Foto: pn_photo - Fotolia.com
Privilegierte Benutzerkonten von Administratoren stellen für Unternehmen ein hohes Sicherheitsrisiko dar, denn die Passwörter sind der Schlüssel zu sämtlichen kritischen Datenbeständen. Knapp zwei Drittel der deutschen Unternehmen setzen keine Lösung zur regelmäßigen, automatischen Änderung von Administratoren-Passwörtern ein. Das fand Cyber-Ark, ein US-Anbieter von Sicherheitssystemen, bei einer Umfrage unter mehr als 280 IT-Experten aus größeren deutschen Firmen heraus.
Unsicherheit beim Passwort-Management
Verschärfte regulatorische Anforderungen und Sicherheitsvorgaben zwingen Unternehmen aber zunehmend, die Verwaltung und Überwachung privilegierter Accounts mit einer speziellen Identity-Management-(IM)-Lösung zu zentralisieren und zu automatisieren. Doch bei vielen Unternehmen herrscht noch eine gewisse Unsicherheit in Bezug auf die technisch-organisatorischen Integrationsmöglichkeiten und den Funktionsumfang einer solchen Lösung. IT-Sicherheitsspezialist hat deshalb die acht häufigsten Fragen rund um das Passwort-Management gesammelt und beantwortet.
Frage 1: Ist die zentrale Speicherung von Passwörtern mit Risiken verbunden? Nein, aber Voraussetzung dafür ist, dass die eingesetzte IM-Lösung zur Passwort-Verwaltung mehrere unterschiedliche Security-Layer hat, Features für On-Time-Password-(OTP)-Token oder Zertifikate zur Authentifizierung und für die Zugriffskontrolle. Dadurch werde gewährleistet, dass nur autorisierte Anwender Zugang zu Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten.
Frage 2: Nach welchen Regeln kann die automatisierte Passwort-Änderung erfolgen? Moderne Passwort-Management-Lösungen lassen sich an individuelle Security-Richtlinien anpassen. Anwender können die Komplexität, Passwortstärke und die Änderungszyklen weitgehend frei definieren. Das gilt auch für Workflows. Darin kann festgelegt sein, dass Benutzer, die ein Passwort anfordern, ein offenes und gültiges Ticket eingeben müssen, dessen Kennung mit dem Ticketing-System abgeglichen wird.
Frage 3: Wie wird Hochverfügbarkeit erreicht? Damit die zentral gespeicherten Passwörter jederzeit erreichbar bleiben, sollte die Architektur einer Privileged-Identity-Management-(PIM)-Lösung redundant und ausfallsicher ausgelegt und implementiert sein. Beim Ausfall des Primärsystems erfolgt der Zugriff dann auf eine einsatzbereite und aktuelle Backup-Version.
Privilegierte Konten in Passwortverwaltung integrieren
Frage 4: Lässt sich mit einer PIM-Lösung das Problem der dezentralen Passwort-Verwaltung lösen? Ja. In vielen Unternehmen stellt der lokale Administratoren-Account eine besondere Gefahr dar. So ist beispielsweise der "Local Admin" auf jedem Windows-Rechner zu finden und unternehmensweit oft mit dem gleichen Passwort versehen. Mit einer PIM-Lösung lassen sich diese privilegierten Nutzerkonten automatisch in das Passwort-Management integrieren.
Frage 5: Wie sieht es mit der Integrationsfähigkeit von PIM-Lösungen aus? Moderne PIM-Lösungen können in bestehende Infrastrukturen mit zentralen Benutzerverwaltungen und Verzeichnisdiensten wie Active Directory, eDirectory oder LDAP (Lightweight Directory Access Protocol) sowie Systemüberwachungen eingebunden werden. Auch die Anbindung an verbreitete Lösungen für Security Information and Event Management (SIEM) von HP, Loglogic, McAfee, IBM oder RSA sollte problemlos möglich sein.
Frage 6: Können bestehende Rollenmodelle übernommen werden? Ja, doch Unternehmen sollten für privilegierte Administratoren-Accounts mit erweiterten Rechten bereits Prozesse für IT-Berechtigungsvergaben fixiert haben. Das stellt sicher, dass Mitarbeiter nur die Rechte erhalten, die sie für ihre Tätigkeit benötigen.
Eine PIM-Lösung unterstützt lediglich die technische Umsetzung dieses Konzepts und bringt Transparenz in den Prozess. Hat ein Administrator einen "Vollzugriff" lässt sich dieser nachweisen und jeder Zugriff nachvollziehen.
Frage 7: Können, wenn bestimmte Ereignisse auftreten, bei der Überwachung privilegierter Aktivitäten Alarme erzeugt und Gegenmaßnahmen ergriffen werden? Dazu müssen berechtigte Mitarbeiter aktive privilegierte Sitzungen in einer PIM-Lösung mit einem zentralen Dashboard überblicken können.
Zugriffe transparent nachvollziehen
Auf diese Weise könnten sie sich direkt in eine Session einklinken und diese remote beenden. In Verbindung mit einem SIEM-Tool ist es möglich, Session-Aktivitäten in Echtzeit kontrollieren und diese bei einem Alarm sofort zu unterbinden.
Frage 8: Welche Vorteile bieten PIM-Lösungen Unternehmen und den Administratoren? Generell erhöhen Unternehmen durch die zentralisierte und automatisierte Überwachung privilegierter Benutzerkonten ihre IT-Sicherheit. Zudem lassen sich die damit verbunden Prozesse "glatt ziehen" und Compliance-Anforderungen einhalten. Administratoren können damit rechnen, dass sich der Verwaltungsaufwand spürbar reduziert.