Mehrwert durch Privileged Access Management

Unterschätzte Risiken durch ungeschützte Accounts

| Autor / Redakteur: Stefan Rabben / Peter Schmitz

Privileged Access Management hilft Unternehmen vor allem die besonders gefährdeten Konten mit erweiterten Zugriffsrechten einfach und übersichtlich zu verwalten und zu schützen.
Privileged Access Management hilft Unternehmen vor allem die besonders gefährdeten Konten mit erweiterten Zugriffsrechten einfach und übersichtlich zu verwalten und zu schützen. (Bild: gemeinfrei)

IT-Entscheider wissen, dass sich die Gefahren­lage grundlegend verändert hat und dringend Handlungsbedarf besteht. Es gibt aber wenig Einigkeit bei der richtigen Auswahl der Sicherheitsmechanismen. Scheinbar immer intelligentere Tools versprechen umfassenden Schutz. Dabei sollte man sich vor Augen führen, was die dringendsten Problemfelder sind.

Bereits Anfang 2019 wurde die Rekordmenge von 2,2 Milliarden E-Mail-Adressen und dazugehörigen Passwörtern durch die unter dem Namen "Collection #1-#5" bekannt gewordenen Datensammlungen veröffentlicht. Die Hintermänner verweisen zudem darauf, dass die Daten für "Credential Stuffing" nutzbar sind. Dabei füttert man Log-in-Mechanismen von Accounts automatisch mit E-Mail- und Passwort-Kombinationen, um diese so zu übernehmen.

Die Anzahl von Accounts ist riesig – gerade in Unternehmen. E-Mail, Datenbanken, ERP und Bürosoftware haben User- und auch Administratorenkonten. Oftmals werden diese Angebote so eingerichtet, dass der Anwender keinen großen Schaden anrichten kann. Gefährlich wird es vor allem, wenn E-Mail-Adressen übernommen werden. Dies geschah beispielsweise im Fall der geleakten Informationen von Politikern. Den Hintermännern gelang es nach Übernahme der Mailzugänge die Kennwörter weiterer Konten, beispielsweise bei Social Media-Plattformen, ebenfalls zurückzusetzen.

Grundlagen der IAM-Systeme

Identity- und Access-Management (IAM)

Grundlagen der IAM-Systeme

18.01.19 - Identity- und Access-Management-Systeme übernehmen als zentrale Authentifizierungs­plattform die Aufgabe, Benutzer zu identifizieren und Zugriff auf genau die Ressourcen zu geben, die er benötigt. Idealerweise ermöglichen IAM-System dies nur zu den Zeiten, die dafür vorgesehen sind. Dazu regeln die Lösungen den Zugriff auf alle Assets im heterogenen Netz und sorgen gleichzeitig für die Erfüllung bestehender Compliance-Vorgaben. lesen

Konten mit erhöhter Sicherheitsfreigabe sind besonders schützenswert

Im professionellen Bereich gibt es ein vergleichbares Szenario. Viele Programme und Apps sind über APIs miteinander verbunden. Durch die zunehmende Vernetzung fällt es Angreifern immer leichter, Sicherheitsmechanismen auszumanövrieren – besonders dann, wenn Unternehmen nicht in der Lage sind, Prozesse mit erhöhter Sicherheitsfreigabe zu überwachen.

Entscheider sollten aus dem Angriff auf Politiker lernen, denn die meisten Cyberkriminellen hacken nicht wirklich. Sie manipulieren keine Software, sondern nutzen Fahrlässigkeit und die zunehmende Vernetzung von System für ihre Zwecke. Einfache Passwortmanager reichen dabei für Arbeitsalltag nicht aus, denn die meisten Organisationen sind sich nicht bewusst, welche Sicherheitsfreigaben mit bestimmten Accounts verknüpft sind.

Das Beispiel der riesigen Menge an Zugangsdaten, die abgegriffen wurden, verdeutlicht, dass freiwillige Vorgaben zu starken Passwörtern und regelmäßiger Änderung der Kennwörter nicht greifen. Speziell Konten mit erhöhter Sicherheitsfreigabe müssen aktiv verwaltet werden. Dabei geht es um mehr als den Schutz von Kennwörtern. Ein konkreter Fall, wo Privileged Access Management (PAM) einen deutlichen Mehrwert geliefert hätte, war der Vorfall bei Marriott. Dort stellte man erst im September 2018 fest, dass Angreifer bereits seit vier Jahren ungestört Daten entwenden und verschlüsseln. Nachdem Zusammenschluss von Marriott und Starwood Hotels wurden die Accounts nicht mehr richtig gepflegt. Sicherlich hätte PAM den ungewollten Zugriff nicht sofort unterbunden, allerdings wäre er deutlich früher erkannt und blockiert worden, da die Zugriffe als Anomalien an die Sicherheitsverantwortlichen gemeldet worden wären.

