Thought Leadership
Ein Privilege Access Management (PAM) schützt die kritischsten Systeme von Unternehmen vor unberechtigten Zugriffen. Doch was muss eine PAM-Lösungen können und auf welche Aspekte, die über Features hinausgehen, sollten Unternehmen bei der Auswahl achten?
Viele Unternehmen stehen vor großen Security-Herausforderungen beim Schutz ihrer kritischen Daten und Systeme. Das liegt nicht nur an den wachsenden Cybergefahren, sondern auch an der immer strengeren Regulierung von Sicherheit und Datenschutz sowie zunehmend heterogenen IT-Landschaften mit mehr und mehr Cloud-Services, Remote Workern und automatisierten Abläufen. Zero Trust hat sich als Sicherheitskonzept in solchen Umgebungen bewährt, weil es die Angriffsfläche unter anderem durch eine minimale Rechtevergabe und eine konsequente Verifizierung aller Zugriffe deutlich verkleinert.
Ein entscheidender Baustein von Zero Trust ist ein Privilege Access Management (PAM), das sich auf die Accounts konzentriert, von denen ob der erweiterten Berechtigungen das größte Risiko ausgeht und die ganz besonders im Visier von Cyberkriminellen stehen. Viele Aufsichtsbehörden, Cyberversicherer und Security-Frameworks verlangen inzwischen explizit nach einem Credential Management, einem Session Monitoring und der Umsetzung von Least-Privilege-Prinzipen – und damit nach Dingen, die zu einem Privilege Access Management gehören.
Wollen Unternehmen wirksame PAM-Kontrollen einführen, um ihre Sicherheit zu verbessern, müssen sie zunächst verstehen, dass PAM kein einmaliger Aufwand, sondern ein fortwährender Prozess ist. Schließlich geht es darum, privilegierte Zugriffe kontinuierlich zu erkennen und zu schützen – und das in sich stetig verändernden IT-Umgebungen. Moderne PAM-Lösungen können dabei helfen, indem sie Abläufe zuverlässig automatisieren, was den Verwaltungsaufwand reduziert und den Schutz verbessert.
Augen auf bei der Anbieter-Auswahl
Doch zu welchen Lösungen sollten Unternehmen greifen – welchem Anbieter den Schutz genau der Accounts anvertrauen, die Zugriff auf ihre kritischsten Assets haben? Klar ist, dass sie höchste Sicherheitsanforderungen erfüllen müssen, also über sicherheitsrelevante Zertifizierungen wie AICPA SOC 2 und ISO 27001 verfügen sollten. Details zu den Zertifizierungen und zu internen Security-Praktiken veröffentlichen die meisten Anbieter auf ihren Websites.
Darüber hinaus ist ein Blick auf ihren Track Record sinnvoll – immerhin hatten einige Anbieter in der Vergangenheit mit Sicherheitslücken und Datenlecks zu kämpfen. Teilweise war es ihnen nicht einmal gelungen, ihre eigenen privilegierten Accounts zu schützen. Eine Recherche nach entsprechenden CVEs, aber auch schon eine einfache Google-Suche fördern hier viele Informationen zu Tage. Und schließlich können Unternehmen auch ihren Wirtschaftsprüfer, Cyberversicherer oder IT-Dienstleister nach Erfahrungen mit PAM-Anbietern fragen und um eine Empfehlung bitten.
Hat ein Anbieter zudem Referenzkunden in der Branche des Unternehmens, zeigt das, dass er die jeweiligen Herausforderungen und gesetzlichen Anforderungen kennt. Dies verringert das Risiko, dass es Probleme bei der Implementierung der Lösung oder mit branchenspezifischen Technologien wie SCADA in der Fertigung gibt.
Die PAM-Basics müssen sitzen
Da in eigentlich jedem Unternehmen die digitalen Infrastrukturen wachsen, muss eine PAM-Lösung gut skalieren. Denn mit jedem neuen Mitarbeiter, jeder neuen Anwendung und jedem neue Rechner oder Server kommen neue Accounts und Identitäten hinzu, die es zu schützen gilt. Ein PAM sollte diese automatisiert erkennen und ihre privilegierten Zugriffe verwalten. Dazu zählt auch, die Credentials sicher zu speichern, zu managen und regelmäßig zu rotieren – unabhängig davon, ob es sich um lokale Admin-Passwörter, Domänen-Passwörter, SSH- und API-Keys, Passwörter von Mitarbeitern oder die Secrets von Anwendungen handelt.
