Die Nutzung sicherer Kennwörter ist nicht genug

Dass Unternehmen verstärkt versuchen, ihre Infrastruktur und ihre Mitarbeiter bestmöglich abzusichern, verwundert angesichts der sich rapide verschärfenden Bedrohungssituation in Sachen IT-Sicherheit kaum. Auch um regulatorischen Vorgaben wie der DSGVO Rechnung zu tragen, ist eine Intensivierung der Cybersicherheit eine Notwendigkeit geworden.

Der Schlüssel zur Gewährleistung einer nachhaltigen IT-Sicherheit ist die Absicherung der Zugänge zu den Unternehmenssystemen. Speziell User Accounts, die mit besonderen Privilegien ausgestattet sind, bedürfen hierbei einer besonderen Aufmerksamkeit. Das gilt beispielsweise für Administratoren, Mitarbeiter im technischen Support sowie externe Dienstleister (beispielsweise Managed Service Provider). Da diese Benutzer besonders weitreichende Berechtigungen benötigen, um ihrer Arbeit nachzugehen, stehen sie aber auch verstärkt im Fokus von Cyberkriminellen. Einmal erbeutete Zugangsdaten für einen solchen privilegierten Account, erlauben es den Angreifern viel tiefer in ein Unternehmen vorzudringen, als es mit einer normalen Benutzerberechtigung der Fall wäre. Aus diesem Grund ist hier der bloße Einsatz von komplexen Passwörtern – wie sie heute in der Regel gefordert werden – beileibe nicht ausreichend.

Anzeige


Paradigmenwechsel beim Zugangsschutz 

Stattdessen bedarf es zur nachhaltigen Absicherung von Unternehmensressourcen eines Paradigmenwechsels aufseiten der IT-Verantwortlichen. Denn selbst das ausgefallenste Kennwort kann Angreifern in die Hände fallen. Ob sie dessen mittels Brute-Force-Angriffen – bei denen ein starkes Passwort tatsächlich den Cyberkriminellen die Arbeit zumindest erschwert – oder Phishing habhaft werden, spielt dabei keine Rolle. Vor fremdem Zugriff vollkommen sicher sind Login-Daten im Grunde nie. Auf lange Sicht mag es möglich sein, gänzlich auf Kennwörter zu verzichten, doch für den Moment gilt es viel mehr sich der Frage zu stellen, wie sich Mitarbeiterkonten und insbesondere privilegierte Accounts bestmöglich schützen lassen. Hier spielt das sogenannte Privileged Access Management (PAM) seine Stärken aus.

Anders als es bei Identity-Management-Lösungen (IdM) der Fall ist, die allgemein das Management aller Nutzer zum Ziel haben, widmet sich PAM vor allem dem eigentlichen Zugriff. Dieser wird vollständig für die komplette Dauer einer Sitzung abgesichert. Somit dienen PAM-Lösungen als Ergänzung zu IdM und stellen sicher, dass entsprechende Sicherheitsrichtlinien individuell für das Profil eines Benutzers eingehalten werden. 

Anzeige

Access Manager

Der Access Manager dient dazu, die Zugriffsrechte der Nutzer individuell zu verwalten. Zudem können mit seiner Hilfe generelle und rollenbasierte Richtlinien ergänzt werden. Er ist innerhalb einer PAM-Lösung das zentrale Zugangsportal. Mittels des Access Manager können die Benutzer auf das von ihnen benötigte Zielsystem zugreifen oder den Zugang hierzu beantragen. Für Unternehmen hat das den Vorteil, dass sie nicht länger eine Schnittstelle zum Fernzugriff in ihrer Firewall benötigen, was zu einer Stärkung ihres Perimeters beiträgt. Darüber hinaus kann auch auf die Nutzung eines VPNs verzichtet werden, da bereits der Access Manager eine abgesicherte Verbindung zum Zielsystem ermöglicht. Es ist somit auch nicht mehr möglich, auf das entsprechende System direkt zugreifen zu können.

Sofern dieser Ansatz konsequent umgesetzt wird, verringert sich damit auch die Gefahr von Insider-Attacken. Hierbei sind vor allem ehemalige Mitarbeiter aufgrund von Fahrlässigkeit oder Vorsatz für Schäden an der Unternehmens-IT verantwortlich. Oftmals wird dieser Bedrohung jedoch nicht die Aufmerksamkeit zuteil, die ihr aufgrund der potenziellen Schäden gerecht werden würde. Denn durch Insider Attacken kommt es immer wieder zu großen Schäden aufseiten der Unternehmen. Der möglicherweise zusätzlich entstehende Schaden für den Ruf der Organisation, sollten derlei Vorfälle öffentlich werden, ist hierbei noch nicht miteinbezogen. Aktuell fallen bei Insider-Angriffen durchschnittlich Schäden in einer Höhe von mehr als 300.000 US-Dollar an. Das ist das Ergebnis einer Studie des Ponemon Institute im Auftrag von Proofpoint und IBM, die vor kurzem veröffentlicht wurde.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Password Tresor

Zusätzlich zum Access Manager verfügen PAM-Lösungen über einen Password Vault, also einen besonders abgesicherten Passwort-Tresor. Um Zugriff auf ein Zielsystem zu erhalten, auch ohne die Passwörter kennen zu müssen, werden in ihm die Zugangsdaten zu kritischen Systemen zentral abgelegt. Auf Basis definierter Sicherheitsvorgaben generiert und rotiert das System die entsprechenden Passwörter. Ferner bieten ausgeklügelte PAM-Lösungen zudem eine Schnittstelle, um DevOps-Verfahren sowie roboterbasierte Prozesse (RPA) an den Password Vault anbinden zu können. Dabei ermöglicht der sogenannte Application-to-Application-Passwort-Manager (AAPM), dass nicht länger hartcodierte Passwörter in Skripten verbleiben müssen. Diese Zugangsdaten können stattdessen via API-Calls abgefragt werden.