Trotzdem sind die meisten Unternehmen weit weg von sicheren Administratonskonten. Oftmals werden Accounts sogar geteilt. Mehrere Nutzer loggen sich mit denselben Credentials ein und Passwörter werden nicht geändert. Somit ist auch unklar, wer zu welchem Zeitraum Zugriff hatte und wer überhaupt über die Zugangsdaten verfügt. Auch können Personen ihre Zugangsberechtigungen nutzen, um Informationen bei einem Stellenwechsel einfach auf ihren neuen Arbeitgeber zu übertragen, falls ihnen der Zugriff nicht rechtzeitig entzogen wird. Es kommt sehr häufig vor, dass Zugriffsrechte für einen ehemaligen Mitarbeiter aktiviert bleiben, obwohl er das Unternehmen schon längst verlassen hat.

Die beliebtesten IAM-Systeme 2018

IT-Awards 2018

Die beliebtesten IAM-Systeme 2018

21.11.18 - Wenn es um die Verwaltung von Identitäten und Zugriffsrechten innerhalb eines Unternehmens und dessen Netzwerk geht, leisten Identity- und Access-Management-Systeme (IAM) wertvolle Arbeit. Sie sorgen für Authentifizierung und Autorisierung der Anwender und stellen zentrale Verwaltungs- und Überwachungsmög­lich­keiten bereit. IAM-Systeme sind ein wichtiger Teil jeder IT-Security- und Compliance-Strategie. lesen

Experten und Analysten empfehlen den Einsatz von PAM und Vorfälle wie massenhaft geleakte Zugangsdaten, Insider-Angriffe und gekaperte Accounts machen deutlich, dass PAM einen großen Sicherheitsmehrwert liefert. Zurzeit sind einige wenige Lösungen erhältlich, die für den europäischen Markt entwickelt wurden und an künftige Richtlinien angepasst werden können. Allgemeine Standards wie die ISO 27001 oder der BSI-Grundschutz, sind aktuelle Beispiele, die allerdings vorrangig als Orientierung dienen. Es ist also wahrscheinlich, dass neue Vorschriften folgen. In jedem Fall bieten PAM-Lösungen einen einzigartigen Weg zu effizienteren IT-Sicherheit und Compliance.

Es braucht eine einheitliche Lösung, die es Unternehmen erlaubt, vor allem Konten mit erweiterten Zugriffsrechten einfach und übersichtlich zu verwalten. Dabei werden die Nutzer klassifiziert und kategorisiert. Administratorenkonten mit erhöhter Sicherheitsfreigabe, beispielsweise für einen IT-Dienstleister, können gezielt überwacht werden. Accounts der Mitarbeiterinnen und Mitarbeiter werden ebenfalls in die Verwaltung mit einbezogen. Damit können alle Veränderungen in einer Organisation erfasst und integriert werden.

Fazit

Im Zeitalter der Digitalisierung muss PAM zum Standard jeder IT-Sicherheitsstrategie gehören. Als nach Beginn der 90er Jahre die ersten Viren zu einer Bedrohung wurden, wurden Anti-Virus und Firewall schnell zur Grundausstattung. Nachdem Schadsoftware ausgeklügelter wurde, folgten in den darauffolgenden Jahrzehnten Intrusion Prevention und SIEM-Lösungen. Durch Cloud Computing, IoT und M2M ist es heute für die meisten Organisationen ein logischer Schritt auf PAM zu setzen.

PAM hilft die Workflows der Anwender individuell zu prüfen, um so festzustellen, ob ihre Aktionen legitim sind. Zugriffsrechte können einfach begrenzt werden, sodass die Administratoren bestimmte Vorgänge in zeitlich beschränkten Zugangsfenstern ansetzen können. Dies ermöglicht die Planung von Aufgaben und gewährleistet gleichzeitig Schutz. Auf diese Weise können unerwünschte Zugriffe erkannt und unterbunden werden.

Über den Autor: Stefan Rabben ist Area Sales Director DACH and Eastern Europe bei Wallix.

Der richtige Zugriffsschutz für die eigene IAM-Strategie

PAM vs. SSO vs. Password Manager

Der richtige Zugriffsschutz für die eigene IAM-Strategie

25.06.18 - Anwender nutzen immer mehr unterschiedliche Services und fast jedes dieser Systeme verlangt eine Authentifizierung durch Benutzername und Passwort. Egal, ob Unternehmen für eine gesicherte Anmeldung auf PAM (Privileged Access Management), SSO (Single Sign-On) oder Passwort-Management setzen: Jedes Tool spielt eine bestimmte Rolle im Identity and Access Management (IAM). lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45860201 / Benutzer und Identitäten)