Privileged Account Security

IT-Sicherheit ist mehr als Compliance-Konformität

| Autor / Redakteur: Michael Kleist / Jürgen Schreier

Zur Sicherung von privilegierten Accounts bieten PAS-Lösungen unter anderem eine regelmäßige, automatische Änderung der Server-, Datenbank- und Netzwerk-Passwörter.
Zur Sicherung von privilegierten Accounts bieten PAS-Lösungen unter anderem eine regelmäßige, automatische Änderung der Server-, Datenbank- und Netzwerk-Passwörter. (Bild: CyberArk)

IT-Sicherheit ist vielfach rein Compliance-getrieben. Die Erfüllung von Nachweispflichten steht dabei im Vordergrund. Die Beseitigung von Schwachstellen und Maßnahmen zur Verhinderung von Sicherheitsvorfällen bleiben so vielfach auf der Strecke.

Die Zahl der Wohnungseinbrüche in Deutschland ist zwar rückläufig, aber nach wie vor hoch. Im Trend liegt deshalb die private Videoüberwachung. Sie mag durchaus eine abschreckende Wirkung haben, verhindern kann sie Einbrüche aber letztlich nicht. Sie dokumentiert diese lediglich und unterstützt damit die Forensik.

Ähnlich sieht es in der IT-Sicherheit aus. Hier steht für viele Unternehmen die Erfüllung von Compliance-Anforderungen im Vordergrund. Dabei geht es in erster Linie um Aspekte wie Reporting und Schaffung von Nachweisen, dass Regularien erfüllt sind. Sicherheitsvorfälle werden dadurch nicht unbedingt verhindert.

Compliance-Regeln blieben oft zu unbestimmt

Richtig ist zwar, dass Compliance-Regularien einen positiven Anstoß zur Erhöhung der Sicherheit geben, vielfach bleiben sie aber zu unbestimmt und zielen vor allem auf die Dokumentationspflicht ab. Ein Beispiel liefert etwa das IT-Sicherheitsgesetz, das zwar auch eine Verbesserung der IT-Sicherheit im Sinne hat, aber primär die Verfügbarkeit und Sicherheit von IT-Systemen thematisiert und Vorgaben zur Überwachung und Dokumentation macht. Eine höhere Sicherheit ist damit aber keineswegs gewährleistet. Folglich muss das Thema Compliance weiter gefasst und um eigentliche Sicherheitsaspekte ergänzt werden.

Hier zeigt sich ein klarer Markttrend: die zunehmende Verbindung von Compliance und Sicherheit bei Anbietern von Security-Lösungen. Diese Entwicklung zeichnet sich gerade bei Lösungen im Umfeld einer zentralen IT-Schwachstelle ab, den privilegierten Benutzerkonten, wie sie etwa Administratoren besitzen. Sie stellen ein zentrales Einfallstor für Insider- und Cyber-Attacken dar. Ein Großteil aller Fälle von Datenmissbrauch und -diebstahl ist darauf zurückzuführen, dass Angreifer nach Überwindung der Firewall einen weitreichenden Administrations-Zugriff auf IT-Systeme erbeuten; gerade die Zugangsdaten von Windows-Domain-Administratoren sind ein beliebtes Ziel. Dadurch können sie im Unternehmensnetzwerk wie Administratoren agieren und auf jede Datei zugreifen und sich selbst beliebige Berechtigungen erstellen.

Nahezu alle Anbieter im Umfeld von Privileged Identity Management (PIM) beziehungsweise Privileged Account Security (PAS) haben im Hinblick auf die Sicherung und Überwachung von privilegierten Konten in der Vergangenheit entweder den Compliance-Aspekt mit Recording-Lösungen oder den Sicherheitsaspekt mit der Zugriffskontrolle adressiert. Vor Kurzem gab es hier allerdings zwei Akquisitionen, mit denen die Hersteller die Begrenztheit ihres Lösungsangebots beseitigen möchten. CyberArk hingegen hat bereits von Anfang an mit seinem Lösungsportfolio die gesamte Compliance- und Sicherheitsthematik abgedeckt.

