Auch Administrator-Accounts müssen verwaltet werden

Priviledged Identity Management zur Kontrolle kritischer Benutzerkonten

06.12.2010 | Autor / Redakteur: Stefan Köhler, IBM / Stephan Augsten

Einfache Rechnung: Je mehr Administratoren und Server verfügbar sind, desto schwieriger fällt der Überblick.
Einfache Rechnung: Je mehr Administratoren und Server verfügbar sind, desto schwieriger fällt der Überblick.

„Gleiches Recht für alle“ ist in der IT ein gefährliches Prinzip. Jede Organisation mit einer IT-Infrastruktur benötigt privilegierte Nutzer wie System-Accounts, Administratoren und Manager. Oft wird aber vernachlässigt, dass privilegierte Accounts aufgrund ihrer hohen Rechte einer besonderen Kontrolle und Überwachung bedürfen. Priviledged Identity Management kann dieses Problem lösen.

Administratoren besaßen lange Zeit eine Vertrauensstellung im Unternehmen. Doch über die IT-Systeme sind heute mehr wertvolle Geschäftsinformationen zugänglich, die immer leichter zu Geld zu machen sind. Dessen werden sich Unternehmen zunehmend bewusst, und so schwindet das Vertrauen.

Privilegierte Nutzer besitzen häufig administrative oder andere weitgehende Rechte, um geschäftskritische Ressourcen zu verwalten oder zu nutzen. Die aktuelle Gesetzgebung und andere regulatorische Vorgaben fordern deshalb verstärkt die lückenlose Kontrolle dieser Administratoren und anderer privilegierter Berechtigungen. So fordert z.B. die ISO 27001, dass „die Zuteilung von Privilegien restriktiv gehandhabt und kontrolliert wird“.

Verstärkt wird das Problem durch die steigende Anzahl privilegierter Accounts: Früher wurden wenige Großrechner von einer überschaubaren Anzahl von Administratoren verwaltet. Durch die Konsolidierung von Rechenzentren, Einführung von Blade-Systemen, Virtualisierung und Cloud Computing steigt jedoch die Anzahl der Systeme sprunghaft an. Die daraus resultierende Anzahl von Administratoraccounts wird unüberschaubar und ist mit den Mitteln eines normalen Identity-Management-Systems nicht mehr zu verwalten.

Traditionelle IdM-Ansätze unzureichend

Im traditionellen Identity Management gibt es zwei verschiedene Ansätze für den Umgang mit Administrator-Accounts. Einerseits existieren in vielen Fällen von Betriebssystemen, Datenbanken oder Anwendungen vordefinierte „Super-User“-Accounts, die von mehreren Administratoren verwendet werden. Mehrere Administratoren kennen also die Passwörter dieser Accounts.

Abgesehen davon, dass die Verwaltung der Accounts bei diesem Ansatz sehr einfach ist, fängt hier das Problem schon bei der Änderung des Kennwortes an – wenn dies überhaupt regelmäßig durchgeführt wird. Wer ändert das Kennwort und teilt es den Kollegen mit? Viel gravierender ist bei diesem Ansatz aber die fehlende Nachvollziehbarkeit: Im Nachhinein kann nicht mehr festgestellt werden, wer einen Account benutzt hat.

Alternativ kann für jeden Administrator auf jedem System und jeder zu administrierenden Anwendung ein eigener privilegierter Account eingerichtet werden. Dies würde aber zu einem exponentiellen Wachstum der privilegierten Accounts und damit zu einem steigenden Risiko unter anderem durch Fehler beim Verwalten dieser Accounts führen. Neben dem Risiko sind natürlich auch die Kosten, die für das Verwalten entstehen, ein nicht zu unterschätzender Faktor.

Beide Ansätze führen nicht zum Ziel einer sicheren, nachweisbaren und effizienten Verwaltung der Administratoraccounts. Im Priviledged Identity Management wird deshalb versucht, die einfache Verwaltung mit einer sicheren Nachvollziehbarkeit zu kombinieren und so die Vorteile beider Ansätze zu verbinden.

Inhalt

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2048667 / Benutzer und Identitäten)