it-sa Spezial

PAM: Passwortlose Authentifizierung

Das Privileged Access Management (PAM) zielt darauf ab, die risikoreichsten Zugriffe in einem Unternehmen zu sichern, einschließlich der Verwendung von privilegierter Zugangsdaten wie Passwörtern oder SSH-Schlüsseln.

Wie können sich nun PAM- und Identity-Security-Teams auf eine Zukunft ohne Passwörter vorbereiten?

Anzeige

Das Konzept der passwortlosen Authentifizierung ist zwar nicht neu, doch hat sich die Methode erst in den letzten Jahren durchgesetzt. Verschiedene Formen sind dabei zu unterscheiden, von physischen Authentifizierungsfaktoren wie USB-Schlüsseln bis hin zu digitalen Faktoren wie Passkeys. Jede Methode kann dazu beitragen, den Zugang eines Nutzers effizient zu validieren.

Doch trotz der Vorteile dieser Authentifizierungsformate kann die passwortlose Authentifizierung nicht die erforderliche Sicherung risikoreicher Zugriffe ersetzen. Sie verringert zwar das Risiko – aber sie können immer noch kompromittiert werden. Beispiele dafür sind Biohacking-Angriffe auf die biometrische Authentifizierung und der physische Diebstahl von Yubikeys. Phishingresistente Passkeys sind zwar schwieriger zu entwenden als Passwörter, allerdings können Angreifer dennoch auf den Passkey-Speicher eines Geräts zugreifen und gültige Passkeys nutzen.

Unternehmen müssen folglich einen Defense-in-Depth-Ansatz verfolgen. Bewährte PAM-Konzepte wie Least Privilege, Session-Isolierung, Privileged Session Audit und Identity Threat Detection and Response (ITDR) bleiben Verteidigungsmaßnahmen, die das Risiko einer Identitätskompromittierung und einer Seitwärtsbewegung von Angreifern reduzieren.

Anzeige

Ohne Passwörter geht es noch nicht

Ohnehin verhindern derzeit mehrere betriebliche Erwägungen die vollständige Einführung der passwortlosen Authentifizierung. So sind für viele Systeme eines Unternehmens standardmäßig Passwörter erforderlich. Beispielsweise verfügt jedes Notebook, jeder Server und jedes vernetzte Gerät über ein integriertes lokales Administrator-Passwort. Diese Anmeldeinformationen sind die Hauptziele von Ransomware-Angriffen. PAM-Lösungen zielen darauf ab, diese Anmeldeinformationen zu entfernen und sie sicher in einem Tresor zu verwalten.

Auch die Nutzung von Shared-Accounts verhindert die flächendeckende Einführung einer passwortlosen Authentifizierung. Um ihre Angriffsfläche zu verringern oder Audit-Anforderungen zu erfüllen, versuchen viele Unternehmen, die Anzahl der Accounts mit Zugriff auf ihre kritischen Ressourcen zu reduzieren.

Eine gängige Strategie ist dabei die Konsolidierung auf eine kleine Anzahl hoch-privilegierter Konten, die von mehreren IT- und Cloud-Operations-Nutzern gemeinsam verwendet werden. Diese Konten beruhen in der Regel auf gemeinsamem Wissen und erfordern deshalb wissensbasierte Authentifizierungsfaktoren wie Credentials. PAM-Lösungen können hier dann mehrere Layer von Kontrollen anwenden.

Darüber hinaus benötigt jedes Unternehmen in Cloud-Umgebungen ein gewisses Maß an Shared-Privileged-Access, da die Root- und Registrierungskonten, die zur Einrichtung einer Cloud-Umgebung erforderlich sind, niemals außer Betrieb genommen werden können. Diese Root-Account-Credentials werden immer vorhanden sein und müssen mit intelligenten Berechtigungskontrollen gesichert werden.

