Privileged Account Management (PAM)

Berechtigungen entziehen

von - 04.01.2019
Unternehmen, die verwaiste Accounts nicht schließem
Quelle: Thycotic
Daniel Wirth, Senior Managing Consultant Identity and Access Management bei IBM Security, stimmt Carson zu: „Die Zielsetzung ist, einen IT-Nutzer stets mit den für die fachliche Tätigkeit erforderlichen Zugriffsberechtigungen auszustatten, insbesondere aber auch nicht länger notwendige Berechtigungen zu entziehen.“
Die erteilten Zugriffsrechte müssten während der gesamten Zeit im Unternehmen „vom Eintritt bis zum Austritt eines IT-Anwenders“ kontinuierlich angepasst und regelmäßig überprüft werden. Sie sollten zudem transparent und nachvollziehbar sein, um Compliance-Regularien wie MaRisk, ISO 27000, DSGVO oder BAIT/VAIT zu entsprechen. Daneben betont Wirth weitere wesentliche Punkte, die zu beachten seien, etwa ein automatischer Entzug von Rechten beim Ausscheiden oder dem Abteilungswechsel eines Mitarbeiters sowie eine Minimierung des Risikos durch eine konsequente Trennung der Aufgaben.
Dies lasse sich nur durch einen kombinierten Einsatz von sowohl IAM- als auch PAM-Lösungen erreichen. Wirth weist jedoch auch auf einen möglichen Nachteil hin: „Bei Ausfall der Lösung ist weder ein administrativer Zugriff auf Systeme noch der Start einer Anwendung mit einem Service-Konto möglich.“ Trotzdem stelle der potenzielle Missbrauch von privilegierten Zugriffsberechtigungen ein erhebliches Risiko für Unternehmen dar. Neben einer sicheren Authentifizierung nennt der IBM-Consultant auch eine Nachvollziehbarkeit der Aktivitäten aller Administratoren mittels Session Recording und die sichere Speicherung und Bereitstellung ihrer dabei verwendeten Passwörter als Anforderungen, die eine Lösung für das Privileged Account Management erfüllen sollte.
Daniel Wirth
Daniel Wirth
Senior Managing Consultant IAM bei IBM Security
Foto: IBM
„Der potenzielle Missbrauch von privilegierten Zugriffs­berechtigungen stellt ein erhebliches Risiko für Unternehmen dar.“
Dazu müsse ein Zugriffsmodell definiert werden, das folgende Kernfragen beantwortet:
  • Was sind besonders kritische Assets?
  • Wer soll Zugriff auf was haben?
  • Wer muss genehmigen?
  • Wer überprüft welche Berechtigungen in welchen Zyklen?
  • Wie wird sichergestellt, dass die privilegierten Berechtigungen eines austretenden Mitarbeiters gesperrt werden?
Gegen den Ausfall des PAM-Systems kann man sich laut Wirth zudem mit einem manuellen Notfallverfahren wappnen. Er nennt dies einen „Breaking-Glass-Zugriff“. Dieser dient dazu, trotzdem einen administrativen Zugriff auf die jeweilige Systemlandschaft garantieren zu können.

Erhöhte Risiken

Auf ein grundlegendes Problem weist Amir Alsbih, CEO des Anbieters KeyIdentity hin: „Ab einer gewissen Anzahl von Accounts schleichen sich falsche Berechtigungen ein.“ Das führe zu Problemen bei der Einhaltung von Compliance-Vorgaben und erhöhe die Risiken für das Unternehmen. KeyIdentity ist auf die Bereiche Identitätsmanagement und Multifaktor-Authentifizierung spezialisiert.
Wie Alsbih erklärt, lösen Identity and Access Management und Privileged Account Management zwei unterschiedliche Probleme: „IAM stellt die Nachvollziehbarkeit von digitalen Identitäten und deren Beweisbarkeit sicher. Es berechtigt Personen ausschließlich zu den ihnen zugewiesenen Tätigkeiten. Das PAM hingegen sorgt dafür, dass Personen mit hohen Rechten (Administratoren) diese nicht missbrauchen.“ Das gelte sowohl für einen vorsätzlichen als auch einen nicht bewussten Missbrauch.
„Wenn administrative Benutzer ohne jegliche Kontrolle das System verändern oder Daten kopieren können, stellt dies eine potenzielle Bedrohung für jede Organisation dar.“ Edward Snowden sei ein bekanntes Beispiel für einen Administrator, der seine Rechte ausgenutzt habe.
Pascal Jacober
Pascal Jacober
Sales Manager für die DACH-Region bei Ping Identity
Foto: Ping Identity
„Die digitalen Identitäten nehmen zu.“
KeyIdentity-CEO Alsbih rät Unternehmen, die konkrete Risiken durch administrative Accounts verringern wollen, bei der Wahl einer PAM-Lösung auf folgende Funktionen zu
achten:
  • Erstellung präziser Audit-Trails für jede Aktion eines privilegierten Nutzers
  • Beschränkung des Zugangs zu Systemen in zeitlicher oder funktioneller Hinsicht
  • Limitierung des Zugriffs auf bestimmte Systeme
  • Nachvollziehbarkeit ermöglichen
„Je mehr Informationen zur Identifizierung verarbeitet werden können, umso höher ist auch der Sicherheits-Level“, fügt Pascal Jacober hinzu. Er ist Sales Manager für die DACH-Region bei Ping Identity, einem ebenfalls auf Identitätslösungen spezialisierten Unternehmen.
Jacober betont, dass ein Rundum-Schutz immer schwieriger werde: „Die digitalen Identitäten nehmen zu.“ Als Beispiele für diesen Trend nennt er Anmeldungen bei Business-Applikationen, den Zugang zu Cloud-Diensten sowie den Zugriff auf möglicherweise sensible Daten. Zudem würden die Nutzer immer mobiler, sodass eine sichere Authentifizierung ortsunabhängig und auf allen Geräten gebraucht werde. Es seien deswegen Plattformen gefragt, die „schnell und komfortabel arbeiten und Anwender ohne Eingabehürden und Latenzzeiten authentifizieren“.
IAM, PAM und PIM: Was ist was?
Im Bereich Identitätsmanagement sorgen ähnlich klingende Abkürzungen immer wieder für Verwirrung.
Identity and Access Management (IAM): Mit IAM sind alle Lösungen gemeint, die sich vornehmlich auf die Bereitstellung von Accounts im Unternehmen konzentrieren. Ein wichtiger Baustein ist das in vielen IT-Umgebungen vorhandene Active Directory, das zur Verwaltung der internen Nutzer dient.
Privileged Account Management (PAM): Die Abkürzung PAM steht für Privileged Account Management, aber auch für Privi­leged Access Management. Bei Ersterem geht es darum, die Benutzerkonten mit erweiterten Rechten zu verwalten, bei Zweiterem, sich um deren Zugriffsrechte zu kümmern. Ein Beispiel dafür ist etwa die Frage, wer was im Netzwerk darf.
Privileged Identity Management (PIM): Es gibt Anbieter, die für ihre Lösungen die Bezeichnung Privileged Identity Management verwenden. Die Frage ist, ob derjenige, der eine bestimmte Aktion ausführen will, auch tatsächlich der Befugte ist. Ob nun PAM oder PIM, es geht dabei also immer um den Schutz von privilegierten Accounts in Unternehmen.
Verwandte Themen