Weitere wichtige PAM-Funktionen sind die Umsetzung von Least Privilege und rollenbasierte Zugriffskontrollen (RBAC), die sich für Multi-Cloud-Umgebungen eignen. Viele Cloud-Anbieter empfehlen mittlerweile, menschliche und nicht-menschliche Identitäten standardmäßig ohne Privilegien auszustatten (Zero Standing Privileges, ZSP) und nur bei Bedarf session-basiert Berechtigungen zuzuweisen. Allerdings gelingt es bislang nur wenigen PAM-Lösungen, die Rollen und Berechtigungen tatsächlich dynamisch zur Laufzeit zu generieren und am Ende der Session automatisch zu löschen.
Mit einem PAM legen Unternehmen den Grundstein für die Einführung eines umfassenden Programms für Identitätssicherheit.
Sam Flaster, CyberArk
Eine Isolierung der Sessions verhindert, dass sich Angreifer oder Malware ungehindert innerhalb der Infrastruktur ausbreiten können, während ein Session-Monitoring die Untersuchung von Sicherheitsvorfällen und Audits erleichtert. Und zu guter Letzt muss ein PAM auch die privilegierten Zugriffe von Externen wie Kunden, Partnern und Dienstleistern schützen, unter anderem durch die Zuweisung von Berechtigungen just in time (JIT), RBAC und zentralisierte Audits.
Zentralisierte Audits helfen Unternehmen, die Einhaltung von Compliance-Vorgaben und Sicherheitsstandards nachzuweisen. Interne und externe Prüfer erhalten ohne langes Suchen detaillierte Einblicke in alle privilegierten Sessions – von Zugriffen auf IT-Systeme on-premises über Zugriffe auf OT-Systeme bis hin zu Zugriffen auf Cloud- und Web-Ressourcen. In einigen PAM-Lösungen unterstützen zudem KI-Funktionen bei den Audits, aber auch bei der Identity Threat Detection and Response (ITDR). Sie nutzen Bedrohungsinformationen und Verhaltensanalysen, um mögliche Sicherheitsverletzungen zu erkennen und frühzeitig einzudämmen.
Die Anwender nicht vergessen
PAM-Lösungen, die sich einfach und nahtlos in bestehende Infrastrukturen einfügen, machen nicht nur den Security-Teams das Leben leichter, sondern auch den Anwendern. Mehr noch: Sie verhindern, dass Anwender nach Wegen suchen, die Sicherheitsmaßnahmen zu umgehen, weil sie sich in ihren gewohnten Arbeitsabläufen behindert fühlen. Daher sollten PAM-Lösungen die Tools unterstützen, mit denen sich IT-Spezialisten, Entwickler und andere Techniker bevorzugt mit Windows- und Linux-Systemen, Cloud-Services, VMs, Kubernetes-Umgebungen und Datenbanken verbinden.
Darüber hinaus müssen sich PAM-Lösungen in die bestehende Security-Landschaft integrieren, und das out of the box und ohne Zusatzkosten. Das betrifft vor allem die Zusammenarbeit mit dem Identity and Access Management (IAM), dem Security Information and Event Management (SIEM) und dem IT Service Management (ITSM). Vorsicht ist bei Anbietern geboten, die umfangreiche kostenpflichtige Professional Services für Integrationen bieten, denn das kann ein Zeichen dafür sein, dass die PAM-Lösung sehr komplex ist – und die Kosten erhöhen, wenn später neue Technologien eingeführt werden und weitere Integrationen notwendig sind.
Mit einem Privilege Access Management legen Unternehmen den Grundstein für die Einführung eines umfassenden Programms für Identitätssicherheit. Ein solches dehnt den Schutz von privilegierten Accounts auf alle menschlichen und maschinellen Identitäten aus, die auf kritische Ressourcen zugreifen. Es stellt sicher, dass sämtliche Identitäten zur richtigen Zeit die richtigen Berechtigungen erhalten, und führt zu einer weiteren Minimierung des Risikos, das von kompromittierten Accounts und dem Missbrauch von Berechtigungen ausgeht.