PAS-Lösung muss alle Aktionen revisionssicher aufzeichnen

Doch was sollte eine integrierte PIM/PAS-Lösung konkret bieten? In erster Linie muss sie auf Steuerung, Kontrolle und Protokollierung ausgelegt sein. Zur Sicherung von privilegierten Accounts bietet sie den Schutz vor unautorisiertem Zugang zuzüglich zu einer regelmäßigen, automatischen Änderung der Server-, Datenbank- und Netzwerk-Passwörter und auch die Möglichkeit einer vollständigen Nachvollziehbarkeit aller Aktivitäten. Mittels solcher Session-Protokolle ist es dann möglich, nicht nur zu überprüfen, wer theoretisch Zugang zu vertraulichen Informationen hat, sondern auch, auf welche konkret zugegriffen wurde und was mit diesen Informationen geschah. Dabei muss die Lösung alle Aktionen vom Zeitpunkt der Anmeldung am System bis zur Abmeldung revisionssicher und damit Compliance-konform aufzeichnen.

Compliance-Regelungen geben zwar die Richtung vor, aber erst die richtigen Lösungen schaffen auch die erwünschte hohe Sicherheit. Diese Erkenntnis setzt sich langsam durch. Der Anfang ist gemacht, aber auch noch nicht mehr. Dass Sicherheit das Maß aller Dinge ist – etwa auch im Sinne des vielfach strapazierten „Security-by-Design“-Ansatzes – ist bei Weitem noch mehr Vision als Realität.

Weiterführende Informationen

Whitepaper: CyberArk Privileged Access Security Solution

Analyst Report: Privileged Account Security Solutions - A Competitive Review

Ethische Aspekte bei Zugriffsberechtigungen

Compliance und IT

Ethische Aspekte bei Zugriffsberechtigungen

28.04.18 - Was haben Cybersicherheit, Compliance und die gute alte Neugier gemeinsam? Eine ganze Menge! IT-Profis sehen sich heutzutage mit einer großen Zahl ethischer Entscheidungen - vor allem im Hinblick auf die Zugriffsberechtigungen - konfrontiert. lesen

Privileged Account Management: Wie funktioniert das?

Ein privilegierter Benutzer ist jemand, der administrativen Zugriff auf kritische Systeme hat. So wäre eine Person, die E-Mail-Konten auf Microsoft Exchange Server einrichten und löschen kann, ein privilegierter Benutzer. Wie jedes Privileg sollte auch das Zugriffs-Privilleg nur vertrauenswürdigen Personen vorbehalten sein. Nur denjenigen, die als vertrauenswürdig angesehen werden, sollte mit "root"-Berechtigungen die Möglichkeit eingeräumt werden, Systemkonfigurationen zu ändern, Software zu installieren, Benutzerkonten zu ändern oder auf sensible Daten zuzugreifen. Da man aus IT-Security-Sicht aber niemandem bedingungslos vertrauen kann, müssen auch vertrauenswürdige Zugriffe kontrolliert und überwacht werden. Privileged Access Management (PAM) wird oft auch als "Privileged Account Management" oder "Privileged Session Management" bezeichnet.

Privileged Account Management schützt ein Unternehmen vor versehentlichem oder vorsätzlichem Missbrauch von Privilegien. Je größer und komplexer die IT-Systeme Ihres Unternehmens sind, desto mehr privilegierte Benutzer hat ein Unternehmen. Einige dieser Admin-Benutzer können bestehende Sicherheitsprotokolle überschreiben und ihre Aktionen "verbergen". Zudem besteht die Gefahr, dass ein externer Angreifer mit diesen Admin-Zugangsdaten Zugriff auf die IT-Systeme erhält. Eine Privileged Account Management Lösung bietet eine sichere und effiziente Möglichkeit, alle privilegierten Benutzer für alle relevanten Systeme zu autorisieren und zu überwachen. Mit einer PAM-Lösung kann man

- Berechtigungen an Benutzer nur für Systeme, auf denen sie berechtigt sind, vergeben,

- den Zugriff nur dann gewähren, wenn er erforderlich ist,

- Zugriffe widerrufen,

- verhindern, dass privilegierte Benutzer über lokale oder direkte Systempasswörter verfügen oder diese benötigen,

- und ein zentrales und schnelles Zugriffsmanagement über heterogene Systeme hinweg realisieren.

Quelle: https://www.linkedin.com/in/stephen-roberts-0892b23/

Michael Kleist ist Regional Director DACH bei CyberArk in Düsseldorf.
Michael Kleist ist Regional Director DACH bei CyberArk in Düsseldorf. (Bild: CyberArk)

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45389470 / Security)