Privileged Account Management

Mehr Sicherheit für administrative Accounts

| Autor / Redakteur: Florian Malecki* / Peter Schmitz

Privilegierte Zugänge können zu einem ernsten Sicherheitsrisiko werden. Der Schutz dieser Accounts muss sorgfältig geplant sein, damit es nicht zu Produktivitätseinbußen kommt.
Privilegierte Zugänge können zu einem ernsten Sicherheitsrisiko werden. Der Schutz dieser Accounts muss sorgfältig geplant sein, damit es nicht zu Produktivitätseinbußen kommt. (Bild: geralt-Pixabay / CC0)

Privilegierte Accounts, wie beispielsweise Administrator-Konten, sind für einen reibungslosen IT-Betrieb unerlässlich, stellen aber gleichzeitig immer auch ein Sicherheitsrisiko dar. Umso wichtiger ist es, die Anmeldeinformationen für diese Accounts professionell zu verwalten. Privileged Account Management bietet hier effiziente Lösungen.

Privileged Accounts sind eine Art Generalschlüssel. Für fast alle Geräte, Systeme, Anwendungen und Datenbanken gibt es privilegierte Konten, also Zugriffmöglichkeiten für Nutzer mit besonderen Rechten. Ohne solche Accounts kann eine IT auch gar nicht funktionieren. Administratoren benötigen diese Accounts für ihre Aufgaben, um beispielsweise Software-Updates zu installieren, Passwörter zurückzusetzen, Konten einzurichten oder zu deaktivieren. Privilegierte Accounts bieten meist unbegrenzten Zugriff auf Systeme und Daten – und genau darin besteht das Risiko, denn diese Accounts selbst werden wenig bis gar nicht kontrolliert. Unkontrolliert eröffnen sie jedem, der über diesen Account verfügt, eine totale Kontrolle über die "normalen" Konten, und im übrigen Unternehmen weiß im Grunde niemand, was damit genau passiert.

Das ist die Stunde des Privileged Account Management (PAM), das mehr und mehr zu einem Eckpfeiler einer konsistenten Sicherheitsstrategie wird. PAM überwacht die Rechte der privilegierte Konten, muss aber vor allem aber auch den Zugang zu diesen Konten steuern; es müssen also die Zugriffsrechte für Nutzer geregelt werden, die dann ihrerseits Zugriffsrechte regeln können. Eine wichtige Aufgabe, denn wenn hier etwas schiefgeht, ist der "Generalschlüssel" nicht mehr sicher. In PAM-Projekten müssen drei zentrale Komponenten implementiert werden:

  • kontrollierter und sicherer Zugriff auf privilegierte Konten;
  • Implementierung weniger privilegierter Zugriffsrechte;
  • Monitoring und Überwachung von privilegierten Accounts.

Kontrollierter und sicherer Zugriff auf privilegierte Konten

Die Reduzierung der Risiken von privilegierten Accounts erfordert zunächst eine gründliche Bestandsaufnahme der betreffenden Konten und Kontoinhaber. Unternehmen können die problematischen Punkte erst beurteilen, wenn sie über eine umfassende Übersicht aller privilegierten Accounts zusammen mit den Menschen und Systemen, die darauf zugreifen können, verfügen.

Wenn man nicht weiß, wo man dabei ansetzen soll, empfiehlt es sich, bei den Zugängen von Drittanbietern oder Lieferanten zu beginnen – wobei es oft die ersten Überraschungen gibt, wenn man feststellt, wer alles über einen "Generalschlüssel" verfügt. Das ist beispielsweise häufig der Fall, wenn ein Unternehmen Anbieter oder Berater für spezialisierte Lösungen und Services einsetzt, die privilegierten Remote-Zugang zur Infrastruktur benötigen. Wer dann nicht zwischen dem privilegierten Zugang eines Dritten und dem eines "traditionellen" Administrators differenzieren kann, hat damit ein Problem; die damit verbundenen Risiken muss man sich nicht noch im Detail ausmalen.

Als nächstes sollte man einen sicheren Ort festlegen, an dem die Anmeldeinformationen gespeichert werden; Verschlüsselung und mehrere Schichten der Authentifizierung sind hier natürlich unverzichtbar. Anschließend müssen alle Prozesse eliminiert werden, nach denen solche Informationen unter Nutzern ausgetauscht werden können. Stattdessen muss eine individuelle Verantwortung durch die Implementierung von strengen Passwörtern gewährleistet sein. Man kann dies für alle in Frage kommenden Accounts manuell erledigen, was aber zeitaufwendig ist und - was noch schwerer wiegt - außerdem fehleranfällig ist. Unternehmen, die dem PAM die nötige hohe Priorität zumessen, greifen daher auf technische Lösungen zur Passwortsicherung zurück. Privilegierte Passwort-Siche¬rung – Privileged Safe Technology – schützt nicht nur die betreffenden Anmeldeinformationen durch mehrere Sicherheits- und Authentifizierungsschichten, sondern ermöglicht auch den Zugang zu ihnen nur über entsprechende Workflows.

Zum Abschluss dieser Phase sollte man aber prüfen, ob durch das Entfernen der bislang üblichen Anmeldeinformationen die Produktivität beeinträchtigt wird. Auch bei einem PAM-Projekt sollte man sicherstellen, dass die Geschäftsprozesse nicht behindert werden. Andernfalls sind Betroffene möglicherweise motiviert, das Projekt selbst zu be- oder gar zu verhindern.

