:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/87/df8707de1c856dd66a483a19444c0f6a/0109640555.jpeg "Die Geräte der DL4-FE-Serie von DataLocker sind ab sofort im Preis reduziert. (Bild: DataLocker)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Bevorrechtete Accounts in hybriden Clouds absichern Privileged Access Management in einer Cloud-Umgebung
Cloud- und hybride Infrastrukturen bringen besondere Herausforderungen mit sich. Sie abzusichern, ist auf Grund der unterschiedlichen Zugriffswege und Systemmerkmale schwierig. Doch beim Betrieb in einer Hybrid-Cloud-Umgebung ist die Absicherung insbesondere privilegierter Accounts – also Benutzern, die aufgrund ihrer Tätigkeit über erweiterte Berechtigungen verfügen müssen –unerlässlich.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Sowohl Cloud- als auch hybride Infrastrukturen weisen jeweils erhebliche Sicherheitsrisiken auf. Hierzu gehören beispielsweise Fernwartungsschnittstellen oder gemeinsam genutzte Ressourcen. Auf den ersten Blick scheint die beste Methode zum Schutz von Firmeninhalten die Isolation der Cloud-Umgebung und die Minimierung potenzieller Angriffsoberflächen zu sein. Doch vor dem Hintergrund der angestrebten digitalen Vernetzung der Wertschöpfungskette ist diese Lösung nicht praktikabel.
Management und IT müssen sich also die Frage stellen, wie sie der Herausforderung „Sicherheit in der Cloud mit den speziellen Anforderungen privilegierter Zugriffe“ am effizientesten begegnen können. Dazu zunächst eine Definition: Ein Benutzer mit erweiterten Zugriffsprivilegien hat mittels seiner Login-Daten Zugriff auf geschäftskritische Prozesse und vertrauliche Bereiche der IT-Infrastruktur. Privilegierte Benutzer können Systemadministratoren in der IT-Abteilung, höhere Führungskräfte, externe Dienstleister, Zulieferer, Entwickler oder auch Applikationen (wie Cloud-basierte Steuerungssysteme oder IoT-Devices) sein.
Absicherung des Fernzugriffs
Als nächstes müssen die unterschiedlichen Aspekte des privilegierten Zugriffs betrachtet werden. Es liegt in der Natur der Cloud, Fernzugriffe auf Schlüsselinhalte zu ermöglichen, egal ob sich die Benutzer in der Unternehmenszentrale befinden oder von einem entfernt liegenden Standort aus einloggen. Die Anzahl der Personen, die einen privilegierten Zugriff für ihre tägliche Arbeit benötigen, kann beliebig groß sein. Hieraus ergibt sich jedoch auch eine beliebig große Anzahl an neuen Sicherheitslücken.
Wenn aber Zugriffsprivilegien gewährt werden, wird jedes Mal ein neues Sicherheitsrisiko geschaffen, da Login und Passwort eines Benutzers verloren gehen, gestohlen (Identitätsdiebstahl) oder unbedacht geteilt werden könnten. Identitätsdiebstahl – also das Ausspionieren von Zugangsdaten – ist mittlerweile die am häufigsten verwendete Methode von Cyber-Kriminellen, da ein erfolgreicher Passwort-Diebstahl unmittelbar einen „legalen“ Zugang zum internen Netz öffnet.
Mandantenfähigkeit gewährleisten
Die Migration in die Cloud erfordert einen Cloud-Serviceanbieter (CSP). Dieser CSP hostet Daten für – möglicherweise – hunderte Kunden, die auf dieselben Ressourcen zugreifen. Selbige haben alle privilegierte Zugangsdaten, um auf die jeweils eigene Cloud-Infrastruktur zuzugreifen. Diese mandantenfähige Umgebung hat natürlich eine erhöhte Verwundbarkeit. Wie Bewohner eines Mehrparteienhauses müssen alle Kunden das gleiche Gebäude betreten, von den Privatwohnungen der anderen aber isoliert bleiben. Die Trennung zwischen den Mietern und die Schlösser für jede Einheit müssen solide sein, um versehentliche oder böswillige Sicherheitsverletzungen zu verhindern. Hierfür Sorge zu tragen, ist Aufgabe des Hausbesitzers. Wünscht ein einzelner Mieter zusätzliche Sicherheitsmaßnahmen, steht es ihm frei, selbige selbstständig zu installieren – oder eben auch nicht.
