Zugriffe statt Benutzerkonten personalisieren

Privileged Identity Management beseitigt Risiken persönlicher Accounts

Seite: 3/3

Privilegierte Identitäten ersetzen User Accounts

Einen wirksamen Schutz bieten Lösungen aus dem Bereich Privileged Identity Management, bei denen der Einsatz privilegierter Konten über einen zentral administrierten digitalen Datentresor gesteuert wird. Dieser ist klar vom Zugang zu den Mission-Critical-Informationen getrennt. Es gibt keine persönlichen Benutzerkonten mehr, wohl aber einen gesicherten persönlichen Zugang zu Betriebssystem-Funktionen und Applikationen.

Neben den privilegierten Konten auf Betriebssystemebene müssen auch die Administratorenpasswörter für Datenbanken und Applikationen beachtet werden. Hier gilt es jedoch, einen bedeutenden Unterschied zu beachten.

Während die privilegierten Benutzerkonten von Administratoren und damit von realen Menschen genutzt werden, greifen Anwendungen automatisch auf Backend-Systeme zu, die eine Authentifizierung erfordern. Meist stellt der Applikations-Server solche Software-Account-Passwörter im Programmcode, in Skripten oder in Config-Files bereit.

Die damit verbundenen Risiken sind nicht unbeträchtlich, da die Passwörter in der Regel nie geändert werden, oft im Klartext vorliegen und einer großen Zahl an Anwendern wie Applikations-Administratoren und Entwicklern zugänglich sind. Weitgehend unbemerkt erhält so ein nahezu unüberschaubarer Personenkreis die Zugriffsmöglichkeit auf unternehmenskritische Datenbestände.

Eine effektive Lösung besteht darin, die in Skripten oder Config-Files eingebetteten statischen Passwörter zu entsorgen und eine automatische Verwaltung und Änderung von Administratoren-Accounts in Anwendungen zu ermöglichen.

Passwörter sind dann nicht mehr in Anwendungen, Skripten oder Konfigurationsdateien gespeichert. Vielmehr werden die Zugangsdaten ebenfalls im zentralen digitalen Datentresor abgelegt, überprüft und verwaltet. Ein innovativer Ansatz ist es, wenn ein lokaler Caching-Proxy auf den Applikationsservern die Passwörter aus dem Datentresor abruft, verschlüsselt speichert und bereitstellt, wenn sie von der jeweiligen Anwendung benötigt werden.

Die damit einhergehenden Code-Änderungen an Skripten und Anwendungen bilden sicherlich eine beachtliche Aufgabe. Erfahrungen aus der IT-Praxis zeigen aber, dass solche Anpassungen des Programmcodes eine durchaus lösbare und keineswegs außergewöhnliche Aufgabe sind.

Jochen Koehler ist Deutschland-Chef von Cyber-Ark in Heilbronn.

(ID:30640520)