2013/7 | Fachbeitrag | Privileged Identity Management

Privileged Identity Management: Fluch oder Segen für den Admin?

von Jochen Koehler

Inhaltsübersicht

Der Veränderung etablierter betrieblicher Prozesse begegnen Mitarbeiter oft mit Skepsis. Die frühzeitige Integration aller betroffenen Mitarbeiter und Informationsmaßnahmen sind deshalb im Veränderungsmanagement unerlässlich. Eine klare Nutzenargumentation durch die Projektverantwortlichen ist dabei ein entscheidender Erfolgsfaktor. Bezogen auf die Vorteile einer Lösung im Bereich Privileged-Identity-Management (PIM), mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können, ist eine solche Kommunikation relativ einfach.

Automatische Passwortverwaltung: schnell, fehlerfrei rechtssicher

Nach wie vor ist in vielen Unternehmen die „nicht-automatische“, das heißt manuelle Änderung von privilegierten Benutzerkonten, gängige Praxis. Bei der normalerweise sehr großen Anzahl an Servern, Datenbanken und Netzwerkgeräten ist dieser Prozess allerdings extrem zeitaufwändig und fehlerbehaftet. Mit einer PIM-Lösung kann hier einfach und schnell Abhilfe geschaffen werden, da sie eine automatisierte Passwortverwaltung und damit Prozessoptimierung ermöglicht.

Mit einem umfassenden Passwortmanagement werden zudem zentrale gesetzliche und aufsichtsrechtliche Bestimmungen erfüllt. Compliance-Vorschriften aus dem Sarbanes Oxley Act, PCI-DSS, ISO 27001, Basel II oder MaRisk erfordern einen Nachweis, wer wann Zugriff auf privilegierte Benutzerkonten hat, welche Veränderungen vorgenommen wurden und ob die Passwörter ordnungsgemäß geschützt und geändert wurden. Aber auch in Gesetzestexten wie KWG, StGB, GoBS oder BDSG finden sich entsprechende Regelungen für IT-Verantwortliche. Darüber hinaus führt eine Automatisierung der Passwortverwaltung mit der automatischen Anlage und Löschung von Accounts oder der automatischen Erstellung von Audit-Reports zu einer deutlichen Arbeitserleichterung.

Die Privileged-Identity-Management-Lösung von Cyber-Ark im Überblick

Sicherheitslücken wirkungsvoll schließen

Die zentrale Speicherung von Passwörtern wird gelegentlich auch als sicherheitsgefährdend betrachtet. Dies ist allerdings nicht der Fall, wenn die eingesetzte PIM-Lösung mit mehreren unterschiedlichen Security-Layern versehen ist und zuverlässigen Schutz vor unbefugten Zugriffen bietet. Mit Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP muss sichergestellt werden, dass nur autorisierte Anwender Zugang zu den Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten. Außerdem hat für jeden Benutzer und jede Benutzergruppe eine individuelle Berechtigungsvergabe zu erfolgen. So können User immer nur auf die für sie bestimmten Passwörter zugreifen. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein.

Im Cyber-Ark-Vault sind Passwörter umfassend geschützt

Rollen & Rechte: Welcher Mitarbeiter braucht welchen Zugriff?

Zudem wird vereinzelt die Frage gestellt, ob die Einführung einer PIM-Lösung nicht auch immer mit dem Entzug von Rechten für den einzelnen Administrator verbunden ist. Dies ist zunächst einmal keine Frage, die direkt die PIM-Lösung betrifft, sondern vielmehr die Definition von Rollen und Berechtigungsstrukturen. Im Hinblick auf privilegierte Administratoren-Accounts mit erweiterten Rechten sollte jedes Unternehmen Prozesse für IT-Berechtigungsvergaben definiert haben. Damit kann sichergestellt werden, dass die Mitarbeiter nur die Rechte erhalten, die für ihren Tätigkeitsbereich erforderlich sind.

Dieser Punkt sollte insbesondere deshalb nicht vernachlässigt werden, da gerade Wirtschaftsprüfungsgesellschaften zunehmend die Thematik Passwortmanagement aufgreifen und bemängeln, dass zu viele Mitarbeiter im Unternehmen umfangreiche Privilegien besitzen – Privilegien, die sie nicht oder nur selten benötigen. Die Berechtigungsvergabe bei Rollenmodellen ist somit ein Thema für jedes Unternehmen. Die PIM-Lösung unterstützt lediglich die technische Umsetzung. Hat ein Administrator also heute schon – gewollt – Vollzugriff, gilt diese Berechtigungsstufe auch nach der Einführung der PIM-Lösung: mit dem Unterschied, dass dieser Zugriff nun nachgewiesen und nachvollzogen werden kann.