Selbst aus Compliance-Gründen kann eine Umstellung auf einen passwortlosen Prozess schwierig sein. Auditoren achten häufig auf eine umfassende Identitätssicherheit. Einige Vorschriften verlangen die Verwendung von Passwörtern und eine sorgfältige Kontrolle dieser, etwa durch die Implementierung von Least Privilege, Multi-Faktor-Authentifizierung (MFA) oder richtlinienbasierter Rotation von Anmeldedaten. Eine vollständige Eliminierung von Passwörtern kann folglich Audit-Prozesse erschweren und verzögern. Nicht zuletzt dienen Passwörter in Notfallsituationen als verlässliche Fallback-Authentifizierungsmethode, wenn passwortlose Optionen versagen.

Selbst wenn es irgendwann gelingen sollte, den passwortbasierten Zugang überflüssig zu machen, sind für privilegierte Zugriffe mit hohem Risiko weiterhin verstärkte Kontrollen erforderlich.

Sam Flaster, CyberArk Software Ltd.

Wichtige Berechtigungskontrollen für eine passwortlose Welt

Selbst wenn es irgendwann gelingen sollte, den passwortbasierten Zugang überflüssig zu machen, sind für privilegierte Zugriffe mit hohem Risiko weiterhin verstärkte Kontrollen erforderlich. Dazu zählt zunächst die Umsetzung des Least-Privilege-Prinzips. Durch die Einschränkung von Berechtigungen für Identitäten, die sich ohne Passwörter authentifizieren, können Unternehmen die Gefahr von Seitwärtsbewegungen der Angreifer reduzieren. Least Privilege ist ein wesentliches Element einer Zero-Trust-Strategie in der Identitätssicherheit.

Auch eine Session-Isolierung ist erforderlich. Schließlich ist eine Welt ohne Passwörter immer noch von Ransomware und anderen Malware-Formen bedroht. Der Einsatz von Proxy-Servern zur Isolierung hoch-privilegierter Sitzungen verhindert, dass durch Malware kompromittierte Geräte auf Unternehmensressourcen zugreifen können.

Darüber hinaus sind ein Session-Audit und Screen-Recording empfehlenswert. Prinzipiell sollten Unternehmen hoch-riskante Benutzeraktivitäten immer überprüfen und potenzielle Sicherheitsvorfälle untersuchen. Um die Effizienz von Audits zu optimieren, benötigen sie dabei eine zentrale Sicht auf Endnutzer-Sessions über Systeme, Cloud-Workloads und -Services sowie Webanwendungen hinweg.

Zwei weitere essenzielle Kontrollmaßnahmen betreffen die Themen ITDR und Zero-Standing-Privileges (ZSP). Auch in einer passwortlosen Umgebung müssen Sicherheitsteams immer noch bösartige oder anomale Verhaltensweisen erkennen, die auf laufende Angriffe hindeuten könnten. ITDR-Funktionen von führenden Anbietern für Identitätssicherheit können mithilfe von KI und Maschinellem Lernen bekannte Indikatoren für böswillige Zugriffe erkennen und Vorfälle an ein Security Operations Center (SOC) zur automatischen Reaktion weiterleiten.

Nicht zuletzt sollten Unternehmen die Sicherheitsrisiken nach einer erfolgten passwortlosen Authentifizierung berücksichtigen. Dabei geht es darum, den Aktionsradius möglicher Angreifer zu verkleinern. Hier bietet sich eine ZSP-Strategie an, auf deren Basis Berechtigungen spontan erstellt und zugewiesen sowie nach der Verwendung wieder entfernt werden, wobei die entscheidenden Einstellungen wie Zeit und Dauer, Entitlements und Genehmigungen genau kontrolliert werden.

Es steht außer Frage, dass Passwörter für jedes Unternehmen ein hohes Sicherheitsrisiko darstellen. Folglich liegt die passwortlose Authentifizierung derzeit im Trend. Dabei darf aber nicht außer Acht gelassen werden, dass auch die passwortlose Authentifizierung mit Risiken verbunden ist. Letztlich gewährleistet aber nur eine vollständig integrierte Identity-Security- und Zero-Trust-Strategie eine zuverlässige Gefahrenabwehr – selbst in der passwortlosen Welt.

Sam

Flaster

Director Product Marketing

CyberArk Software Ltd.

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.