Suchen

Auch Administrator-Accounts müssen verwaltet werden Priviledged Identity Management zur Kontrolle kritischer Benutzerkonten

| Autor / Redakteur: Stefan Köhler, IBM / Stephan Augsten

„Gleiches Recht für alle“ ist in der IT ein gefährliches Prinzip. Jede Organisation mit einer IT-Infrastruktur benötigt privilegierte Nutzer wie System-Accounts, Administratoren und Manager. Oft wird aber vernachlässigt, dass privilegierte Accounts aufgrund ihrer hohen Rechte einer besonderen Kontrolle und Überwachung bedürfen. Priviledged Identity Management kann dieses Problem lösen.

Einfache Rechnung: Je mehr Administratoren und Server verfügbar sind, desto schwieriger fällt der Überblick.
Einfache Rechnung: Je mehr Administratoren und Server verfügbar sind, desto schwieriger fällt der Überblick.
( Archiv: Vogel Business Media )

Administratoren besaßen lange Zeit eine Vertrauensstellung im Unternehmen. Doch über die IT-Systeme sind heute mehr wertvolle Geschäftsinformationen zugänglich, die immer leichter zu Geld zu machen sind. Dessen werden sich Unternehmen zunehmend bewusst, und so schwindet das Vertrauen.

Privilegierte Nutzer besitzen häufig administrative oder andere weitgehende Rechte, um geschäftskritische Ressourcen zu verwalten oder zu nutzen. Die aktuelle Gesetzgebung und andere regulatorische Vorgaben fordern deshalb verstärkt die lückenlose Kontrolle dieser Administratoren und anderer privilegierter Berechtigungen. So fordert z.B. die 7001-a-626958/' class='inf-text__link inf-text__keyword'>ISO 27001, dass „die Zuteilung von Privilegien restriktiv gehandhabt und kontrolliert wird“.

Bildergalerie

Verstärkt wird das Problem durch die steigende Anzahl privilegierter Accounts: Früher wurden wenige Großrechner von einer überschaubaren Anzahl von Administratoren verwaltet. Durch die Konsolidierung von Rechenzentren, Einführung von Blade-Systemen, Virtualisierung und Cloud Computing steigt jedoch die Anzahl der Systeme sprunghaft an. Die daraus resultierende Anzahl von Administratoraccounts wird unüberschaubar und ist mit den Mitteln eines normalen Identity-Management-Systems nicht mehr zu verwalten.

Traditionelle IdM-Ansätze unzureichend

Im traditionellen Identity Management gibt es zwei verschiedene Ansätze für den Umgang mit Administrator-Accounts. Einerseits existieren in vielen Fällen von Betriebssystemen, Datenbanken oder Anwendungen vordefinierte „Super-User“-Accounts, die von mehreren Administratoren verwendet werden. Mehrere Administratoren kennen also die Passwörter dieser Accounts.

Abgesehen davon, dass die Verwaltung der Accounts bei diesem Ansatz sehr einfach ist, fängt hier das Problem schon bei der Änderung des Kennwortes an – wenn dies überhaupt regelmäßig durchgeführt wird. Wer ändert das Kennwort und teilt es den Kollegen mit? Viel gravierender ist bei diesem Ansatz aber die fehlende Nachvollziehbarkeit: Im Nachhinein kann nicht mehr festgestellt werden, wer einen Account benutzt hat.

Alternativ kann für jeden Administrator auf jedem System und jeder zu administrierenden Anwendung ein eigener privilegierter Account eingerichtet werden. Dies würde aber zu einem exponentiellen Wachstum der privilegierten Accounts und damit zu einem steigenden Risiko unter anderem durch Fehler beim Verwalten dieser Accounts führen. Neben dem Risiko sind natürlich auch die Kosten, die für das Verwalten entstehen, ein nicht zu unterschätzender Faktor.

Beide Ansätze führen nicht zum Ziel einer sicheren, nachweisbaren und effizienten Verwaltung der Administratoraccounts. Im Priviledged Identity Management wird deshalb versucht, die einfache Verwaltung mit einer sicheren Nachvollziehbarkeit zu kombinieren und so die Vorteile beider Ansätze zu verbinden.

Inhalt

  • Seite 1: Traditionelle IdM-Ansätze unzureichend
  • Seite 2: Nicht alle privilegierten Accounts sind gleich
  • Seite 3: Identity Management als Grundlage für PIM
  • Seite 4: Überwachung der Aktivitäten privilegierter Nutzer

(ID:2048667)