PIM als Überwachungsfunktion?

Auch der gelegentlich geäußerte Vorbehalt, dass eine PIM-Lösung eine überflüssige „Überwachungsfunktionalität“ beinhaltet, ist unzutreffend. Hier sollte man zunächst einmal berücksichtigen, dass privilegierte Accounts oft nicht von einer einzelnen Person, sondern von einer ganzen Gruppe von Administratoren verwendet werden, man spricht hier von so genannten Shared Accounts. Beispiele für diese generischen Benutzerkonten mit höchsten Privilegien sind Accounts wie „Root“ bei Unix/Linux, „Administrator“ bei Windows, „Cisco enable“, „Oracle system/sys“ oder „MSSQL sa“. Ohne PIM-Lösung ist eine Nachvollziehbarkeit, welche Person einen solchen Account wann und wozu verwendet hat, praktisch ausgeschlossen. Es ist somit keine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene möglich. Dies entspricht weder gängigen Compliance-Anforderungen, wie sie sich zum Beispiel in den Normen ISO 27001 oder ISO 27002 finden, noch kann es im Sinne der einzelnen Administratoren sein. Natürlich kann es auch unter Administratoren schwarze Schafe geben, aber das Problem bei Shared Accounts besteht gerade darin, dass ein Generalverdacht auf alle Administratoren fällt, falls zum Beispiel Daten abhandenkommen. Mit einer PIM-Lösung, die eine Personalisierung des Zugriffs auf vorhandene (Shared) Accounts ermöglicht, kann ein solcher Fall zuverlässig ausgeschlossen werden.

„Überflüssig“ ist das Thema „Überwachung“ im Bereich der Passwortverwaltung allein schon deshalb nicht, wenn man sich die zunehmende Nutzung von Services in den Bereichen Cloud Computing oder Business Process Outsourcing vor Augen hält. Falls ein externer Administrator Zugriff auf wichtige Unternehmenssysteme hat, ist die Notwendigkeit einer Überwachung privilegierter Benutzerkonten umso offensichtlicher. Dabei sollte zudem nicht nur kontrolliert werden, wer Verbindungen aufbaut, sondern auch, was Inhalt solcher Sessions ist. Dies muss jedes Unternehmen berücksichtigen, das auf Outsourcing setzt, da auch bei der Auslagerung von Geschäftsprozessen an einen externen Dienstleister die Anforderungen an das Risikomanagement bestehen bleiben.

Fazit

Die verschiedentlich vorgebrachten Bedenken gegen die Einführung einer PIM-Lösung sind somit leicht zu entkräften. An der Implementierung einer solchen Lösung, sei es einer Hardware-Appliance oder einer reinen Software-Lösung, wird künftig kein Weg vorbeiführen – allein schon aufgrund verschärfter Compliance-Richtlinien. Dabei spricht nicht nur die Erfüllung von Compliance-Anforderungen oder die Automatisierung der Passwortverwaltung für eine PIM-Lösung, sondern auch die damit mögliche Optimierung allgemeiner betrieblicher Prozesse.

Durch die Vergabe von Berechtigungen im Rahmen von Rollenmodellen und strikte Authentifizierungsverfahren mittels einer PIM-Lösung kann eine Workflow-Verbesserung und Konsolidierung im Hinblick auf Art und Umfang der Zugriffe auf Zielsysteme und -applikationen erreicht werden. So führt zum Beispiel die mögliche Unterbindung unnötiger Zugriffe auf Produktions- oder Entwicklungssysteme zu einer Beseitigung potenzieller Fehlerquellen. Dies trägt in letzter Konsequenz auch zu einer Optimierung allgemeiner Unternehmensprozesse bei.

Insgesamt stellt sich somit nicht die Frage, ob eine PIM-Lösung Fluch oder Segen bedeutet. Die Notwendigkeit zur Einführung liegt auf der Hand – gerade in einer Zeit, in der das Thema Datensicherheit zunehmend an Bedeutung gewinnt. Eine zentralisierte, automatisierte und sichere Verwaltung von administrativen Benutzerkonten, die einen uneingeschränkten Zugriff auf alle – auch vertraulichen – Unternehmensdaten ermöglichen, ist heute unverzichtbar.

Der Autor

Jochen Koehler ist Regional Director DACH & Middle East bei Cyber-Ark. Er hat in den vergangenen 14 Jahren für verschiedene IT-Sicherheitsberatungsunternehmen gearbeitet und dabei seine Konzentration auf die Einführung innovativer Lösungen in den deutschsprachigen Markt gelegt. Seit 2008 verantwortet er das Business Development für Cyber-Ark in Deutschland, Österreich, der Schweiz und Middle East.

