Privilege Management

Risiken privilegierter und gemeinsam genutzter Accounts

| Autor / Redakteur: Martin Kuppinger* / Peter Schmitz

Der Fokus des Privilege Managements lag am Anfang auf der Verwaltung von gemeinsam genutzten, privilegierten Benutzerkonten, wurde aber längst um viele Aspekte erweitert.
Der Fokus des Privilege Managements lag am Anfang auf der Verwaltung von gemeinsam genutzten, privilegierten Benutzerkonten, wurde aber längst um viele Aspekte erweitert. (Bild: gemeinfrei / CC0)

Privilege Management bezeichnet die Teildisziplin von IAM (Identity and Access Management), die sich darum kümmert, die Risiken hoch privilegierter Benutzer zu reduzieren. Wie kaum ein anderer Bereich von IAM befindet sich dieses Themenfeld im Wandel.

Privilege Management wird je nach Anbieter auch als Privileged Account Management, Privileged User Management, Privileged Identity Management, aber auch als Shared Account Password Management und in anderer Form bezeichnet. Als Abkürzung bietet sich PxM an, für all die Sichtweisen auf das Management hoch privilegierter Benutzer und ihrer Konten.

Der Markt für solche Lösungen besteht schon lange. Zunächst hatte er sich für bestimmte Systemplattformen wie Unix oder VMS entwickelt, um dann in Lösungen zu münden, die unterschiedliche Betriebssysteme, aber auch andere Plattformen wie Netzwerkgeräte, unterstützen. Dieser Markt ist in den vergangenen Jahren deutlich gewachsen.

Der Fokus lag zunächst auf der Verwaltung von gemeinsam genutzten Benutzerkonten, bei denen das offensichtliche Risiko besteht, dass die Kennwörter solcher Konten schnell Allgemeingut werden, wenn sie verschiedenen Administratoren und Operatoren bekannt sein müssen. Um das zu erreichen, werden Kennwörter in sicheren Speichern, oft als „vault“ bezeichnet, abgelegt. Benutzer können für den Zugriff auf ein solches Benutzerkonto Einmalkennwörter anfordern, die dann von der Privilege Management-Lösung automatisch ersetzt werden.

Auch weitere Funktionen wie ein Privileged Single Sign-On mit dem Zugriff auf mehrere zugeordnete Accounts und Zielsysteme nach einmaliger Authentifizierung gehören heute zum typischen Funktionsumfang solcher Lösungen, ebenso wie die Identifikation von privilegierten Konten und die regelmäßige, automatische Veränderung solcher Kennwörter.

Weitere Funktionen, die im Laufe der Jahre hinzugekommen sind, sind funktionale Einschränkungen für Sessions auf Systemen, mit denen beispielsweise bestimmte Befehle nicht oder nur beschränkt genutzt werden dürfen, und das Application-to-Application Privilege Management, mit dem in Skripts, Code und an anderen Stellen enthaltene Benutzername-/Kennwort-Kombinationen durch Aufrufe auf das Privilege Management-System ersetzt werden können, dass dann zur Laufzeit Einmalkennwörter übergibt.

Martin Kuppinger: „Privilege Management ist eine Funktion, die in jedem Netzwerk vorhanden sein sollte.“
Martin Kuppinger: „Privilege Management ist eine Funktion, die in jedem Netzwerk vorhanden sein sollte.“ (Bild: KuppingerCole)

Neben diesen Funktionen hat sich ein ursprünglich weitgehend separates Marktsegment immer mehr zu einem Teil von Privilege Management-Lösungen entwickelt, das sogenannte Session Management. Dazu gehören Funktionen für die Aufzeichnung und die Überwachung von Sitzungen auf anderen Systemen, mit denen sich einerseits eine Nachvollziehbarkeit für forensische Aktivitäten schaffen lässt, aber auch Sitzungen zur Laufzeit eingeschränkt oder beobachtet werden können.

Auch andere Ansätze für die Beschränkung von administrativen und operativen Berechtigungen wie beispielsweise vordefinierte Tasks, die nur ganz genau definierte Aktivitäten erlauben, sind bei einzelnen Lösungen zu finden.

