Strategien


Identity Management und Compliance

Privilegierte Nutzer richtig verwalten

18.11.2013
Von Jochen Koehler
Privilegierte Benutzerkonten, wie sie Administratoren besitzen, werden zunehmend als Einfallstor für Datensabotage oder -diebstahl missbraucht. Neue Ansätze in der Verwaltung dieser Konten mit weitgehenden Zugriffsrechten sind allein schon aus gesetzlichen Gründen heraus notwendig.

Lösungen für Privileged Identity ManagementIdentity Management (PIM) verwalten und überwachen administrative Accounts. Sie erleichtern das Passwort-Management und zeigen zudem auf, welche Personen wann auf welche Prozesse zugreifen. Von der technischen Seite her ist das alles bekannt und einleuchtend - weniger bekannt ist, dass PIM-Lösungen allein schon aufgrund gesetzlicher und aufsichtsrechtlicher Vorgaben praktisch unverzichtbar geworden sind. Alles zu Identity Management auf CIO.de

Aus Compliance-Gründen heraus sind PIM-Systeme unverzichtbar.
Aus Compliance-Gründen heraus sind PIM-Systeme unverzichtbar.
Foto: Africa Studio, Fotolia.com

In zahlreichen international gültigen Bestimmungen und Compliance-Vorschriften finden sich Richtlinien und Regelungen für das Passwort-Management. Beispiele hierfür sind ISO 27001 und ISO 27002, der Sarbanes-Oxley Act, SAS70/SSAE16 oder Basel II. Aber auch in nationalen Gesetzestexten wie dem KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), dem BDSG (Bundesdatenschutzgesetz), dem KWG (Kreditwesengesetz) oder den GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) finden sich entsprechende Vorgaben für IT-Verantwortliche.

Zudem sind externe Wirtschaftsprüfungen zu berücksichtigen, die zunehmend das Passwort-Management durchleuchten. Häufig mit dem gleichen Ergebnis: Zu viele Mitarbeiter im Unternehmen besitzen zu umfangreiche Zugriffsrechte - Privilegien, die sie nicht oder nur selten benötigen.

Nicht zu vergessen ist auch, dass Unternehmen in einer Zeit zunehmender Fälle von Datendiebstahl, -missbrauch und -sabotage gerne Compliance-Initiativen starten und über eine IT-Governance-Einführung nachdenken. Und auch da rückt das Thema "sichere Verwaltung privilegierter Accounts" automatisch ins Blickfeld.

Rechtliche Vorgaben fordern Passwort-Management

Konkrete Vorgaben zum Passwort-Management sind beispielsweise in Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik), in den Bestimmungen der Kreditkartenindustrie im PCI-DSS (Payment Card Industry Data Security Standard) und in den MaRisk (Mindestanforderungen an das Risikomanagement) für Kreditinstitute enthalten.

In den IT-Grundschutz-Katalogen des BSI heißt es zum Thema "Passwortschutz für IT-Systeme" etwa: "Der Passwortschutz eines IT-Systems soll gewährleisten, dass nur solche Benutzer einen Zugriff auf die Daten und IT-Anwendungen erhalten, die eine entsprechende Berechtigung nachweisen." Auch das Datenschutz-Regelwerk der Kreditkartenindustrie, der PCI-DSS, fordert von allen Unternehmen, die Kreditkarten-Transaktionen tätigen, ein striktes Passwort-Management. Es wird unter anderem verlangt, dass Kennwörter regelmäßig geändert werden und dass jeder Person mit Computerzugriff eine eindeutige ID erhält. Zudem ist gefordert, dass keine Konten und Kennwörter für Gruppen beziehungsweise mehrere Personen genutzt werden, um sicherzustellen, dass jeder Benutzer identifizierbar ist. Deshalb seien Prozesse oder Systeme zu implementieren, die es ermöglichen, den Zugriff auf Systemkomponenten - insbesondere von Benutzern mit Administratorrechten - einem individuellen User zuzuordnen.

Zur Startseite