Sicherheitslücken schließen: Zum Management privilegierter Nutzerkonten
Bereits im Jahr 2011 veröffentlichte das renommierte Ponemon-Institut eine Studie, in welcher das Management privilegierter Benutzer und deren Zugriffe auf Betriebssysteme, Anwendu...
Bereits im Jahr 2011 veröffentlichte das renommierte Ponemon-Institut eine Studie, in welcher das Management privilegierter Benutzer und deren Zugriffe auf Betriebssysteme, Anwendungen und Datenbanken als eine der zentralen Herausforderungen in der IT benannt wurden. Zur Problemlösung haben sich mehrere parallele Ansätze entwickelt.
Die Autoren der Ponemon-Studie zum Management privilegierter Nutzer und deren Zugriffsberechtigungen wiesen insbesondere auf zwei Punkte hin: Zum einen führt der ausbleibende Widerruf privilegierter Zugänge nach einem Rollenwechsel des Mitarbeiters zwangsläufig zu einer Verbreitung von technischen Kompetenzen und IT-Berechtigungen, obwohl diese nur bestimmten Rollen vorbehalten sein dürften. Zum anderen verantwortet der IT-Betrieb in erster Linie lediglich die Zuweisung, Verwaltung und Steuerung von privilegierten Benutzerzugriffen - aber eben nicht deren Entzug. Die Re-Zertifizierung der Rechte auf Ebene der Geschäftseinheiten konzentriert sich jedoch auf am häufigsten angewandten Funktionen des betrieblichen Ablaufs und nicht auf Sonderaufgaben.
IT-Manager stehen also vielschichtigen Herausforderungen gegenüber. Dementsprechend haben sich mehrere parallele Ansätze zur Problemlösung entwickelt. Diese Lösungen werden allgemein unter den Abkürzungen PIM (Privileged Identity Management: Fokus auf Verwaltung der Identitäten/Personen mit Privilegien), PUM (Privileged User/Account Management: Fokus auf Verwaltung der „Konten" mit hohen Privilegien ) oder PAM (Privileged Access Management: Fokus auf Verwaltung der Zugriffe mittels privilegierter Konten) zusammengefasst.
Höchstmaß an Sicherheit durch Vault-Lösungen
Wichtige Daten und Information in physischer Form werden oft in einem Schließfach oder Safe untergebracht. Nur wenige Personen kennen den Code oder besitzen einen Schlüssel, um diesen zu öffnen. Die optimierte Variante erhöht die Sicherheit durch Schließfächer im Inneren des Tresors.
Damit ist zwar vielen Benutzern der Zugang zum Tresor gewährt, der Schlüssel zu den einzelnen Schließfächern wird jedoch zusätzlich benötigt. Viele bewährte Lösungen setzen auf derartige zentrale Safe-/Schließfach-Technologien (oder Englisch: Vault). Aber genauso wie ein Gebäude die Last eines schweren Tresorraums tragen und jemand für die Beantragung und die Verwaltung der Schlüssel zuständig sein muss, bedingen die Vault-Lösungen eine stabile und hochverfügbare Infrastruktur sowie ein umfassendes Account- Management.
An Identity-Management angelehnte Systeme
Der Hitachi Privileged Access Manager (HiPAM), welcher sich eng an deren Identity Management-Lösung anlehnt, stellt eine weitere Lösungsmöglichkeit dar. Funktional vergleichbar mit Suite-Lösungen anderer Hersteller zeichnet sich der Ansatz dieses Produktes durch umfassende Workflow-Unterstützung und On-Demand-Antrag/-Zuweisung von Berechtigungen aus. Mit dem parallelen Betrieb von mindestens zwei (voneinander entfernten) Serverinstanzen, die sich auf einfache Art untereinander verbinden, bildet die Anwendung selbständig einen ausfallsicheren redundanten Cluster. Dadurch entfällt die Notwendigkeit, eine dedizierte hochsichere Datenbank zu etablieren.
Fazit
Nur eine ganzheitliche Betrachtung ermöglicht eine wirklich durchgängige Lösung des Problemfeldes. Folgerichtig kombinieren heutige Suite-Lösungen fast durchgehend die drei Spezialgebiete PIM, PAM und PUM. Die Erfahrung der letzten Jahre zeigt zwar, dass die Implementierung dieser Tools einen erheblichen Aufwand bei Planung, Prozess-Umsetzung und Konfiguration erfordert. Durch den Einsatz eines integrierten Identity- Management-Workflows für bedarfsgerechte Anforderungen und Genehmigungen und die Möglichkeit zur spontanen Erhöhung der Privilegien für Benutzer entstehen jedoch andererseits erhebliche Mehrwerte für den Kunden. Dies zeigen zumindest die Praxiserfahrungen der accessec- Spezialisten. Nicht zuletzt gilt es, insbesondere die Nutzerfreundlichkeit in den Fokus zu rücken: Denn jedes komplexe und schwer zu bedienende System motiviert die Anwender, die Benutzung der Software zu umgehen und damit die Sicherheitsvorkehrungen zu untergraben.
Business Partner
accessec GmbHMarktstr. 47-49
64401 Groß-Bieberau
Deutschland
Meist gelesen
Lünendonk-Liste 2024: Führende Sicherheitsdienstleister in Deutschland wachsen deutlich
Die 25 führenden Sicherheitsdienstleister in Deutschland wachsen im Jahr 2023 um 7,9 Prozent. Die Top 10 steigern ihren Umsatz sogar um 12,6 Prozent.
Brandversuche als Wirksamkeitsnachweis: Wo es Leerstellen in den Richtlinien gibt, hilft Fire Protection Solutions
Fire Protection Solutions plant und entwickelt nicht nur maßgeschneiderte Löschanlagenkonzepte, sondern führt auch die nötigen Brandversuche als Wirksamkeitsnachweis für die erforderlichen Zulassungsprozesse durch
Globale Konzernsicherheit bei der BMW Group
CSO Alexander Klotz ist für die globale Konzernsicherheit bei BMW Group zuständig. GIT SICHERHEIT hat sich mit ihm über Aufgaben und potentielle Bedrohungen unterhalten.
Kommunale Sicherheit: Gespräch mit der Düsseldorfer Ordnungsdezernentin Britta Zur
Öffentliche Sicherheit der Stadt Düsseldorf im Zusammenspiel von Ordnungsamt und Polizei: Ordnungsdezernentin Britta Zur im Interview über die Kriminalitätsentwicklung, Gefahrenabwehr und Fußball-EM 2024.
EU-Maschinenverordnung: Methoden zur Risikoeinschätzung Teil 2
Im ersten Teil des Beitrags „Methoden zur Risikoeinschätzung“ wurden die Änderungen der rechtlichen Grundlagen gemäß der neuen EU-Maschinenverordnung sowie die Parameter zur Risikoeinschätzung detailliert beleuchtet. Im zweiten Teil geht es nun um das generelle Vorgehen bei der Risikoanalyse sowie den verschiedenen Verfahren für die Risikoeinschätzung.