Suchen

Identitäts- und Zugriffs-Management Schritt für Schritt - Teil 3 Privileged User Management schützt Firmen vor ihren Admins

| Autor / Redakteur: Jens Pälmer, Director Solution Sales, CA Deutschland GmbH / Peter Schmitz

Unternehmen schützen ihre IT-Infrastruktur vor unkontrollierten Zugriffen der Endanwender. Anders sieht es aber meist bei den Powerusern der IT-Organisation wie den Administratoren aus. Die Kontrolleure, werden meistens nicht oder nicht ausreichend kontrolliert. Unternehmen müssen hier oft dringend nachbessern um Compliance und Systemsicherheit zu gewährleisten.

Firmen zum Thema

Unternehmen kontrollieren die Zugriffsrechte ihre Poweruser und Administratoren selten genauso strikt wie die der normalen Benutzer und schaffen so Sicherheits- und Compliance-Risiken.
Unternehmen kontrollieren die Zugriffsrechte ihre Poweruser und Administratoren selten genauso strikt wie die der normalen Benutzer und schaffen so Sicherheits- und Compliance-Risiken.
( Archiv: Vogel Business Media )

Eine alte Business-Weisheit lautet: Vertrauen ist gut, Kontrolle ist besser. Nach diesem Motto regeln Unternehmen den Zugriff ihrer Endanwender auf IT-Systeme. Die Kontrolle übernehmen Administratoren in der IT-Organisation. Um ihre Arbeit erledigen zu können, erhalten sie weitreichende und privilegierte Zugangsrechte. Diese gehen weit über die Rechte hinaus, die normale Endanwender besitzen.

Eigentlich müsste die Arbeit dieser Superuser dann noch besser überwacht werden als die der Endanwender. Doch genau das Gegenteil ist der Fall. Für Superuser scheint zu gelten: Kontrolle wäre gut, Vertrauen ist besser. Das belegt auch eine Studie, die Quocirca im Auftrag von CA durchgeführt hat. Danach gibt jedes zweite befragte Unternehmen zu, dass Superuser ihre Zugangsdaten auch an andere Superuser weitergeben. Auch der fahrlässige Gebrauch von Standardnamen oder Passwörtern für die Superuser steht auf der Mängelliste.

Wer kontrolliert die Kontrolleure?

Noch größer ist die Gefahr, wenn Superuser ihre Privilegien bewußt gegen das Unternehmen einsetzen. Ohne eine Kontrolle ihrer Privilegien gelang es ihnen beispielsweise, mehrere Millionen Kreditkartensätze an einen Datenbroker zu verkaufen oder die IT-Infrastruktur lahmzulegen, weil sie sich mit ihrem Arbeitgeber nicht auf eine Gehaltserhöhung einigen konnten.

Der Börsenhändler Jérôme Kerviel machte Schlagzeilen, als er die französische Bank Société Générale um 4,9 Milliarden Euro erleichterte. Er konnte seine Manipulationen über Jahre verschleiern, weil er vorher als IT-Administrator mit Superuser-Rechten gearbeitet hatte und ihm diese Rechte nicht entzogen wurden, als er als Broker auf das Börsenparkett wechselte.

Die Beispiele belegen, dass sich Unternehmen schaden, wenn sie nicht auch ihre privilegierten User überwachen und deren Zugriffe protokollieren und auditieren. Und genau diese Kontrolle der Kontrolleure haben sich IT-Lösungen zum Privileged User Management (PUM) innerhalb von Zugriffskontroll-Lösungen auf die Fahnen geschrieben. Mit einer PUM-Lösung legen Unternehmen weitestgehend automatisiert fest und protokollieren, wer auf welche geschäftskritischen Daten zugreift oder wer welche IT-Systeme verwaltet.

Seite 2: Kontrolle ohne Privileged User Management ist sinnlos

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 2044256)