:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Privileged Access Management Admins und Admin-Konten vor Angriffen schützen
Manipulationen in IT-Systemen oder Datendiebstahl gehen oft auf das Konto von Administratoren. Dieser vorsätzliche oder unwissentliche Missbrauch von erweiterten Rechten lässt sich durch Privilegd Access Management effizient und automatisiert eindämmen. Welche Anforderung eine solche Software, die den Zugang zu privilegierten Konten begrenzt, erfüllen muss.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Ins Fadenkreuz von Cyberkriminellen geraten immer wieder Accounts, die mit erhöhten Rechten verbunden sind. Als bevorzugtes Angriffsziel kristallisieren sich Admin-Konten heraus. Oder die Bedrohung richtet sich direkt gegen Accounts, die über Rechte eines Domänenadministrators verfügen. Es spielt keine Rolle, ob es bei einem ersten Angriff gelingt, einen solchen Domänenadministrator-Account zu übernehmen. Schließlich sollten Unternehmen damit rechnen, dass ein Angreifer in der Lage ist, die gestohlenen Berechtigungen weiter auszudehnen.
Privilege Escalation nennt sich ein solches Angriffsszenario, das die Berechtigungen nicht autorisiert hochstuft. Dafür lässt sich jeder Account mit erweiterten Berechtigungen missbrauchen. Eine erhöhte Sicherheitsfreigabe macht deshalb jeden Account zum potenziellen Angriffsziel. Es ist daher absolut notwendig, den Zugriff (Access) und alle zugehörigen Accounts zu verwalten. Denn neben Privilege Escalation sind noch andere Angriffsszenarien wie Pass-the-Hash, Pass-the-Ticket und Spear-Phishing an der Tagesordnung, vor denen ein sensibler Umgang mit privilegierten Benutzerkonten schützt.
Der privilegierte Zugriff auf kritische Daten
Hinter einem privilegierten Account verbirgt sich also ein Benutzer, der eine erhöhte Berechtigung zugewiesen bekommen hat. Das kann sowohl ein Administrator als auch ein Service-Account sein. Privilegierte Accounts dienen häufig dazu, Systeme, Netzwerke und die darin befindlichen Daten zu verwalten. Sie sind deshalb privilegiert, weil sie die Berechtigungen besitzen, auf kritische Unternehmensinformationen zuzugreifen, etwa ein E-Mail-Administrator. Zu seinen Aufgaben gehört es, Mailboxen oder ganze Microsoft-Exchange-Server einzurichten, zu verwalten, darauf zuzugreifen und auch zu löschen.
Aufgaben des Privileged Account Managements
Das manuelle Verwalten und Überwachen von privilegierten Benutzerkonten im gesamten Unternehmen ist aufwändig – und fehleranfällig. Wertvolle Unterstützung leisten Lösungen für das Privileged Access Management (PAM), die einen hohen Automatisierungsgrad mitbringen. PAM schützt vor vorsätzlichem, aber auch unbewusstem Missbrauch privilegierter Zugänge. Die Begriffe Privileged Account Management oder Privileged Session Management meinen in der Regel das gleiche. PAM-Lösungen lassen sich in bestehende Identity-Management-Systeme integrieren. Automatisierte Verwaltungssysteme bieten auch häufig die Möglichkeit, komplexe Berechtigungs- und Genehmigungsabläufen abzubilden.
Während sich PAM auf Privileged User Access bezieht, erkennt und autorisiert das Identity Management (IdM) alle Nutzer auf einem System. Jemand der eine Anwendung benutzen will, loggt sich ein. Eine IdM-Lösung wie Microsoft Active Directory verifiziert den Nutzer. Active Directory basiert auf dem Lightweight Directory Access Protocol (LDAP) und erlaubt keine Verwaltung von privilegierten Nutzern. IdM will große Freiheiten bieten, PAM soll dagegen den Zugang begrenzen.
Was PAM leisten kann und soll
Eine PAM-Lösung zielt darauf ab, privilegierte Accounts einfach, sicher, effizient und automatisiert zu verwalten. Das gelingt, wenn sie eine Reihe von Kriterien erfüllt. Dazu zählt, Zugriffe für bestimmte Accounts auf ausgewählte Systeme und Daten zu limitieren. Der Zugang wird außerdem zeitlich nur auf bestimmte Bereiche gewährt und wieder entzogen. Diese Funktionalität lässt durch das Verwenden von „temporary group memberships“ in Windows Server 2016 realisieren. Eine weitere Verbesserung ergibt sich, wenn Unternehmen überflüssige Passwortverwaltung und Kennworteingaben vermeiden. Die praktische Variante dafür stellen Password Vaults dar. So werden Passwörter zu kritischen Systemen auch vor den privilegierten Nutzern geschützt. Ein Ändern dieser Passwörter ohne Absprache ist damit ausgeschlossen. Die Zugangsdaten liegen in einem sicheren Tresor ab. Der Zugang wird erst freigeschaltet, nachdem ein Nutzer diesen beim Access-Manager angefragt hat. Dieses Modul reguliert den Zugriff von privilegierten Accounts, weil hier die Richtlinien für das PAM definiert und durchgesetzt werden.
