2013/7 | Fachbeitrag | Privileged Identity Management

Privileged Identity Management: Fluch oder Segen für den Admin?

von Jochen Koehler

Inhaltsübersicht

Der Veränderung etablierter betrieblicher Prozesse begegnen Mitarbeiter oft mit Skepsis. Die frühzeitige Integration aller betroffenen Mitarbeiter und Informationsmaßnahmen sind deshalb im Veränderungsmanagement unerlässlich. Eine klare Nutzenargumentation durch die Projektverantwortlichen ist dabei ein entscheidender Erfolgsfaktor. Bezogen auf die Vorteile einer Lösung im Bereich Privileged-Identity-Management (PIM), mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können, ist eine solche Kommunikation relativ einfach.

Automatische Passwortverwaltung: schnell, fehlerfrei rechtssicher

Nach wie vor ist in vielen Unternehmen die „nicht-automatische“, das heißt manuelle Änderung von privilegierten Benutzerkonten, gängige Praxis. Bei der normalerweise sehr großen Anzahl an Servern, Datenbanken und Netzwerkgeräten ist dieser Prozess allerdings extrem zeitaufwändig und fehlerbehaftet. Mit einer PIM-Lösung kann hier einfach und schnell Abhilfe geschaffen werden, da sie eine automatisierte Passwortverwaltung und damit Prozessoptimierung ermöglicht.

Mit einem umfassenden Passwortmanagement werden zudem zentrale gesetzliche und aufsichtsrechtliche Bestimmungen erfüllt. Compliance-Vorschriften aus dem Sarbanes Oxley Act, PCI-DSS, ISO 27001, Basel II oder MaRisk erfordern einen Nachweis, wer wann Zugriff auf privilegierte Benutzerkonten hat, welche Veränderungen vorgenommen wurden und ob die Passwörter ordnungsgemäß geschützt und geändert wurden. Aber auch in Gesetzestexten wie KWG, StGB, GoBS oder BDSG finden sich entsprechende Regelungen für IT-Verantwortliche. Darüber hinaus führt eine Automatisierung der Passwortverwaltung mit der automatischen Anlage und Löschung von Accounts oder der automatischen Erstellung von Audit-Reports zu einer deutlichen Arbeitserleichterung.

Die Privileged-Identity-Management-Lösung von Cyber-Ark im Überblick

Sicherheitslücken wirkungsvoll schließen

Die zentrale Speicherung von Passwörtern wird gelegentlich auch als sicherheitsgefährdend betrachtet. Dies ist allerdings nicht der Fall, wenn die eingesetzte PIM-Lösung mit mehreren unterschiedlichen Security-Layern versehen ist und zuverlässigen Schutz vor unbefugten Zugriffen bietet. Mit Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP muss sichergestellt werden, dass nur autorisierte Anwender Zugang zu den Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten. Außerdem hat für jeden Benutzer und jede Benutzergruppe eine individuelle Berechtigungsvergabe zu erfolgen. So können User immer nur auf die für sie bestimmten Passwörter zugreifen. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein.

Im Cyber-Ark-Vault sind Passwörter umfassend geschützt

Rollen & Rechte: Welcher Mitarbeiter braucht welchen Zugriff?

Zudem wird vereinzelt die Frage gestellt, ob die Einführung einer PIM-Lösung nicht auch immer mit dem Entzug von Rechten für den einzelnen Administrator verbunden ist. Dies ist zunächst einmal keine Frage, die direkt die PIM-Lösung betrifft, sondern vielmehr die Definition von Rollen und Berechtigungsstrukturen. Im Hinblick auf privilegierte Administratoren-Accounts mit erweiterten Rechten sollte jedes Unternehmen Prozesse für IT-Berechtigungsvergaben definiert haben. Damit kann sichergestellt werden, dass die Mitarbeiter nur die Rechte erhalten, die für ihren Tätigkeitsbereich erforderlich sind.

Dieser Punkt sollte insbesondere deshalb nicht vernachlässigt werden, da gerade Wirtschaftsprüfungsgesellschaften zunehmend die Thematik Passwortmanagement aufgreifen und bemängeln, dass zu viele Mitarbeiter im Unternehmen umfangreiche Privilegien besitzen – Privilegien, die sie nicht oder nur selten benötigen. Die Berechtigungsvergabe bei Rollenmodellen ist somit ein Thema für jedes Unternehmen. Die PIM-Lösung unterstützt lediglich die technische Umsetzung. Hat ein Administrator also heute schon – gewollt – Vollzugriff, gilt diese Berechtigungsstufe auch nach der Einführung der PIM-Lösung: mit dem Unterschied, dass dieser Zugriff nun nachgewiesen und nachvollzogen werden kann.

