Wenn man heute in die Debatte um Sicherheit und Compliance einsteigt, fühlt sich das häufig wie ein Kinobesuch an, bei dem man die Hälfte des Films verpasst hat. Man versteht zwar, worum es geht, kann sich aber kein umfassendes Bild der Lage machen. Trotzdem hat das Thema einen großen Einfluss auf Betriebsabläufe und ist für Unternehmen unabdingbar. Sicherheitseinbrüche, Probleme mit Compliance-Vorgaben und Datenverluste können für Organisationen sehr kostspielig werden und schädigen zudem das Ansehen der eigenen Marke.
Durch die kommende Datenschutzgrundverordnung der EU werden die Vorgaben verschärft - der Verlust von persönlichen Daten kann sehr teuer werden. Solche Informationen werden aber nicht nur von IT-Sicherheitsbeauftragten verwaltet, sondern betreffen auch andere Angestellte. Grundsätzlich ist der Schutz von Assets eine Sache, die jeden Mitarbeiter und jede Mitarbeiterin betrifft.
Viele Unternehmen spüren die Veränderung der Gefahrenlage und haben entsprechende Sicherheitsmechanismen geschaffen. In der Tat steigen Sicherheitsbudgets, doch es gibt immer wieder Schwachstellen. Im aktuellen Bericht zur Lage der IT-Sicherheit spricht das BSI daher nicht zu Unrecht vom Paradigma „Assume the Breach“. Früher oder später schaffen Angreifer den Sprung in fremde Netzwerke.
Ein herausragender Angriffsvektor ist der Missbrauch von Zugängen mit erhöhter Sicherheitsfreigabe. Privilegierte Accounts werden oft nicht oder nur unzureichend geschützt. Manche Nutzer wie Systemadministratoren benötigen für ihre Arbeit umfangreicheren Zugriff als einfacher Anwender. Privileged Users können Einstellungen ändern, zum Beispiel Vollmachten für Banküberweisungen erteilen.
Für Finanztransaktionen gibt es beispielsweise die Sarbanes-Oxley Zertifizierung als Orientierung. Sie besagt, dass die Freigabe und die Anfrage für Transaktionen personell getrennt werden müssen. Daher ist ein privilegierter Nutzer nötig, allerdings braucht es auch Mechanismen, um dessen Freigaben zu kontrollieren.
Verwaltung von Nutzern mit erhöhter Sicherheitsfreigabe
Einerseits muss ein solcher Anwender absolut integer sein. Aber sogar bei umfassendem Vertrauen in die eigenen Mitarbeiter kann auch ein solcher Account mit erhöhten Sicherheitsfreigaben gehackt und unter fremde Kontrolle gebracht werden. Dann haben die Angreifer umfassende Möglichkeiten, das Netzwerk zu kompromittieren. Insider sind eine Bedrohung für Organisationen und müssen häufig nicht einmal direkt im Unternehmen angestellt sein. Dienstleister und Partner haben häufig ebenfalls umfassende Sicherheitsfreigaben und entsprechende Zugriffsrechte.
Sie alle sollten durch eine entsprechende Lösung gesichert werden. Einerseits natürlich um die Konformität mit entsprechenden Richtlinien und Auditstandards zu gewährleisten, aber auch aus Sicherheitsgründen. Der Missbrauch von privilegierten Zugängen ist eine echte Bedrohung.
Was sind Privilegierte Zugänge und wie sieht ein mögliches Management dazu aus?
Mit “Privileged Access Management” oder “Privileged Account Management” (PAM) bezeichnet Sicherheitslösungen, die genau solche Konten mit erhöhter Sicherheitsfreigabe schützen. Manchmal wird auch Privileged Session Management besprochen, im Grunde geht es aber bei allen Begriffen um den Schutz vor dem bewussten oder unbewussten Missbrauch von privilegierten Benutzerrechten.
PAM bietet eine Lösung, um sämtliche Nutzer mit entsprechenden Freigaben einfach zu verwalten und Policies entsprechend durchzusetzen:
- Echtzeit-Monitoring von Zugriffen mit der Möglichkeit zur Verfolgung und Terminierung von verdächtigem Verhalten
- Granulare Freigabe für genau abgestimmte Netzwerksegmente und Systeme für einzelne User
- Zeitliche Planung von Freigaben und Limitierung Zugriffsrechten
- Zentrale und direkte Verwaltung über alle vernetzen Systeme hinweg
- Erstellung von präzisen Audit-Trails
Wie sieht die richtige PAM-Lösung aus?
Eine umfassende PAM-Lösung sollte aus mindestens drei Modulen bestehen: einem Access Manager, einer Passwortsicherung und einem Session Manager. Dazu sollte die Lösung leicht installierbar und integrierbar sein. Wallix hat eine entsprechen PAM-Lösung entwickelt. Sie arbeitet agentenlos und lässt sich besonders leicht in bestehende Netzwerke und Systeme integrieren.