Ein erfolgreiches PAM gewährleistet zudem ein zentrales Verwalten von Zugriffsrechten über heterogene Netzwerke. Für das Umsetzen liefern generische Gruppenmitgliedschaften den Ansatz. PAM-Lösungen bilden darüber hinaus Workflows für Zugriffsgenehmigungen ab und erstellen Audit-Trails. Für letzteres protokolliert die Software jede Aktion eines privilegierten Benutzers über einen definierten Zeitraum. Das dient nicht nur der Überwachung, sondern vereinfacht im Fehlerfall, Systeme oder Daten wieder herzustellen. In der Praxis findet häufig ein Audit-Trail statt, wenn Unternehmen Lösungen für „Operational Intelligence“ und „Log Management“ einsetzen. Bei Operational Intelligence, erfolgen Parsing und Indexierung direkt, wodurch diese Methode Ursachen für Fehler schneller identifiziert und behebt. Dieser Business-Analytics-Ansatz in Echtzeit erhöht die Sicherheit im Unternehmen enorm.
Software unter Einsatzbedingungen betrachtet
Die Softwarehersteller verfolgen unterschiedliche Ansätze für das PAM. Microsoft Identity Manager 2016 (MIM) setzt auf eine Just-in-Time-Verwaltung (JIT) und Just Enough Administration (JEA). Mit JEA entscheidet ein Administrator, dass ein Account mit einer bestimmten Berechtigung eine bestimmte Aufgabe ausführen darf. Jedes Mal, wenn ein berechtigter Account nun diese Aufgabe ausführen muss, aktiviert er diese Berechtigung. Die Berechtigung läuft nach einem bestimmten Zeitraum ab, sodass ein Angreifer zwar den Account stehlen, nicht jedoch die Berechtigung anwenden kann. Die Microsoft MIM-PAM-Lösung eignet sich sehr gut, die auf Microsoft basierten Infrastrukturen zu verwalten. Das Active Directory dient hierbei als zentraler Verzeichnisdienst. Die resultierenden Workflows für die Berechtigungsverwaltung zeichnen sich durch eine hohe Flexibilität aus.
Die PAM-Lösung von Microsoft erschwert es Angreifern, auf Ressourcen innerhalb einer Active-Directory-Umgebung zuzugreifen. Sie basiert auf neuen Funktionen in den Active-Directory-Domänendiensten und im Microsoft Identity Manager. PAM trennt privilegierte Konten von einer vorhandenen Active-Directory-Umgebung. Ein privilegiertes Konto muss zunächst angefordert werden. Nach der Genehmigung erhält es Berechtigungen in einer neuen, geschützten Gesamtstruktur anstatt in der aktuellen Gesamtstruktur des Benutzers oder der Anwendung. Dadurch kann die gefährdete Active-Directory-Umgebung besser kontrolliert werden.
Cyberark, ein weiterer Anbieter einer PAM-Lösung, hat sich auf SSH Key und Password Management sowie Privileged Session Management spezialisiert. Seine Lösungen fokussieren sich auf Recording und Monitoring einer privilegierten Sitzung. Cyberark hat seine Stärken in heterogenen Umgebungen, wenn es darum geht, privilegierte Anmeldedaten auf entfernten und eigentlich unsicheren Endgeräten über eine verschlüsselte Netzwerkverbindung zu managen.
Fazit
Dem Missbrauch von Administrator-Rechten und Service Accounts, die eine erhöhte Sicherheitsfreigabe erhalten haben, lässt sich mit Privileged Access Management ein wirkungsvoller Sicherheitsriegel vorschieben. Automatisierte PAM-Lösungen bieten einen umfassenden Schutz vor Attacken von außen wie innen. Mit der entsprechenden Unterstützung und Expertise können Unternehmen die firmenspezifischen Anforderungen klar definieren. Das liefert die Basis, um ein individuell erforderliches sowie praxiserprobtes PAM zu installieren.
Über den Autor: Christian Lechner ist Senior Consultant Cybersecurity & Enterprise Mobility bei Axians IT Solutions.
(ID:44693448)
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940949/original.jpg "Die Sicherheit in einer Windows-basierten Infrastruktur beginnt mit der Sicherung des Active Directory. (Weissblick - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1904500/1904510/original.jpg "Privileged Access Management ist eine Funktion in Windows Server 2022 um Administratorkonten in Active Directory vor Angriffen zu schützen. (NicoElNino - stock.adobe.com)")