberatungsunternehmen gearbeitet und dabei seine Konzentration auf die Einführung innovativer Lösungen in den deutschsprachigen Markt gelegt. Seit 2008 verantwortet er das Business Development für Cyber-Ark in Deutschland, Österreich, der Schweiz und Middle East.

Diese Artikel könnten Sie auch interessieren

IT-Sicherheit - auch im Homeoffice

Fernarbeit ist bei LogMeIn nicht erst seit Corona an der Tagesordnung. Die Sicherheitskultur des SaaS-Anbieters ist entsprechend hoch, das Konzept ist auch auf Mitarbeiter im Home Office oder auf Reisen ausgelegt. Es lässt sich auf jedes Unternehmen, ob klein, mittelständisch oder Konzern übertragen, denn aktuell benötigt es neben einer sicheren IT-Infrastruktur und Zugriffsrechten auch die passende Si...

Weiterlesen

Data Warehouse: Allgäuer Zeitung mit einheitlicher Datenbasis

Im Controlling können Datenpflege und Einzelauswertungen in Excel die Planung sehr zeitaufwändig werden lassen und zu unübersichtlichen Arbeitsprozessen führen, die das Tagesgeschäft unnötig ausbremsen. Fehlt es zugleich an einem sinnvollen Berechtigungskonzept, stellt sich früher oder später die Frage, wer in welchem Umfang Zugriff auf die Daten hat. Der Einsatz eines Data-Warehouse-Systems kann Ab...

Weiterlesen

7 Praxis-Tipps: So vermeiden Sie Schatten-IT in Ihrer Team-Kommunikation

Lahmgelegte Systeme und kritische Datenlecks: Pro Tag registriert das Bundesamt für Sicherheit (BSI) 320.000 neue Schadprogramme, wie sein im September 2020 veröffentlichter Lagebericht zur IT-Sicherheit in Deutschland offenbart. Die beunruhigenden Zahlen zeigen nicht nur, dass Cyber-Kriminalität eine zunehmende Bedrohung darstellt, sondern auch, wie wichtig es ist, (potenzielle) Sicherheitslücken...

Weiterlesen

End-of-Life-Management: Sensible Daten zuverlässig & revisionssicher löschen

WISSENplus
Das richtige Handling der immer schneller anwachsenden digitalen Datenmengen ist in Zukunft ein wichtiger Faktor für den unternehmerischen Erfolg, vor allem wenn es sich um sensible Geschäfts- und Personendaten handelt. Ein professionelles Datenmanagement geht dabei bereits heute weit über das reine Speichern und Verwalten der Daten während ihres Lebenszyklus hinaus und betrifft, u.a. aus rechtlichen Gr...

Weiterlesen

IT-Sicherheit: ISO 27001 nimmt Unternehmen in die Pflicht

WISSENplus
Das Spielfeld Informationsdiebstahl ist bunt, lebhaft und abwechslungsreich. Beispielsweise staunte die mobile Community nicht schlecht, als vor einigen Wochen Sicherheitsexperten bekannt gaben, dass sie einen Trojaner auf einem Smartphone entdeckt haben. Frei Haus, nicht zu desinstallieren und der erste seiner Art auf einem Smartphone, das „bereits ab Werk mit einem umfassenden Spionageprogramm ausgelief...

Weiterlesen

Flexibel & vielschichtig: IT-Sicherheit aus der Cloud

WISSENplus
Viele IT-Sicherheitskonzepte sehen vor, dass die Grenzen des Unternehmensnetzes von innen nach außen geschützt werden – Firewalls, Antivirensoftware oder Intrusion-Prevention-Systeme gelten als Mittel der Wahl. Cyber-Attacken aber sind heute viel zu raffiniert und erfordern neue Schutzmechanismen. Im Unterschied zu internen Lösungen erweisen sich Security-Services aus der Cloud als flexibler und effizi...

Weiterlesen

Die Geschichte der Tippverhaltensbiometrie

Bereits im 19. Jahrhundert hatten Bryan und Harter (1897) herausgefunden dass Telegrafen trotz gleicher Morsecodes einen ganz unterschiedlichen Rhythmus entwickeln. Und doch sollte es noch Jahrzehnte dauern, bis aus dieser Idee eine Methode der Authentifizierung wurde, welche die Nutzererkennung am Computer revolutionieren würde....

Weiterlesen

Studieren statt verwalten

Wie bei vielen Hochschulen müssen auch bei der Berner Fachhochschule in jedem Semester viele Hunderte von Kursunterlagen für verschiedene Studiengänge, Module, Kurse und Jahrgänge verwaltet werden. Mit Hilfe einer neuen Lösung für das Informationsmanagement übernehmen die Dozenten die Aufgaben in virtuellen Arbeitsräumen selbst. Neben der Materialverwaltung gibt es einen Bereich für den Information...

Weiterlesen