Administrative Berechtigungen im Unternehmen verwalten

Zugriffssteuerung mittels Privilege Management

| Redakteur: Stephan Augsten

Privilege Management sorgt für einen weitreichenden Zugriffsschutz.
Privilege Management sorgt für einen weitreichenden Zugriffsschutz. (Bild: Archiv)

Das Privilege Management für das Identity- und Access-Management extrem wichtig. Um die Informationssicherheit zu wahren, muss man die Risiken durch Zugriffe privilegierter Benutzer beschränken. Welche das sind und welche Maßnahmen zu ergreifen sind, wird aber durchaus unterschiedlich beurteilt.

Beim Identity and Access Management (IAM) gibt es mittlerweile ein eigenes Marktsegment mit Angeboten für das Privilege Management. Dieses kürzen wir mit PxM ab, da die Hersteller selbst ähnliche Lösungen in diesem Fall ganz verschieden bezeichnen.

Mal findet man die Begriffe des Privileged Access Management oder Privileged Account Management (PAM), dann spricht man wieder vom Privileged User Management (PUM) oder auch vom Privileged Identity Management (PIM). Auch Begriffe wie Root Account Management für technisch meist sehr fokussierte – um nicht zu sagen limitierte – Lösungen finden sich im Markt.

Da zwischen den Marketingabteilungen verschiedener Anbieter ebenso wenig Einigkeit herrscht, bedeutet PAM beim einen Hersteller auch nicht unbedingt das Gleiche wie beim anderen. PxM als Abkürzung und Privilege Management als Oberbegriff sind daher die geeignetsten Begriffe für dieses Marktsegment.

Traditionell gibt es beim Privilege Management zwei Stoßrichtungen. Die eine zielt auf die zeitliche oder funktionale Einschränkung von administrativen Berechtigungen ab, primär auf Systemebene. Die andere fokussiert darauf, dass Kennwörter von gemeinsam genutzten Konten sicher verwaltet und regelmäßig, meist nach einmaliger Nutzung, geändert werden.

Fokus auf administrativen Rechten

Beide Varianten sind aber primär auf die administrativen Benutzer wie root, den Windows-Administrator, Administratoren von Netzwerk-Komponenten, Datenbank-Administratoren und dergleichen mehr ausgerichtet. Diese Ansätze sind in den vergangenen Jahren immer mehr zusammengewachsen.

Die heutigen führenden PxM-Suiten bilden typischerweise Funktionen aus beiden Bereichen ab und ergänzen diese um weitere Funktionen. Zu den wichtigsten zählen hierbei die automatische Identifikation von Systemkonten auf lokalen Windows-Rechnern, Schnittstellen für den Ersatz von Klartext-Zugangsdaten in JDBC-Konfigurationsdateien oder Skripten sowie um Aufzeichnungsfunktionen für administrative Aktivitäten.

Auf der anderen Seite wird von diesen Lösungen dennoch nur ein Teil der privilegierten Aktivitäten abgedeckt. Administratoren auf Anwendungsebene, beispielsweise innerhalb von SAP-Systemen, werden in der Regel kaum in ihrer Handlungsfreiheit eingeschränkt. Gleiches gilt für Benutzer, die für sich genommen kritische Berechtigungen in einzelnen Systemen haben und beispielsweise große finanzielle Transaktionen genehmigen können.

Dieser Bereich eines Privilege Managements im erweiterten Sinne wird eher von Lösungen aus der Produktkategorie Access Governance adressiert. Mit solchen Lösungen können Zugriffsberechtigungen vergeben und analysiert werden. Vergebene Berechtigungen lassen sich außerdem überprüfen und bei Bedarf entziehen, außerdem kann man Regeln für die Funktionstrennung aufstellen und durchsetzen.

Bei genauer Betrachtung sollten diese beiden Funktionsbereiche eigentlich viel enger integriert sein. Es handelt sich in allen Fällen um Zugriffsrisiken, die aus unterschiedlichen Gründen entstehen können. Eine Gesamtsicht auf diese Risiken, eine Rezertifizierung aller kritischen Konten, eine strukturierte Verwaltung von gemeinsam nutzbaren Benutzerkonten – all das sind Bereiche, in denen diese Technologien deutlich überlappen.

Allerdings gibt es – von einigen Ausnahmen und einzelnen Schnittstellen bei verschiedenen PxM-Produkten abgesehen – noch keine Komplettlösungen für das Privilege Management. Umso wichtiger ist es, dass Kunden das Thema ganzheitlich betrachten und überlegen, welche verschiedenen Technologien (Access Governance, PxM, GRC-Lösungen für SAP oder auch Database Security) wie ineinander greifen müssen, um eine Gesamtlösung zu realisieren. Nur dann kann man auch zu einer zentralen Steuerung, Überwachung sowie Verringerung und Vermeidung von Zugriffsrisiken kommen.

Über den Autor

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 38289120 / Benutzer und Identitäten)