Privileged Account Management (PAM)

„Identity and Access Management allein wird der Aufgabe nicht mehr gerecht“, sagt auch Stefan Rabben, Area Director DACH & Eastern Europe bei Wallix. Der französische Anbieter von Security-Lösungen beschäftigt sich auch mit privilegierten Accounts und ihrem Schutz.

Genau diese Benutzerkonten benötigen nach Ansicht von Rabben einen höheren Sicherheitsstandard. Wenn ein Unternehmen sie nur genauso schütze wie normale Accounts, dann sei das, so Rabben, „als würde man einen Banktresor mit einem Fahrradschloss schützen“. Ein Privileged Account Management könne für die Einhaltung der Vorgaben sorgen, die zum Beispiel das IAM macht. Ähnlich wie die Polizei überwache es „Aktivitäten durch privilegierte Identitäten am Zielsystem, protokolliert sie und greift bei regelwidrigen Handlungen aktiv ein“.

Rabben tritt zudem dafür ein, dass die Zugangsdaten für privilegierte Konten an kritischen Systemen dem Wartungspersonal und den Administratoren nicht mehr bekannt sein sollten. „So können die Auswirkungen eines Identitätsdiebstahls privilegierter Accounts minimiert werden.“ Stattdessen sollten diese Zugangsdaten zentral in einem sicheren Passwort-Vault verwahrt werden. Das ermögliche komplexe, durch das System generierte, rotierende Passwörter. Die Maßnahme habe den Vorteil, dass erweiterte Berechtigungen passend zur Aufgabe am Zielsystem vergeben werden könnten und nicht mehr generell einer Person zugeordnet werden müssten, wie es oft noch üblich sei.

IAM- und PAM-Lösungen sind auch nach Ansicht von Martin Grauel unverzichtbar. Grauel ist EMEA Technical Sales Manager bei One Identity, einem Spezialisten für Identity Governance, Zugriffssteuerung und die Verwaltung privilegierter Konten. Aktuelle IAM-Lösungen müssten ihre Funktionen innerhalb der gesamten Infrastruktur bereitstellen, die ein modernes Unternehmen heute nutzt, also sowohl On-Premise als auch in der Cloud und in hybriden Umgebungen. Systeme zum Schutz privilegierter Accounts seien dabei „ein wichtiger Baustein eines IAM-Gesamtkonzepts und nicht davon losgelöst“.

Privilegierte Konten sind im Geschäftsalltag unbedingt erforderlich. Aber sie bergen auch erhebliche Risiken, wenn sie nicht ausreichend geschützt werden. Sie sind der Schlüssel zu wertvollen Unternehmensdaten, der auf keinen Fall in die falschen Hände geraten darf.

Unternehmen können sich jedoch wappnen. Ein IAM-System reicht für die Aufgabe, diese Art Identitätsdiebstahl zu verhindern, allein nicht aus. Besser ist es, die meist bereits genutzte Lösung für das Identitätsmanagement um ein PAM-System zum Schutz der privilegierten Accounts zu erweitern. Damit werden alle Administrator-Sitzungen aufgezeichnet, gespeichert und auf potenziell verdächtige Aktivitäten untersucht.

Schutzmaßnahmen für Konten

Martin Grauel, EMEA Technical Sales Manager bei One Identity, empfiehlt diese Maßnahmen, um privilegierte Konten zu schützen:

Setzen Sie das Prinzip der minimalen Rechtevergabe durch. Privilegierte Nutzer sollten nur genau über die Rechte verfügen, die sie benötigen, um ihre beruflichen Aufgaben zu erfüllen.
Schreiben Sie eine starke Authentifizierung für privilegierte Nutzer vor. Es ist von entscheidender Wichtigkeit, über eine ausreichend sichere Identifikation solcher Hochrisiko-Benutzer zu verfügen.
Nutzen Sie maschinelles Lernen, um den potenziellen Missbrauch von privilegierten Konten zu erkennen. Die Verhaltensanalyse von privilegierten Nutzern verfolgt administrative Aktivitäten und stellt sie in Echtzeit dar und liefert dadurch ein besseres Verständnis davon, was sich tatsächlich in Ihrer IT-Umgebung abspielt. So decken Sie auch mögliche Risiken auf.
Führen Sie Trainings durch, die das Sicherheitsbewusstsein schärfen. Eine Belegschaft, die in Bezug auf Security Awareness gut geschult ist, ist ein essenzieller Bestandteil für jedes Programm zur Bedrohungsabwehr. Mitarbeiter, die Risiken verstehen, können durch ihr Verhalten und ihren Einfluss dazu beitragen, Richtlinien umzusetzen.

Privileged Account Management (PAM)

Grenzen des Managements

Fazit

Mehr zum Thema