PIM als Überwachungsfunktion?

Auch der gelegentlich geäußerte Vorbehalt, dass eine PIM-Lösung eine überflüssige „Überwachungsfunktionalität“ beinhaltet, ist unzutreffend. Hier sollte man zunächst einmal berücksichtigen, dass privilegierte Accounts oft nicht von einer einzelnen Person, sondern von einer ganzen Gruppe von Administratoren verwendet werden, man spricht hier von so genannten Shared Accounts. Beispiele für diese generischen Benutzerkonten mit höchsten Privilegien sind Accounts wie „Root“ bei Unix/Linux, „Administrator“ bei Windows, „Cisco enable“, „Oracle system/sys“ oder „MSSQL sa“. Ohne PIM-Lösung ist eine Nachvollziehbarkeit, welche Person einen solchen Account wann und wozu verwendet hat, praktisch ausgeschlossen. Es ist somit keine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene möglich. Dies entspricht weder gängigen Compliance-Anforderungen, wie sie sich zum Beispiel in den Normen ISO 27001 oder ISO 27002 finden, noch kann es im Sinne der einzelnen Administratoren sein. Natürlich kann es auch unter Administratoren schwarze Schafe geben, aber das Problem bei Shared Accounts besteht gerade darin, dass ein Generalverdacht auf alle Administratoren fällt, falls zum Beispiel Daten abhandenkommen. Mit einer PIM-Lösung, die eine Personalisierung des Zugriffs auf vorhandene (Shared) Accounts ermöglicht, kann ein solcher Fall zuverlässig ausgeschlossen werden.

„Überflüssig“ ist das Thema „Überwachung“ im Bereich der Passwortverwaltung allein schon deshalb nicht, wenn man sich die zunehmende Nutzung von Services in den Bereichen Cloud Computing oder Business Process Outsourcing vor Augen hält. Falls ein externer Administrator Zugriff auf wichtige Unternehmenssysteme hat, ist die Notwendigkeit einer Überwachung privilegierter Benutzerkonten umso offensichtlicher. Dabei sollte zudem nicht nur kontrolliert werden, wer Verbindungen aufbaut, sondern auch, was Inhalt solcher Sessions ist. Dies muss jedes Unternehmen berücksichtigen, das auf Outsourcing setzt, da auch bei der Auslagerung von Geschäftsprozessen an einen externen Dienstleister die Anforderungen an das Risikomanagement bestehen bleiben.

Fazit

Die verschiedentlich vorgebrachten Bedenken gegen die Einführung einer PIM-Lösung sind somit leicht zu entkräften. An der Implementierung einer solchen Lösung, sei es einer Hardware-Appliance oder einer reinen Software-Lösung, wird künftig kein Weg vorbeiführen – allein schon aufgrund verschärfter Compliance-Richtlinien. Dabei spricht nicht nur die Erfüllung von Compliance-Anforderungen oder die Automatisierung der Passwortverwaltung für eine PIM-Lösung, sondern auch die damit mögliche Optimierung allgemeiner betrieblicher Prozesse.

Durch die Vergabe von Berechtigungen im Rahmen von Rollenmodellen und strikte Authentifizierungsverfahren mittels einer PIM-Lösung kann eine Workflow-Verbesserung und Konsolidierung im Hinblick auf Art und Umfang der Zugriffe auf Zielsysteme und -applikationen erreicht werden. So führt zum Beispiel die mögliche Unterbindung unnötiger Zugriffe auf Produktions- oder Entwicklungssysteme zu einer Beseitigung potenzieller Fehlerquellen. Dies trägt in letzter Konsequenz auch zu einer Optimierung allgemeiner Unternehmensprozesse bei.

Insgesamt stellt sich somit nicht die Frage, ob eine PIM-Lösung Fluch oder Segen bedeutet. Die Notwendigkeit zur Einführung liegt auf der Hand – gerade in einer Zeit, in der das Thema Datensicherheit zunehmend an Bedeutung gewinnt. Eine zentralisierte, automatisierte und sichere Verwaltung von administrativen Benutzerkonten, die einen uneingeschränkten Zugriff auf alle – auch vertraulichen – Unternehmensdaten ermöglichen, ist heute unverzichtbar.

Der Autor

Jochen Koehler ist Regional Director DACH & Middle East bei Cyber-Ark. Er hat in den vergangenen 14 Jahren für verschiedene IT-Sicherheitsberatungsunternehmen gearbeitet und dabei seine Konzentration auf die Einführung innovativer Lösungen in den deutschsprachigen Markt gelegt. Seit 2008 verantwortet er das Business Development für Cyber-Ark in Deutschland, Österreich, der Schweiz und Middle East.

