Besonders wichtig ist dabei der Begriff “Privileged:”
Ein privilegierter User ist ein Nutzer mit erhöhter Sicherheitsfreigabe, beispielsweise ein Administrator. Solche Zugänge dienen zur Verwaltung und Kontrolle von Systemen und Netzwerken. Da diese Accounts Zugriffe auf kritische Informationen erlauben, sind sie privilegiert: Sie dienen beispielsweise zum Einrichten von E-Mailkonten oder Microsoft Exchange Servern und können diese verwalten und auch löschen.
Gibt es noch andere Begriffe für Privileged Access Management?
Es gibt einige Beschreibungen, die im Grunde die gleiche Thematik betreffen. “Privileged Account Management” oder “Privileged Session Management” meinen in der Regel das Gleiche. Kürzel wie PAM und PSM sind oft austauschbar.
Wofür braucht man PAM?
PAM schützt Ihr Unternehmen vor vorsätzlichem, aber auch unbewusstem Missbrauch privilegierter Zugänge. Besonders wachsende Organisationen profitieren von derartigen Lösungen, da IT-Netzwerke und Systeme mit zunehmendem Wachstum immer komplexer werden. Die Anzahl der Mitarbeiter, Dienstleister und Nutzer wächst unkontrolliert. Viele Unternehmen haben zwei bis drei mal mehr privilegierte Nutzer als Mitarbeiter!
Manche dieser Administratoren überschreiben existierende Sicherheitsprotokolle. Dadurch entstehen große Schwachstellen. Wenn solche privilegierten User ohne jegliche Kontrolle das System verändern oder Daten kopieren können, stellt dies eine potenzielle Bedrohung für jede Organisation dar. Einerseits besteht die Gefahr von „Inside-Jobs“, also das ein Angestellter oder ein Dienstleister bewusst Informationen stiehlt oder das Netzwerk sabotiert. Auf der anderen Seite können auch Cyberkriminelle Zugangsdaten entwenden und als Mitarbeiter getarnt in Netzwerke eindringen. PAM löst dieses Problem.
PAM-Lösungen bieten Ihnen die Möglichkeit, alle privilegierten Nutzer in verschiedenen Systemen ohne großen Aufwand zu verwalten. PAM kann:
- Zugriffe für bestimmte Nutzer auf ausgewählte Systeme limitieren
- Zugang zeitlich auf bestimmte Bereiche gewähren und wieder entziehen
- überflüssige Passwortverwaltung und Kennworteingaben vermeiden
- Zentrale Verwaltung von Zugriffsrechten über heterogene Netzwerke gewährleisten
- Präzise Audit-Trails für jede Aktion eines privilegierten Nutzers erstellen
Was gehört zu einer PAM-Lösung?
Privileged Access Management gibt es in verschiedenen Varianten, sollte aber immer folgende Teile beinhalten:
- Access Manager – Dieses Modul reguliert den Zugriff von privilegierten Accounts. An diesem zentralen Punkt werden Richtlinien für das Priviliged Access Management definiert und durchgesetzt. Die Nutzer fragen hier Zugriffsrechten an und der Access Manager erkennt, welche Systeme für einen Nutzer freigegeben sind. Ein spezieller Super Administrator für den Access Manager kann Accounts hinzufügen und löschen oder bestehende Nutzer verwalten. Dadurch wird beispielsweise die Gefahr durch unerlaubte Zugriffe von ehemaligen Mitarbeitern eliminiert (Eine Bedrohung, die viel größer und realer ist, als viele IT-Manager zugeben wollen).
- Password Vault – Die Passwörter zu kritischen Systemen müssen geschützt werden, auch vor den Nutzern mit erhöhter Sicherheitsfreigabe. Dadurch können Passwörter nicht ohne Absprache geändert oder überschrieben werden. Die Zugangsdaten sind in einem sicheren Tresor und Zugang wird erst freigeschaltet, nachdem ein Nutzer diesen beim Access Manager angefragt hat.
- Session Manager – Access Control ist wichtig, aber nicht ausreichend. Der Session Manager bietet die Möglichkeit, die Aktionen des Anwenders zu verwalten und zu analysieren.
Was ist der Unterschied PAM von Identity Management?
PAM wird oft mit Identity Management (IdM) verwechselt. Die Begriffe überlappen in einigen Bereichen, beziehen sich aber grundsätzlich auf unterschiedliche Dinge: PAM bezieht sich auf Privileged User Access. Beim Identity Management geht es um die Erkennung und Autorisierung von sämtlichen Nutzern auf einem System. Ein Kassierer, der eine Bankapplikation nutzt, loggt sich ein und wird durch eine IdM-Lösung wie Microsoft Active Directory verifiziert. Active Directory basiert auf dem Lightweight Directory Access Protocol (LDAP) und erlaubt keine Verwaltung von privilegierten Nutzern. Es ist ein gutes Produkt, aber nicht für diesen Zweck konzipiert. Viele Geräte sind beispielsweise nicht oder nur schwer in Active Directory integrierbar.
IdM zielen auf möglichst große Freiheiten ab, PAM dagegen möchte Zugang begrenzen – der Zweck ist demnach ein anderer. Der OAuth Standard oder „Security Assertions” wie SAML in IdM-Lösungen dienen der Integration von Apps und Daten dritter Parteien. Diese Funktionen sind für PAM nicht gewollt und werden nicht genutzt.
Wollen Sie mehr über PAM erfahren? Laden Sie sich das White Paper herunter: