Thought Leadership
Cyberkriminelle zielen längst nicht mehr nur auf technische Schwachstellen – oft reicht ein kompromittiertes Passwort, um in Systeme einzudringen. Wer sich nicht auf Glück verlassen will, kommt um ein durchdachtes Privileged-Access-Management (PAM) nicht herum – gerade im Hinblick auf NIS-2.
Auch wenn es noch keinen konkreten Termin gibt, ab wann NIS-2 offiziell greift, warnt Andreas Müller, VP Enterprise Sales Central and Eastern Europe bei Delinea, vor der NIS-2-Prokrastination. Sein Tipp: Jetzt mit der Implementierung essenzieller Lösungen und Prozesse beginnen – mit besonderem Augenmerk auf Passwort-, Identitäts- und Zugriffsmanagement.
Passwörter und Zugangsdaten zählen laut Bitkom aktuell zu den drei begehrtesten Informationstypen, auf die es Cyberkriminelle abgesehen haben. Und tatsächlich sind kompromittierte Login-Daten und Accounts oftmals Hauptauslöser vieler Sicherheitsverletzungen – zum Beispiel, wenn Angreifer sie im Rahmen von Phishing-Attacken abgreifen und sich dadurch Zugang zum betroffenen Unternehmensnetzwerk verschaffen konnten.
Kein Wunder, dass sich die kommende NIS-2-Richtlinie unter anderem mit diesem Sicherheitsthema eingehend beschäftigt. So kommt sie zu dem Schluss, dass sämtliche Unternehmen aus den 18 definierten Sektoren cyberhygienische Maßnahmen ergreifen müssen, um sowohl ihr Passwort-, Identitäts- und Zugriffsmanagement als auch ihre Anwendungskontrollen zu stärken. Dafür legt NIS-2 einheitliche Anforderungen fest, die unter anderem folgende Aspekte umfassen: Passwortänderungen, Einschränkung von Kontozugriffen, Verwaltung neuer Installationen, Datensicherung sowie Zero-Trust-Grundsätze. Die Agentur der EU für Cybersicherheit (ENISA) ist die verantwortliche Behörde, die die Entwicklung und Umsetzung im Auge behält.
Umfassende PAM-Lösungen
Umso wichtiger ist es, das ideale Tool für diese Aufgaben zu finden. Umfassende Lösungen für Privileged-Access-Management (PAM) decken die Anforderungen ab und unterstützen somit die allgemeine NIS-2-Compliance. Andernfalls drohen Bußgelder von bis zu sieben bzw. zehn Millionen Euro oder 1,4 bzw. zwei Prozent des gesamten im vorangegangenen Geschäftsjahr weltweit erzielten Jahresumsatzes (abhängig von der Höhe).
1. Passwortmanagement
Passwortmanagement ist mehr als der Wechsel zu einem starken Kennwort oder der Einsatz eines Passwortmanagers, der sich die Buchstaben-, Zahlen- und Sonderzeichenketten für den Nutzer merkt. Eine PAM-Lösung rotiert die Passwörter automatisch nach einem festgelegten Zeitplan oder nach einem Ereignis wie dem Login. Dadurch garantiert sie nicht nur systemübergreifend eindeutige Passwörter. Die Lösung stellt zudem sicher, dass Personen, die auf irgendeinem Weg an ältere Anmeldedaten gekommen sind, ausgesperrt werden. Alte Kennwörter werden zusätzlich in einen verschlüsselten, einbruchsicheren Tresor verfrachtet.
2. Zugriffsmanagement
NIS-2 schreibt vor, dass Unternehmen (kontinuierliche) Authentifizierungsmethoden wie Multi-Faktor-Authentifizierung (MFA) verwenden, mit denen die Zugriffskontrolle beim Unternehmen bleibt. Das schafft eine zusätzliche Hürde für Cyberkriminelle. Auch wenn diese über Anmeldedaten verfügen, müssen sie ihre Identität zum Beispiel via Smartphone des eigentlichen Account-Besitzers bestätigen. PAM-Lösungen unterstützen den Einsatz von MFA – sowohl über integrierte als auch über legitime Drittanbieter-Authentifikationen.
3. Zero Trust und Least Privilege
Laut Least-Privilege-Prinzip sollten Nutzer standmäßig nur ein Minimum an Zugriffsberechtigungen erhalten. Das ist auch ganz im Sinne des Zero-Trust-Modells, das auf grundsätzlichem Misstrauen gegenüber allen mit dem Netzwerk verbundenen Identitäten und Geräten aufbaut. So wird sichergestellt, dass Nutzer erst dann Zugang zu privilegierten, sensiblen Inhalten erhalten, wenn sie vom System authentifiziert und autorisiert werden. Entsprechende Zugriffsrichtlinien und -privilegien lassen sich über eine PAM-Lösung verteilen, verwalten und überwachen. Dabei ist es möglich, spontane, zeitlich begrenzte Berechtigungen zu vergeben (Just-in-Time) – zum Beispiel im Falle einer Konfigurationsänderung. Gleichzeitig ist es möglich, gemeinsam genutzte privilegierte Konten zu beseitigen.
4. Anwendungsmanagement
Auch im Rahmen des Anwendungsmanagements profitieren Unternehmen von einer PAM-Lösung. Wenn bei ihnen zum Beispiel das Problem mit sogenannter Shadow-IT besteht, können Admins unbekannte, unautorisierte Anwendungen in einer sicheren Sandbox untersuchen und anschließend zu Access- oder Deny-Listen hinzufügen. Über die Lösung lassen sich zudem weitere Regeln und Richtlinien festlegen sowie Just-in-Time-Zugriffe an Admins vergeben. Darüber hinaus bietet sie Reporting- und Audit-Funktionen sowie Sitzungsaufzeichnungen zur Überwachung der Nutzeraktivitäten – bei Bedarf sogar automatisiert.
Fazit
Generell spielt das Thema Automatisierung eine wichtige Rolle für das Passwort-, Identitäts- und Zugriffsmanagement. Denn viele der (Routine-) Abläufe eignen sich ideal dafür, sie von einer PAM-Lösung selbst durchführen zu lassen – darunter zum Beispiel die Durchsetzung festgelegter Zugriffsregeln, die Passwortrotation oder die zeitlich begrenzte Vergabe höherer Berechtigungen. Gleichzeitig ist sie in der Lage, das Verhalten privilegierter Konten automatisch in Echtzeit zu analysieren, abweichendes Verhalten und Anomalien zu erkennen und potenzielle Bedrohungen zu melden. Somit sorgt eine PAM-Lösung laufend für eine sicherere Umgebung, während sie das IT- und Sicherheitspersonal entlastet.