Session Manager

Abgerundet wird die PAM-Lösung durch einen Session Manager. Dieser dient Sicherheitsverantwortlichen dazu, die Aktivitäten der Nutzer im Verlauf der Sitzung aufzuzeichnen und zudem auf potenziell gefährliches oder abweichendes Nutzerverhalten hin zu überprüfen. Wird bei der Analyse ein solches Verhalten erkannt, kann mittels des Session Managers direkt eine passende Gegenmaßnahme eingeleitet oder die Sitzung umgehend beendet werden. Darüber hinaus kann die umfassende Aufzeichnung von Sitzungen privilegierter Nutzer für die Auditierung herangezogen werden. Da alle Daten- und Systemzugriffe komplett nachvollzogen werden können, wird auf diese Weise auch gesetzlichen Vorgaben und Compliance-Richtlinien Rechnung getragen.

Ferner ist es wichtig, dass die IT-Teams in der Lage sind, Privilegien auf den Endgeräten so zu verwalten, dass ein Nutzer nur über die Berechtigung verfügt, die er zur Erfüllung seiner Arbeit auf dem jeweiligen System auch tatsächlich braucht (Privilege Elevation and Delegation Management – PEDM). Ein weiterer Vorteil von PEDM ist es, dass Legacy-Anwendungen, die nicht mehr die aktuell geltenden Sicherheitsstandards erfüllen, noch immer unkritisch verwendet werden können. 

Darüber hinaus ist es mittels der Lösung möglich, eine Ausführung oder die Installation von unbekannten Applikationen, die ein verdächtiges Verhalten zeigen oder als potenziell gefährlich beurteilt werden, zu überwachen sowie dauerhaft zu blockieren.

Das geringste Privileg als Maxime der IT-Sicherheit

Ein wichtiger Aspekt in puncto Cybersecurity ist das sogenannte „Prinzip des geringst notwendigen Privilegs“ (Principle of Least Privilege – PoLP). Dieses Prinzip lässt sich mittels einer Lösung für das „Endpoint Privilege Management“ (EPM) implementieren. Dadurch kann der Schutz der Workstations gewährleistet werden. Kommt es zu einem Malware-Angriff, bei dem sich die Schadsoftware über Administratoren-Accounts auf Endgeräten und Anwendungsservern zu verbreiten versucht, kann dies damit nachhaltig verhindert werden. Das „Prinzip des geringst notwendigen Privilegs“ bildet eine Säule der Zero-Trust-Unternehmensarchitekturen. Es bezieht sich auf Server-Umgebungen, Workstations und Steuerungssysteme für Maschinen in Industrieumgebungen. Hierdurch wird das sogenannte „Security by Design” implementiert.

Durch die Verbindung von PAM und PEDM ist es möglich, das Prinzip des geringst notwendigen Privilegs auf die globale Zugriffsverwaltung und alle privilegierten Konten anzuwenden. Dies geschieht unter Einhaltung von regulatorischen Vorgaben wie der DSGVO, NIS, BSI IT-Grundschutz und weiteren. Es ist somit ein wichtiger Baustein eines ISMS (Information Security Management Systems), das dem ISO 27001 Standard entspricht. Ziel ist es, das Sicherheits- und Vulnerability-Management digitaler Ressourcen zu zentralisieren.

PAM-Lösungen sind ein bedeutender Schritt auf dem Weg zu einer umfassenden Sicherheitsarchitektur der Unternehmens-IT

In der Sicherheitsarchitektur von Unternehmen kommt der Absicherung der Zugänge zu den Unternehmensressourcen zentrale Bedeutung zu. PAM-Lösungen sind eine tragende Säule, um diesen Schutz zu gewährleisten. So ist es möglich, privilegierte Zugriffe und Sitzungen umfassend zu überwachen. Sie bieten ferner Audit-Trails und Reports zur Verhaltensanalyse bei Aktivitäten privilegierter Benutzer, was einem Unternehmen einen bedeutenden Mehrwert liefert. Von der Absicherung aller Zugriffe können Organisationen vielfältig profitieren: Die Security-Verantwortlichen werden bei ihrer täglichen Arbeit unterstützt, was zu einer gesteigerten Effizienz führt. Zudem hilft Access Management Unternehmen dabei, Datenschutzvorschriften zu erfüllen und schützt sie vor empfindlichen Bußen. 

Stefan

Rabben

Managing Director, Area Sales Director DACH and Eastern Europe

WALLIX Group

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.