Zugriffe statt Benutzerkonten personalisieren

Privileged Identity Management beseitigt Risiken persönlicher Accounts

| Autor / Redakteur: Jochen Koehler, Cyber-Ark / Stephan Augsten

Spielwiese: Im Falle privilegierter Konten lässt sich die Nutzeridentität nur schwer nachvollziehen.
Spielwiese: Im Falle privilegierter Konten lässt sich die Nutzeridentität nur schwer nachvollziehen.

Privileged Identity Management ermöglicht es, einheitliche Richtlinien zur Verwaltung privilegierter Benutzerkonten in der IT zu definieren und zu überwachen. Statt persönlicher Benutzerkonten gibt es einen personalisierten Zugriff. Benutzer kommen dann nicht mehr direkt mit den Konten in Berührung.

In einer typischen IT-Umgebung gibt es Hunderte oder gar Tausende von Servern, Datenbanken, Netzwerkelementen sowie Applikationen. Alle werden durch eine Vielzahl privilegierter und gemeinsam genutzter Konten verwaltet.

Privilegierte Benutzerkonten verfügen über weitreichende Berechtigungen und werden von vielen IT-Mitarbeitern zur Administration genutzt. Deshalb werden die mit ihnen verbundenen Passwörter auch nur äußerst selten geändert.

Typische Beispiele für privilegierte Konten sind „root“ und „oracle“ bei Unix/Linux, Administrator bei Windows, Cisco Enable, Oracle database system/sys, MSSQL SA und einige mehr. Zu den „Privilegien“ gehören etwa der Zugriff auf vertrauliche Informationen, die Installation und Ausführung von Applikationen und die Veränderung von Konfigurationseinstellungen.

Die drohende Gefahr des Machtmissbrauchs

Der verantwortungsvolle Umgang mit diesen privilegierten Konten und ein Zugriffsmanagement, das die Sicherheitsrisiken beseitigt, sind vielfach aber noch die Ausnahme. Die Gefahren, die sich dabei ergeben, liegen auf der Hand:

  • Über privilegierte Benutzerkonten ist ein unbeschränkter Zugriff auf eine Vielzahl von Systemen möglich. Missbrauch bedeutet dabei nicht zwingend einen Hackerangriff von außen. Das kann auch ein Mitarbeiter sein, der in der Zwischenzeit die Abteilung wechselte und noch Zugriff auf privilegierte Konten hat.
  • Ein weiteres Problem besteht darin, dass es bei gemeinsam verwendeten Benutzerkonten (Shared Accounts) keine Nachvollziehbarkeit gibt. Hat eine größere Gruppe von Administratoren Zugriff auf Passwörter, lässt sich nicht eindeutig und revisionssicher feststellen, wer eine privilegierte Benutzerkennung wann und wozu verwendet hat.
Ergänzendes zum Thema
 
Zentralisiertes Privileged Identity Management

Diese Shared Accounts stellen für jedes Unternehmen ein erhebliches Sicherheitsrisiko dar. Vielfach sind sie deshalb bestrebt, diese Accounts zu eliminieren. Jedem Administrator einen eigenen personalisierten Account einzurichten, stellt jedoch auch keine Lösung dar. Denn dies würde zur Folge haben, dass gegebenenfalls Hunderte, oft sogar Tausende Accounts geschaffen werden müssten, deren Verwaltung extrem aufwändig und kostenintensiv wäre.

Eine einfach zu implementierende und zu verwaltende Alternative hierzu ist eine Privileged-Identity-Management-Variante, die einen anderen Lösungsansatz verfolgt: nämlich die Personalisierung des Zugriffs auf Accounts und nicht die Personalisierung des Kontos selbst.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 30640520 / Benutzer und Identitäten)