Ein weiteres neues Feld ist die Analyse von Abweichungen des Benutzerverhaltens bei hoch privilegierten Zugriffen, die Privileged User Behavior Analytics. Bei untypischen Verhaltensmustern können Alarme ausgelöst oder Aktivitäten gestoppt werden.

Generell ist festzustellen, dass sich der Fokus von Privilege Management verschoben hat. Natürlich ist es weiterhin wichtig zu verhindern, dass Kennwörter von gemeinsam genutzten Benutzerkonten mehreren Personen bekannt sind. Die Analyse von Sessions zur Laufzeit, also insbesondere das Session Management und die Privileged User Behavior Analytics, sind heute aber die wichtigsten Bereiche von Privilege Management, weil sie sich eben nicht nur auf die statische Verwaltung von Kennwörtern und die Anmeldung beziehen, sondern Einsicht in das geben, was zur Laufzeit passiert.

Damit wird Privilege Management aber immer mehr zu einer Funktion, die nicht mehr nur eine spezielle Form von IAM, also der Verwaltung von Identitäten, ihrer Authentifizierung und der Autorisierung von Zugriffen ist, sondern ein essentieller Bestandteil von Cyber Security-Initiativen. Durch Privileged User Behavior Analytics lässt sich geändertes Benutzerverhalten erkennen. Eine solche Situation kann entstehen, wenn ein Nutzer neue Aufgaben hat oder zu bestimmten, seltenen Zeitpunkten spezielle Aktivitäten durchführen muss. Sie kann aber auch auf internen Fraud hindeuten, wie beispielsweise das zweite Backup der gleichen Daten in einem sehr kurzen Zeitraum statt des üblichen einmaligen Backups. Sie kann aber auch ein Indiz für ein gekapertes Benutzerkonto („hijacked account“) sein, bei dem ein Angreifer die Kontrolle über ein hoch privilegiertes Konto erlangt hat und dieses nun für seine Angriffe nutzt.

Das Session Management gewinnt darüber hinaus auch deshalb an Bedeutung, weil es für die Verwaltung von administrativen Zugriffen auf Cloud-Systeme ebenso wichtig ist wie für Zugriffe von Mitarbeitern von MSPs (Managed Service Providern) auf Kundensysteme. Gerade bei Cloud-Systemen sind die administrativen Konten oft wenig in ihren Zugriffsberechtigungen differenziert. Damit ist die Einschränkung der Zugriffe oder zumindest ihre genaue Kontrolle von zentraler Bedeutung.

Auf der anderen Seite wird aber auch die Verbindung von Privilege Management zum traditionellen IAM immer wichtiger. Gemeinsam genutzte Benutzerkonten müssen ein Manager haben, der beim Job-Wechsel des bisherigen Managers angepasst wird – eine Aufgabe für das Identity Provisioning. Für hoch privilegierte Konten muss besonders genau geprüft werden, ob die Berechtigungen noch benötigt werden – eine Aufgabe für die Access Governance. Flexible und starke Authentifizierungsmechanismen müssen unterstützt werden – eine Aufgabe für die adaptive Authentifizierung. Hier sind Schnittstellen zu anderen Bereichen des IAM wichtig, um integrierte Lösungen realisieren zu können.

Was bei der Entwicklung deutlich wird ist, dass die Lösungen, die vor allem auf die Verwaltung von Kennwörtern für gemeinsam genutzte Benutzerkonten ausgerichtet sind, sich immer mehr zu einem Nischenprodukt entwickelt. Privilege Management-Lösungen müssen stärker die Laufzeitfunktionalität unterstützen und sich gut mit anderen IAM-Bausteinen integrieren. Damit verändert sich auch der Markt für solche Lösungen. Das sollte berücksichtigt werden, wenn man solche Lösungen auswählt, aber auch bei der Überprüfung der vorhandenen Produkte, die gegebenenfalls um neue Bausteine ergänzt werden müssen.

In jedem Fall ist das Privilege Management aber eine Funktion, die in jedem Netzwerk vorhanden sein sollte, um die Risiken durch Fehlverhalten von Mitarbeitern, durch interne und durch externe Angriffe zu reduzieren.

* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44441664 / Benutzer und Identitäten)