Implementierung weniger privilegierter Zugriffsrechte

Sicherheits- und Compliance-Vorschriften erfordern häufig sowohl individuelle Verantwortlichkeit für die Accounts als auch weniger privilegierte Zugriffsmöglichkeiten – "Least-privileged Access". Diese werden für Arbeiten genutzt, die nicht die vollen Administrator-Rechte benötigen, beispielsweise für das Anlegen neuer User oder das Zurücksetzen von Passwörtern, also für das "Alltagsgeschäft", das aus den wirklich privilegierten Aufgaben wie etwa das Neuaufsetzen einer Datenbank herausgelöst werden sollte.

Die Unternehmen müssen natürlich genau wissen, wer wann Zugang zu was hat beziehungsweise haben soll, und sie müssen den Anwendern Zugriffe auf genau der Ebene ermöglichen, die diese für ihre Aufgabe benötigen. Dies schränkt schädliche Aktionen schon mal erheblich ein, egal sie ob unbeabsichtigt oder tatsächlich böswillig erfolgen.

Um ein Modell für diese weniger privilegierten Zugriffsrechte zu implementieren, müssen zunächst alle wichtigen Rollen und Verantwortlichkeiten innerhalb der Organisation beschrieben werden. Für dieses "Role Mining" gibt es drei Möglichkeiten: Top-down, Bottom-up und By-Example.

Beim Top-down Role Mining werden die Benutzer-Rollen auf Basis der jeweiligen Job-Funktionen definiert; im Bottom-up Role Mining, werden die Rollen auf Basis eines im Allgemeinen benötigen Sets an Ressourcen vergeben. Im By-Example Role Mining werden Rollen von Managern festgelegt, die bestimmte Benutzer identifizieren, die die gleiche Arbeit erledigen.

Die Herausforderung besteht darin, dass sich Rollen und Zugriffsrechte ständig verändern, beispielsweise wenn Mitarbeiter oder Administratoren neue Aufgaben übernehmen oder auch bei Fusionen oder Übernahmen. Es ist daher unerlässlich, alle Rollen regelmäßig zu überprüfen und entsprechende Anpassungen vorzunehmen. Im Normalfall sollte es genügen, mindestens einmal jährlich ein Update durchzuführen. Wenn ein Unternehmen aber schnell wächst, müssen diese Überprüfungen natürlich häufiger stattfinden. Die Zugänge sollten auch nicht zu granular angelegt sein. Wenn man für jeden Einzelnen eine eigene Rolle zurechtschnitzt, sind Veränderungen nicht mehr effizient zu bewältigen.

Die Implementierung weniger privilegierter Zugriffsrechte kann recht komplex sein, und nicht alle Managementsysteme bieten dafür native Möglichkeiten. Um dieser Herausforderung zu begegnen, sollten Unternehmen auf Drittanbieter-Lösungen für die Delegierung – Delegation Solutions – zurückgreifen.

Monitoring und Überwachung von privilegierten Accounts

Es genügt jedoch nicht, lediglich festzulegen, was privilegierte Benutzer tun dürfen. Man muss auch ständig überprüfen, was sie tatsächlich tun. In einem ersten Schritt ist zu bestimmen, welche Aktivitäten von einem entsprechenden Reporting erfasst werden sollen. Je nach Compliance- und Sicherheits-Anforderungen wird ein Auditor Berichte fordern, die auf folgende Fragen in Bezug auf einen privilegierten Zugang Antworten liefern:

  • Wer hat Zugriff auf privilegierte Konten? Wann erfolgen die Zugriffe? Auf welche Systeme wird zugegriffen?
  • Welche Systeme haben Compliance-relevante Daten? Wer hat Zugang zu diesen Systemen? Was wurde mit diesem Zugang gemacht?
  • Welche Systeme hatten abgelehnte Zugriffsanforderungen? Wer hatte dabei versucht zuzugreifen?
  • Welche potenziell schädliche Befehle wurden auf den jeweiligen Systemen ausgeführt und von wem?

Unternehmen müssen außerdem festlegen, wie sie diese Berichte bereitstellen wollen, welche Protokolle angefertigt werden müssen und wie diese einzelnen Benutzern zugeordnet werden können. Solche Zuordnungen können in der Praxis eine durchaus anspruchsvolle und aufwändige Aufgabe sein. Obwohl Password Safe Solutions dabei helfen können, sollten Unternehmen (auch) eine Session-Management-Lösung verwenden, um herauszufinden, was genau ein Benutzer mit privilegiertem Zugang in den Systemen getan hat.

Privilegierte Zugänge können zu einem ernsten Sicherheitsrisiko werden, und die Schritte, die zu ihrem Schutz unternommen werden, müssen daher sorgfältig geplant und ausgewogen sein, damit sie andererseits nicht zu Produktivitätseinbußen führen. In einer Ära großer Herausforderungen für die IT-Sicherheit ist Privileged Account Management jedenfalls kein Nischenthema mehr.

* Florian Malecki ist International Product Marketing Director Sonicwall.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44342199 / Passwort-Management)