Obwohl die CSPs ihre eigenen Sicherheitsmaßnahmen haben, muss dies nicht für die Kunden gelten, wodurch die Nutzung gemeinsamer Cloud-Ressourcen ein hohes Risiko darstellen kann. Als Kunde eines Cloud-Service-Anbieters, der mit Mandantenfähigkeit arbeitet, wird es für Unternehmen, die in die Cloud migrieren, zwingend notwendig, Schichten der Zugriffskontrolle hinzuzufügen.
Entwicklerteams erhöhen Sicherheitsrisiko
Doch nicht nur menschliche Zugriffe sind potenziell eine Gefahr. Auch die Interaktion zwischen Anwendungen muss berücksichtigt werden. So sind die für die Softwareentwicklung verantwortlichen DevOps-Teams eine besondere Herausforderung für die IT-Sicherheit. Während viele Lösungen wie Puppet, Ansible Tower, Octopus oder RapidDeploy darauf abzielen, DevOps-Team bei der Erstellung und dem Einsatz von Anwendungen und Codes in der Cloud zu unterstützen, überlassen die meisten die Sicherheit dem Entwickler. Viele Cloud- oder Hybrid-Funktionen laufen im unbeaufsichtigten Modus, öffnen Anwendungen und geben Daten zwischen der Cloud und Anwendungen am Firmenstandort mittels Skripten weiter. Das ist einfach und hocheffizient, da es sicherstellt, dass die Jobs wie benötigt laufen. Andererseits erhöht es in den meisten Fällen das Sicherheitsrisiko.
Um effizienter zu arbeiten, programmieren DevOps-Entwickler oft statische Passwörter in die Skripte. So kann jeder das Passwort sehen, der Zugriff auf das Skript bekommt. Hierbei handelt es sich häufig um Konten mit „Zugriff auf alle Bereiche“ oder mit Privilegien, die einen weitreichenden Zugriff auf Daten und Ressourcen im gesamten Netzwerk erlauben. Um die Sicherheit zu maximieren, brauchen DevOps-Entwickler eine Lösung, die statische Passwörter in Skripts durch ein dynamisches Verfahren ersetzt, ohne die Produktivität negativ zu beeinflussen.
PAM für sichere Cloud-Infrastruktur
Diese drei Beispiele verdeutlichen die Risiken im Bereich der privilegierten Zugriffe in Cloud- und Hybrid-Umgebungen. Um selbigen möglichst effizient zu begegnen, sollten sich die IT-Verantwortlichen mit Privileged-Access-Management-Lösungen (PAM) auseinandersetzen. PAM-Lösungen bieten eine sichere, effiziente und vor allem schlanke Methode, um alle privilegierten Benutzer für alle relevanten Systeme zu authentifizieren, zu autorisieren, aktiv in Echtzeit zu überwachen und zu auditieren – sowohl on-Premise als auch in der Cloud. Diese Technologie schützt sowohl vor fahrlässigem als auch vor absichtlichem Missbrauch privilegierter Zugänge.
Ein modernes PAM-System bietet eine zentrale Management-Konsole, die schnelle, schlanke Verwaltung aller Benutzer in unterschiedlichen Systemen ermöglicht, inklusive und insbesondere in Hybrid-Cloud-Umgebungen. Definitionsgemäß erlaubt eine PAM-Lösung dem IT-Sicherheitsteam Privilegien zu gewähren, zu entziehen und zu definieren. Dies spielt unter anderem deshalb eine wichtige Rolle, weil viele Organisationen mit häufigen Personalwechseln, sich ändernden Verantwortlichkeiten oder externen Dienstleistern konfrontiert sind, die privilegierten Zugang zu den Systemen benötigen. Die zentrale Management-Konsole erlaubt auch in komplexen hybriden und mandantenfähigen Umgebungen eine einfache System-, Zugangs- und Passwortverwaltung.
Zentralisierte Zugriffsverwaltung und sichere Kennwortverwaltung
Die erforderlichen Zugriffsprivilegien werden ausschließlich für die jeweilige Aufgabe erteilt. Ist die jeweilige Aufgabe abgeschlossen oder es wurde ein festgesetztes Zeitlimit erreicht, werden den Nutzern erteilten Zugriffsprivilegien automatisch wieder entzogen. Vergessene oder inaktive Benutzerkonten können somit nicht mehr missbraucht werden. Ein zentrales Passwort Management System beseitigt die Notwenigkeit, dass Benutzer, die jeweiligen Zugangsdaten auf sensible Systeme zu besitzen. Dadurch wird der Diebstahl von Identitäten deutlich erschwert. Passwörter können automatisch generiert werden und somit eine beliebig hohe Komplexität erreichen. Passwort- und Schlüsselrotation sowie vollautomatisierte Passwortwechsel nach jeder Session erhöhen die Systemsicherheit weiter. Der Benutzer muss sich nur noch einmal stark authentifizieren (Multi-Faktor-Authentifizierung) und der Zugriff auf das jeweilige Zielsystem erfolgt über Single Sign-On. Auch dies erhöht die Schwierigkeit des Identitätsdiebstahls.
