com!-Academy-Banner
Privileged Account Management (PAM)

Privilegierte Nutzerkonten als große Gefahr

von - 18.12.2019
Sicherheit
Foto: Titima Ongkantong / shutterstock.com
Je weitreichender die Rechte eines Nutzers sind, desto attraktiver ist sein Konto als Angriffsziel. Das höchste Risiko besteht für Domain-Administratoren.
Unsichere Verahren bei Passwörtern
(Quelle: CyberArk )
Privilegierte Konten etwa von Administratoren sind für Angreifer attraktiv, da sie direkten Zugriff auf vertrauliche Daten und kritische Systeme bieten. Umfassenden Schutz bieten hier Lösungen für Privileged Account Management (PAM).
Es war der Super-GAU für die Hotelkette Marriott: Der Konzern musste Ende 2018 bekannt geben, dass ihm Daten von bis zu einer halben Milliarde Gäste gestohlen wurden. Im Fall von 327 Millionen Hotelgästen ging es um Informationen wie Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdatum sowie den Aufenthaltszeitraum. Bei weiteren Gästen konnten Hacker auch verschlüsselte Kreditkartendaten erbeuten, zum Teil wohl auch inklusive der Dateien zur Entschlüsselung.
Betroffen war die Tochtermarke Starwood, zu der unter anderem Westin, Sheraton und Le Méridien gehören. Marriott hatte Starwood im Jahr 2016 gekauft, und damit auch die seit 2014 infiltrierte Datenbank des Unternehmens übernommen. Da nach der Übernahme die Datenbanken von Marriott und Starwood miteinander verknüpft wurden, konnten sich die Hacker zumindest teilweise auch in den Systemen von Marriott einnisten. An die sensiblen Kundendaten gelangten sie über gekaperte privilegierte Accounts, die ihnen dank ihrer weitreichenden Rechte den Zugriff auf vertrauliche Informationen erlaubten.
Mit einer Lösung für Privileged Account Management (PAM) wäre das nicht passiert. Sie zeichnet alle Administrator-Sitzungen auf, speichert sie und untersucht sie auf potenziell verdächtige Aktivitäten. Als zentrales Zugangsportal für sämtliche privilegierte Zugriffe bietet PAM einen hohen Automatisierungsgrad beim Session und Passwort Management. Zudem sorgt es für die Überwachung und aktive Kontrolle während des Zugriffs auf das Zielsystem selbst, sei es On-Premise oder in der Cloud.

Besonderer Schutz notwendig

Privilegierte Benutzer-Accounts wie „Administrator“ oder „root“ weisen grundsätzlich den direkten Weg zu wertvollen Daten und zu den Kronjuwelen eines Unternehmens. IT-Teams geben über diese Zugänge Daten im Netzwerk frei, installieren Software oder überwachen wichtige Netzwerkgeräte zum Schutz vor Bedrohungen. „Privilegierte Nutzer bewegen sich im Inneren der IT-Systeme. Sie haben praktisch den Schlüssel zum Königreich, können auf sämtliche Kundendaten zugreifen oder Funktionen beeinflussen“, erläutert Pascal Jacober, Sales Manager für die DACH-Region bei Ping Identity, einem auf Identitätslösungen spezialisierten Unternehmen. „Das Problem: Diese Super-User oder Admins können auch Logs löschen und damit ihre Spuren verwischen.“
Pascal Jacober
Pascal Jacober
Sales Manager DACH bei Ping Identity
www.pingidentity.com/de
Foto: Ping Identity
"Privilegierte Nutzer bewegen sich im Inneren der IT-Systeme. Sie haben praktisch den Schlüssel zum Königreich, können auf sämtliche Kundendaten zugreifen"
Die Schäden sind also groß, wenn Unbefugte in den Besitz von administrativen Zugangsdaten gelangen. Denn dann können sie sich in unternehmenskritischen Systemen, Applikationen und Daten frei bewegen und nach Belieben schalten und walten. Deshalb müssen Unternehmen privilegierte Konten besonders sichern. Die aktuelle Relevanz des Themas bestätigen auch die Marktforscher von Gartner. Sie haben Privileged Access Management bereits im zweiten Jahr in Folge als das wichtigste Sicherheitsprojekt für Unternehmen eingestuft.

IAM reicht nicht aus

Doch warum ist es eigentlich notwendig, die privilegierten Benutzerkonten mit einer speziellen Lösung zu schützen? Reicht eine klassische Lösung für Identity und Access Management (IAM) zur Verwaltung von Identitäten und deren Zugriffsrechten nicht aus?
„Die Grenzen zwischen IAM und PAM sind fließend. Manche IAM-Lösungen decken zwar auch PAM-Funktionen ab, aber nicht in der Tiefe und Breite, die für den Schutz privilegierter Accounts wirklich notwendig wäre“, sagt Matthias Zacher, Senior Consulting Manager bei IDC. IAM-Lösungen decken laut Zacher den Basis-User im Business-Kontext (Wer darf was?) ab und weisen den Mitarbeitern Rechte gemäß ihrer Rolle und Position im Unternehmen zu - über den gesamten Lebenszyklus hinweg (Joiner - Mover - Leaver). „Das bleibt an der Oberfläche, da sich die normalen Nutzer auf dem System bewegen und nicht in den inneren Kern gelangen“, so Zacher weiter.
Pascal Jacober von Ping Identity bestätigt diese Sichtweise. „IAM und PAM sind zwei verschiedene Welten. IAM berechtigt Personen auf hoher Ebene ausschließlich zu den ihnen zugewiesenen Tätigkeiten und stellt die Beweisbarkeit von digitalen Identitäten sicher. PAM geht tiefer und verhindert, dass Administratoren und andere privilegierte Accounts ihre Rechte nicht missbrauchen.“
Wer braucht eine PAM-Lösung?
Für kleinere Unternehmen oder Bürogemeinschaften lohnt sich die Anschaffung einer Lösung für Privileged Account Management wohl eher nicht, da sie nur über wenig privilegierte Accounts verfügen. Komplexer wird es mit steigender Größe. PAM ist speziell für Unternehmen ratsam, die mindestens eines der folgenden Kriterien erfüllen:
  • Externe Dienstleister oder Partner wie Service Provider, IT-Dienstleister, Entwickler, Zulieferer, Wartungspersonal etc. haben Zugriff auf Teile der IT-Infrastruktur
  • Die IT-Infrastruktur ist komplex und hochgradig vernetzt. Es existiert ein bunter Mix aus verschiedenen privilegierten Benutzerkonten mit unterschiedlichen Administratorengruppen (Domäne, Anwendungen, Server), Super Usern in den Fachabteilungen und diversen maschinellen System-Accounts
  • Einsatz, Management und Überwachung von IoT-Geräten aller Art
  • Hoher Grad an vernetzen und automatisierten Prozessen in Produktion, E-Commerce, Marketing etc.
  • Viele Anwendungen oder virtuelle Maschinen laufen in der Cloud
  • Vorgaben müssen erfüllt werden (ISO 27001, DSGVO, BSI, PCI DSS etc.)
  • Folgende Sicherheitslösungen sind schon im Unternehmen vorhanden: Multi-Faktor-Authentifizierung, IAM (Identity & Access Management), SIEM (Security Information & Event Management) oder DLP (Data Loss Prevention)
Verwandte Themen