Berechtigungen entziehen

Daniel Wirth, Senior Managing Consultant Identity and Access Management bei IBM Security, stimmt Carson zu: „Die Zielsetzung ist, einen IT-Nutzer stets mit den für die fachliche Tätigkeit erforderlichen Zugriffsberechtigungen auszustatten, insbesondere aber auch nicht länger notwendige Berechtigungen zu entziehen.“

Die erteilten Zugriffsrechte müssten während der gesamten Zeit im Unternehmen „vom Eintritt bis zum Austritt eines IT-Anwenders“ kontinuierlich angepasst und regelmäßig überprüft werden. Sie sollten zudem transparent und nachvollziehbar sein, um Compliance-Regularien wie MaRisk, ISO 27000, DSGVO oder BAIT/VAIT zu entsprechen. Daneben betont Wirth weitere wesentliche Punkte, die zu beachten seien, etwa ein automatischer Entzug von Rechten beim Ausscheiden oder dem Abteilungswechsel eines Mitarbeiters sowie eine Minimierung des Risikos durch eine konsequente Trennung der Aufgaben.

Dies lasse sich nur durch einen kombinierten Einsatz von sowohl IAM- als auch PAM-Lösungen erreichen. Wirth weist jedoch auch auf einen möglichen Nachteil hin: „Bei Ausfall der Lösung ist weder ein administrativer Zugriff auf Systeme noch der Start einer Anwendung mit einem Service-Konto möglich.“ Trotzdem stelle der potenzielle Missbrauch von privilegierten Zugriffsberechtigungen ein erhebliches Risiko für Unternehmen dar. Neben einer sicheren Authentifizierung nennt der IBM-Consultant auch eine Nachvollziehbarkeit der Aktivitäten aller Administratoren mittels Session Recording und die sichere Speicherung und Bereitstellung ihrer dabei verwendeten Passwörter als Anforderungen, die eine Lösung für das Privileged Account Management erfüllen sollte.

Dazu müsse ein Zugriffsmodell definiert werden, das folgende Kernfragen beantwortet:

Gegen den Ausfall des PAM-Systems kann man sich laut Wirth zudem mit einem manuellen Notfallverfahren wappnen. Er nennt dies einen „Breaking-Glass-Zugriff“. Dieser dient dazu, trotzdem einen administrativen Zugriff auf die jeweilige Systemlandschaft garantieren zu können.

Auf ein grundlegendes Problem weist Amir Alsbih, CEO des Anbieters KeyIdentity hin: „Ab einer gewissen Anzahl von Accounts schleichen sich falsche Berechtigungen ein.“ Das führe zu Problemen bei der Einhaltung von Compliance-Vorgaben und erhöhe die Risiken für das Unternehmen. KeyIdentity ist auf die Bereiche Identitätsmanagement und Multifaktor-Authentifizierung spezialisiert.

Wie Alsbih erklärt, lösen Identity and Access Management und Privileged Account Management zwei unterschiedliche Probleme: „IAM stellt die Nachvollziehbarkeit von digitalen Identitäten und deren Beweisbarkeit sicher. Es berechtigt Personen ausschließlich zu den ihnen zugewiesenen Tätigkeiten. Das PAM hingegen sorgt dafür, dass Personen mit hohen Rechten (Administratoren) diese nicht missbrauchen.“ Das gelte sowohl für einen vorsätzlichen als auch einen nicht bewussten Missbrauch.

„Wenn administrative Benutzer ohne jegliche Kontrolle das System verändern oder Daten kopieren können, stellt dies eine potenzielle Bedrohung für jede Organisation dar.“ Edward Snowden sei ein bekanntes Beispiel für einen Administrator, der seine Rechte ausgenutzt habe.

KeyIdentity-CEO Alsbih rät Unternehmen, die konkrete Risiken durch administrative Accounts verringern wollen, bei der Wahl einer PAM-Lösung auf folgende Funktionen zu
achten:

„Je mehr Informationen zur Identifizierung verarbeitet werden können, umso höher ist auch der Sicherheits-Level“, fügt Pascal Jacober hinzu. Er ist Sales Manager für die DACH-Region bei Ping Identity, einem ebenfalls auf Identitätslösungen spezialisierten Unternehmen.

Jacober betont, dass ein Rundum-Schutz immer schwieriger werde: „Die digitalen Identitäten nehmen zu.“ Als Beispiele für diesen Trend nennt er Anmeldungen bei Business-Applikationen, den Zugang zu Cloud-Diensten sowie den Zugriff auf möglicherweise sensible Daten. Zudem würden die Nutzer immer mobiler, sodass eine sichere Authentifizierung ortsunabhängig und auf allen Geräten gebraucht werde. Es seien deswegen Plattformen gefragt, die „schnell und komfortabel arbeiten und Anwender ohne Eingabehürden und Latenzzeiten authentifizieren“.