Wie zuvor erwähnt, betten DevOps-Entwickler, denen keine PAM-Lösung Verfügung steht, oftmals ihre Passwörter direkt in ihre Skripte ein. Während das die bequeme, unbeaufsichtigte Erledigung des Jobs erlaubt, stellt dies jedoch ein gewaltiges Sicherheitsrisiko dar. Die ideale Lösung dieses Problems besteht aus zwei Komponenten: Einem sicheren Kennworttresor und einer Anwendungs-zu-Anwendungs-Kennwortverwaltung (AAPM), um Passwörter zwischen Cloud-Anwendungen zu authentifizieren. Die AAPM entsperrt den sicheren Tresor, um das korrekte Passwort abzufragen, das dem Skript während der Dauer dieses Vorgangs zur Verfügung gestellt wird. Durch AAPM müssen statische Anmeldedaten nicht mehr fest im Skript eingebunden sein, was das Sicherheitsrisiko weiter reduziert.
Audit & Beaufsichtigung
Privileged Access Management ermöglicht vollständige und unveränderliche Auditierbarkeit für jede privilegierte Sitzung. Das IT-Sicherheitsteam kann somit sämtliche Aktivitäten aller privilegierten Benutzer verfolgen, überwachen und bewerten. Ob für Schulungszwecke, als Reaktion bei Störungen oder bei einem konkreten Sicherheitsvorfall – die Audit-Funktionen sind ein wertvoller Bestandteil einer PAM-Lösung. Das IT-Sicherheitsteam kann anhand von vollständigen, verschlagworteten Videoaufzeichnungen – entweder im Nachhinein oder in Echtzeit – nachvollziehen, welche Handlungen jeder privilegierte Benutzer durchführt und bei Bedarf die Sitzung unmittelbar beenden. Und auch rechtliche Aspekte sind hier von Bedeutung: Die Einhaltung gesetzlicher Bestimmung ist für jede Organisation eine Notwendigkeit. Cloud oder Hybrid-Systeme machen die Erfüllung von Cybersicherheitsstandards komplex. PAM-Lösungen machen die Konformität einfach. Sie reagieren auf die kritischen Aspekte aller IT-Sicherheitsregulierungen der Regierung oder der Branche und bieten für Prüfungszwecke einen Nachweis, dass die Anforderungen eingehalten wurden.
Deshalb sollte jedes Unternehmen, ob es in lokaler IT, in der Cloud oder einer Hybrid-Umgebung arbeitet, eine PAM-Lösung in Erwägung ziehen. Für diejenigen, die ihre Migration in die Cloud gerade beginnen, ist PAM der erste Schritt für eine umsichtige Umstellung. Diejenigen, die bereits in der Cloud arbeiten, werden bemerken, dass die richtige PAM-Lösung dabei hilft, viele ihrer laufenden Herausforderungen hinsichtlich Sicherheit und Zugriffsverwaltung zu lösen. Eine zentralisierte Verwaltungskonsole bietet einen einzigen Steuerungspunkt für alle Ressourcen, egal ob das Unternehmen mit vorhandenen Systemen vor Ort, in einer reinen Cloud-Umgebung oder in einer Hybrid-Infrastruktur arbeitet, die Altes und Neues vermischt. Privilegierten Administratorzugang zu sensiblen Ressourcen zu gewähren, zu überwachen und zu entziehen, wird verschlankt, sicher gemacht und zentralisiert. Das verbessert die Produktivität und Effizienz der IT, ohne die Sicherheit der Organisation zu beeinträchtigen.
* Der Autor Stefan Rabben ist Area Sales Director DACH and Eastern Europe der Wallix Group.
(ID:46197280)
:quality(80)/images.vogel.de/vogelonline/bdb/1940900/1940949/original.jpg "Die Sicherheit in einer Windows-basierten Infrastruktur beginnt mit der Sicherung des Active Directory. (Weissblick - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1913800/1913848/original.jpg "B2B-Unternehmen wie auch KRITIS-Unternehmen können mit Wallix Bastion 9 digitale Identitäten schützen. (adam121 - stock.adobe.com)")