:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Privilege Management Risiken privilegierter und gemeinsam genutzter Accounts
Privilege Management bezeichnet die Teildisziplin von IAM (Identity and Access Management), die sich darum kümmert, die Risiken hoch privilegierter Benutzer zu reduzieren. Wie kaum ein anderer Bereich von IAM befindet sich dieses Themenfeld im Wandel.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/05/6405f91ad489a/logo-pathlock.jpeg "logo-pathlock (Pathlock)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Privilege Management wird je nach Anbieter auch als Privileged Account Management, Privileged User Management, Privileged Identity Management, aber auch als Shared Account Password Management und in anderer Form bezeichnet. Als Abkürzung bietet sich PxM an, für all die Sichtweisen auf das Management hoch privilegierter Benutzer und ihrer Konten.
Der Markt für solche Lösungen besteht schon lange. Zunächst hatte er sich für bestimmte Systemplattformen wie Unix oder VMS entwickelt, um dann in Lösungen zu münden, die unterschiedliche Betriebssysteme, aber auch andere Plattformen wie Netzwerkgeräte, unterstützen. Dieser Markt ist in den vergangenen Jahren deutlich gewachsen.
Der Fokus lag zunächst auf der Verwaltung von gemeinsam genutzten Benutzerkonten, bei denen das offensichtliche Risiko besteht, dass die Kennwörter solcher Konten schnell Allgemeingut werden, wenn sie verschiedenen Administratoren und Operatoren bekannt sein müssen. Um das zu erreichen, werden Kennwörter in sicheren Speichern, oft als „vault“ bezeichnet, abgelegt. Benutzer können für den Zugriff auf ein solches Benutzerkonto Einmalkennwörter anfordern, die dann von der Privilege Management-Lösung automatisch ersetzt werden.
Auch weitere Funktionen wie ein Privileged Single Sign-On mit dem Zugriff auf mehrere zugeordnete Accounts und Zielsysteme nach einmaliger Authentifizierung gehören heute zum typischen Funktionsumfang solcher Lösungen, ebenso wie die Identifikation von privilegierten Konten und die regelmäßige, automatische Veränderung solcher Kennwörter.
Weitere Funktionen, die im Laufe der Jahre hinzugekommen sind, sind funktionale Einschränkungen für Sessions auf Systemen, mit denen beispielsweise bestimmte Befehle nicht oder nur beschränkt genutzt werden dürfen, und das Application-to-Application Privilege Management, mit dem in Skripts, Code und an anderen Stellen enthaltene Benutzername-/Kennwort-Kombinationen durch Aufrufe auf das Privilege Management-System ersetzt werden können, dass dann zur Laufzeit Einmalkennwörter übergibt.
Neben diesen Funktionen hat sich ein ursprünglich weitgehend separates Marktsegment immer mehr zu einem Teil von Privilege Management-Lösungen entwickelt, das sogenannte Session Management. Dazu gehören Funktionen für die Aufzeichnung und die Überwachung von Sitzungen auf anderen Systemen, mit denen sich einerseits eine Nachvollziehbarkeit für forensische Aktivitäten schaffen lässt, aber auch Sitzungen zur Laufzeit eingeschränkt oder beobachtet werden können.
Auch andere Ansätze für die Beschränkung von administrativen und operativen Berechtigungen wie beispielsweise vordefinierte Tasks, die nur ganz genau definierte Aktivitäten erlauben, sind bei einzelnen Lösungen zu finden.
Ein weiteres neues Feld ist die Analyse von Abweichungen des Benutzerverhaltens bei hoch privilegierten Zugriffen, die Privileged User Behavior Analytics. Bei untypischen Verhaltensmustern können Alarme ausgelöst oder Aktivitäten gestoppt werden.
Generell ist festzustellen, dass sich der Fokus von Privilege Management verschoben hat. Natürlich ist es weiterhin wichtig zu verhindern, dass Kennwörter von gemeinsam genutzten Benutzerkonten mehreren Personen bekannt sind. Die Analyse von Sessions zur Laufzeit, also insbesondere das Session Management und die Privileged User Behavior Analytics, sind heute aber die wichtigsten Bereiche von Privilege Management, weil sie sich eben nicht nur auf die statische Verwaltung von Kennwörtern und die Anmeldung beziehen, sondern Einsicht in das geben, was zur Laufzeit passiert.