Diese Artikel könnten Sie auch interessieren

Effektiver Schutz vor Cyber-Kriminalität muss nicht teuer sein

WISSENplus
Russische Hacker attackierten bei einer Serie von Cyber-Angriffen etwa 420.000 Websites und stahlen rund 1,2 Milliarden Nutzernamen und Passwörter. Diese Meldung sorgte in der Internetgemeinde Anfang August für Wirbel. Aber das wirklich Erschreckende daran ist die Tatsache, dass solche Nachrichten anscheinend mittlerweile zu unserem Alltag gehören....

Weiterlesen

IT-Sicherheit: Das Fort Knox für Unternehmen

WISSENplus
Russische Hacker stehlen 1,2 Milliarden Passwörter. 4,5 Millionen US-Patienten verlieren vertrauliche Gesundheitsinformationen an Unbekannte. Alleine die Nachrichten zeigen, dass Datendiebe inzwischen nicht nur immer dreister, sondern auch immer erfolgreicher werden. Es erweckt den Anschein, Datenklau im großen Stil gehöre in Hackerkreisen inzwischen zum guten Ton. Unternehmen stellen die Berichte über ...

Weiterlesen

End-of-Life-Management: Sensible Daten zuverlässig & revisionssicher löschen

WISSENplus
Das richtige Handling der immer schneller anwachsenden digitalen Datenmengen ist in Zukunft ein wichtiger Faktor für den unternehmerischen Erfolg, vor allem wenn es sich um sensible Geschäfts- und Personendaten handelt. Ein professionelles Datenmanagement geht dabei bereits heute weit über das reine Speichern und Verwalten der Daten während ihres Lebenszyklus hinaus und betrifft, u.a. aus rechtlichen Gr...

Weiterlesen

7 Praxis-Tipps: So vermeiden Sie Schatten-IT in Ihrer Team-Kommunikation

Lahmgelegte Systeme und kritische Datenlecks: Pro Tag registriert das Bundesamt für Sicherheit (BSI) 320.000 neue Schadprogramme, wie sein im September 2020 veröffentlichter Lagebericht zur IT-Sicherheit in Deutschland offenbart. Die beunruhigenden Zahlen zeigen nicht nur, dass Cyber-Kriminalität eine zunehmende Bedrohung darstellt, sondern auch, wie wichtig es ist, (potenzielle) Sicherheitslücken...

Weiterlesen

Studieren statt verwalten

Wie bei vielen Hochschulen müssen auch bei der Berner Fachhochschule in jedem Semester viele Hunderte von Kursunterlagen für verschiedene Studiengänge, Module, Kurse und Jahrgänge verwaltet werden. Mit Hilfe einer neuen Lösung für das Informationsmanagement übernehmen die Dozenten die Aufgaben in virtuellen Arbeitsräumen selbst. Neben der Materialverwaltung gibt es einen Bereich für den Information...

Weiterlesen

Externe Mitarbeiter: Die unterschätzte Sicherheitsgefahr

Zugriffe von externen Mitarbeitern auf unternehmenskritische Datenbestände sind heute an der Tagesordnung. Ob im Supportfall oder beim Outsourcing und Outtasking: Immer wieder ist es erforderlich, dass sich externe Spezialisten unter Nutzung von Passwörtern auf den Servern, Datenbanken oder dem SAP-System einloggen, um Routineaufgaben zu erledigen oder Fehlerdiagnosen und -behebungen durchzuführen. Viele...

Weiterlesen

Verlagsgruppe Weltbild setzt auf zentral gesteuerte Adminrechte

Viele Mitarbeiter, viele Computer, die flexibel genutzt werden – hier kann schnell der Überblick verloren gehen. Insbesondere in großen Unternehmen ist die Kontrolle von Adminrechten zeitaufwändig und die unreglementierte Vergabe derselben kann zu einem nicht einzuschätzenden Sicherheitsrisiko führen. Diesen Problemen stellte sich vor drei Jahren eines der größten Medienunternehmen in Deutschland, ...

Weiterlesen

IT-Sicherheit - auch im Homeoffice

Fernarbeit ist bei LogMeIn nicht erst seit Corona an der Tagesordnung. Die Sicherheitskultur des SaaS-Anbieters ist entsprechend hoch, das Konzept ist auch auf Mitarbeiter im Home Office oder auf Reisen ausgelegt. Es lässt sich auf jedes Unternehmen, ob klein, mittelständisch oder Konzern übertragen, denn aktuell benötigt es neben einer sicheren IT-Infrastruktur und Zugriffsrechten auch die passende Si...

Weiterlesen