Diese Artikel könnten Sie auch interessieren

Audi PartnerNet – das personalisierte Händlerinformationsportal der Audi AG

Das Audi PartnerNet (APN), das mehrere 10.000 Dokumente umfasst, ist das personalisierte Händlerinformationsportal der Audi AG und dient dem Dialog zwischen dem Hersteller Audi und den Audi Händlern in Deutschland. Um die Qualität der Suchergebnisse zu optimieren, wollte das Unternehmen die existierende Suche durch eine neue, einfach zu bedienende Suchlösung ersetzen. Eines der wichtigsten Ziele dabei: ...

Weiterlesen

IT-Sicherheit: ISO 27001 nimmt Unternehmen in die Pflicht

WISSENplus
Das Spielfeld Informationsdiebstahl ist bunt, lebhaft und abwechslungsreich. Beispielsweise staunte die mobile Community nicht schlecht, als vor einigen Wochen Sicherheitsexperten bekannt gaben, dass sie einen Trojaner auf einem Smartphone entdeckt haben. Frei Haus, nicht zu desinstallieren und der erste seiner Art auf einem Smartphone, das „bereits ab Werk mit einem umfassenden Spionageprogramm ausgelief...

Weiterlesen

Wirtschaftskriminalität - Wissen in Gefahr

Durchschnittlich achtzig Prozent aller Informationen über einzelne Firmen können via Internet und Messeveranstaltungen ermittelt werden. Um diese zwanzig Prozent der Firmeninformationen herrscht ein rücksichtsloser Krieg ohne Maß und Regeln. Doch der Schutzbedarf des internen Expertenwissens um Markt- und Kundenanalysen, von Prototypen und Lösungen, wird leichtfertig unterschätzt. Wer zu illegalen Met...

Weiterlesen

Data Warehouse: Allgäuer Zeitung mit einheitlicher Datenbasis

Im Controlling können Datenpflege und Einzelauswertungen in Excel die Planung sehr zeitaufwändig werden lassen und zu unübersichtlichen Arbeitsprozessen führen, die das Tagesgeschäft unnötig ausbremsen. Fehlt es zugleich an einem sinnvollen Berechtigungskonzept, stellt sich früher oder später die Frage, wer in welchem Umfang Zugriff auf die Daten hat. Der Einsatz eines Data-Warehouse-Systems kann Ab...

Weiterlesen

Unter Verschluss: Wie effizienter Datenschutz gelingt

WISSENplus
Mit den Plänen für das neue IT-Sicherheitsgesetz will die Bundesregierung dafür sorgen, dass Unternehmen in Zukunft durch stärkere Vorschriften effektiver vor Hackern geschützt sind. Unter anderem sollen Cyber-Angriffe unmittelbar den Behörden gemeldet werden, um weiteren Attacken vorzubeugen. Jedoch geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem „Leitfaden Information...

Weiterlesen

Die Geschichte der Tippverhaltensbiometrie

Bereits im 19. Jahrhundert hatten Bryan und Harter (1897) herausgefunden dass Telegrafen trotz gleicher Morsecodes einen ganz unterschiedlichen Rhythmus entwickeln. Und doch sollte es noch Jahrzehnte dauern, bis aus dieser Idee eine Methode der Authentifizierung wurde, welche die Nutzererkennung am Computer revolutionieren würde....

Weiterlesen

Verlagsgruppe Weltbild setzt auf zentral gesteuerte Adminrechte

Viele Mitarbeiter, viele Computer, die flexibel genutzt werden – hier kann schnell der Überblick verloren gehen. Insbesondere in großen Unternehmen ist die Kontrolle von Adminrechten zeitaufwändig und die unreglementierte Vergabe derselben kann zu einem nicht einzuschätzenden Sicherheitsrisiko führen. Diesen Problemen stellte sich vor drei Jahren eines der größten Medienunternehmen in Deutschland, ...

Weiterlesen

IT-Sicherheit - auch im Homeoffice

Fernarbeit ist bei LogMeIn nicht erst seit Corona an der Tagesordnung. Die Sicherheitskultur des SaaS-Anbieters ist entsprechend hoch, das Konzept ist auch auf Mitarbeiter im Home Office oder auf Reisen ausgelegt. Es lässt sich auf jedes Unternehmen, ob klein, mittelständisch oder Konzern übertragen, denn aktuell benötigt es neben einer sicheren IT-Infrastruktur und Zugriffsrechten auch die passende Si...

Weiterlesen