Damit wird Privilege Management aber immer mehr zu einer Funktion, die nicht mehr nur eine spezielle Form von IAM, also der Verwaltung von Identitäten, ihrer Authentifizierung und der Autorisierung von Zugriffen ist, sondern ein essentieller Bestandteil von Cyber Security-Initiativen. Durch Privileged User Behavior Analytics lässt sich geändertes Benutzerverhalten erkennen. Eine solche Situation kann entstehen, wenn ein Nutzer neue Aufgaben hat oder zu bestimmten, seltenen Zeitpunkten spezielle Aktivitäten durchführen muss. Sie kann aber auch auf internen Fraud hindeuten, wie beispielsweise das zweite Backup der gleichen Daten in einem sehr kurzen Zeitraum statt des üblichen einmaligen Backups. Sie kann aber auch ein Indiz für ein gekapertes Benutzerkonto („hijacked account“) sein, bei dem ein Angreifer die Kontrolle über ein hoch privilegiertes Konto erlangt hat und dieses nun für seine Angriffe nutzt.
Das Session Management gewinnt darüber hinaus auch deshalb an Bedeutung, weil es für die Verwaltung von administrativen Zugriffen auf Cloud-Systeme ebenso wichtig ist wie für Zugriffe von Mitarbeitern von MSPs (Managed Service Providern) auf Kundensysteme. Gerade bei Cloud-Systemen sind die administrativen Konten oft wenig in ihren Zugriffsberechtigungen differenziert. Damit ist die Einschränkung der Zugriffe oder zumindest ihre genaue Kontrolle von zentraler Bedeutung.
Auf der anderen Seite wird aber auch die Verbindung von Privilege Management zum traditionellen IAM immer wichtiger. Gemeinsam genutzte Benutzerkonten müssen ein Manager haben, der beim Job-Wechsel des bisherigen Managers angepasst wird – eine Aufgabe für das Identity Provisioning. Für hoch privilegierte Konten muss besonders genau geprüft werden, ob die Berechtigungen noch benötigt werden – eine Aufgabe für die Access Governance. Flexible und starke Authentifizierungsmechanismen müssen unterstützt werden – eine Aufgabe für die adaptive Authentifizierung. Hier sind Schnittstellen zu anderen Bereichen des IAM wichtig, um integrierte Lösungen realisieren zu können.
Was bei der Entwicklung deutlich wird ist, dass die Lösungen, die vor allem auf die Verwaltung von Kennwörtern für gemeinsam genutzte Benutzerkonten ausgerichtet sind, sich immer mehr zu einem Nischenprodukt entwickelt. Privilege Management-Lösungen müssen stärker die Laufzeitfunktionalität unterstützen und sich gut mit anderen IAM-Bausteinen integrieren. Damit verändert sich auch der Markt für solche Lösungen. Das sollte berücksichtigt werden, wenn man solche Lösungen auswählt, aber auch bei der Überprüfung der vorhandenen Produkte, die gegebenenfalls um neue Bausteine ergänzt werden müssen.
In jedem Fall ist das Privilege Management aber eine Funktion, die in jedem Netzwerk vorhanden sein sollte, um die Risiken durch Fehlverhalten von Mitarbeitern, durch interne und durch externe Angriffe zu reduzieren.
* Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.
(ID:44441664)
:quality(80)/p7i.vogel.de/wcms/d7/f8/d7f810045d218a1bf1d3567864a3a0be/0108707706.jpeg "Im Rahmen der Konferenz Oktane22 stellte Okta verschiedene Neuheiten vor. (Bild: Okta)")
:quality(80)/p7i.vogel.de/wcms/b7/77/b7778f0f670e34b6ff10b1f6c16da1b0/0103690990.jpeg "Christian Götz von CyberArk erläutert, wie sich Schatten-Admins mithilfe einer ACL-Analyse ermitteln lassen – ein wichtiger Schritt auf dem Weg hin zu einem Domänennetzwerk. (Bild: CyberArk)")