Schritt für Schritt zur sicheren Verwaltung privilegierter Benutzerkonten

Eine umfassende Lösung zur Verwaltung privilegierter Benutzerkonten und Aktivitäten reicht von der automatischen Passwort-Verwaltung über die Protokollierung von Admin-Sessions bis hin zur Eliminierung von Application Accounts. [...]

Die Verwaltung privilegierter Benutzerkonten gehört heute zu den größten Herausforderungen, denen sich die IT zu stellen hat. Die in letzter Zeit zunehmende Anzahl von Cyber- und Insider-Attacken, bei denen privilegierte Accounts missbräuchlich genutzt wurden, zeigt die Gefahr für Unternehmen deutlich. Die Einführung einer umfassenden Lösung für das Privileged Identity Management (PIM), mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können, ist deshalb unverzichtbar. Die Implementierung kann dabei auch schrittweise durchgeführt werden. Die folgende Vorgehensweise hat sich dabei laut Cyber-Ark bewährt:

1. Rechtemanagement und Entwicklung von Rollenmodellen
In einem ersten Schritt muss – falls noch nicht geschehen – für privilegierte Administratoren-Accounts ein Berechtigungskonzept mit klar definierten Rollenmodellen erstellt werden. Durch das Rechtemanagement wird sichergestellt, dass die Administratoren nur Zugriff auf Daten inklusive Metadaten erhalten, die sie für die Durchführung ihrer Aufgaben benötigen. Dieses Rechtemanagement ist die Grundvoraussetzung für die Umsetzung einer rollenbasierten Zugriffskontrolle.

2. Zentrale Speicherung der Passwörter
Der nächste Schritt sollte die Implementierung einer Lösung zur zentralen Speicherung aller Passwörter sein. Dabei ist darauf zu achten, dass die eingesetzte Lösung mit mehreren unterschiedlichen Security-Layern versehen ist und zuverlässigen Schutz vor unbefugten Zugriffen bietet. Dazu zählen zum Beispiel Authentifizierungs- und Zugriffskontroll-Features wie One-Time-Password-Token, Zertifikat, Radius, Passwort oder LDAP. Außerdem muss für jeden Benutzer und jede Benutzergruppe eine individuelle Berechtigungsvergabe erfolgen. So können User immer nur auf die für sie bestimmten Passwörter zugreifen. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein. Professionelle Lösungen bieten bereits in diesem Projektstadium ein Single-Sign-On-Verfahren an. Damit wird es möglich, eine direkte Verbindung zum Zielsystem – zum Beispiel zu Servern, Datenbanken oder Webanwendungen – aufzubauen, ohne dass ein Passwort einzugeben ist. Das bedeutet neben dem Mehr an Sicherheit eine deutliche Effizienzsteigerung bei der Administration.

3. Einführung eines automatischen Passwort-Managements
In einem nächsten Schritt sollte eine Automatisierung des Passwort-Managements erfolgen, das heißt eine automatische Verwaltung und Änderung privilegierter Accounts. Wichtig ist, dass die eingesetzte Lösung zur Passwort-Verwaltung es den Unternehmen ermöglicht, zu den eigenen Workflows und Anforderungen passende Richtlinien aufzustellen, die die Freigabe und Verwaltung der privilegierten Accounts regeln. Zu nennen sind hier zum Beispiel die flexible Festlegung des Passwort-Änderungsintervalls oder der Einsatz von Einmalpasswörtern. Auch individuelle Workflows sollten definierbar sein, um beispielsweise festzulegen, dass Benutzer bei Anforderung eines Passworts ein offenes und gültiges Ticket eingeben müssen, dessen Kennung dann mit dem Ticketing-System abgeglichen wird.

4. Protokollierung privilegierter Sessions
In einem weiteren Schritt sollte man die Möglichkeit ins Auge fassen, Admin-Sessions komplett zu protokollieren, das heißt, dass man privilegierte Zugänge nicht nur im Hinblick auf das „Wer“, sondern auch auf das „Was“ überwacht. Damit lässt sich jederzeit nachvollziehen, wer wann was getan hat. Ein zentraler Vorteil einer solchen Protokollierung ist die vereinfachte Fehlersuche. Außerdem ist eine solche Lösung insbesondere dann empfehlenswert, wenn auch externe Dienstleister und Administratoren Zugriff auf unternehmensinterne geschäftskritische Systeme haben.

5. Sukzessive Implementierung
IT-Umgebungen bestehen in der Regel aus Hunderten oder sogar Tausenden von Servern, Datenbanken, Netzwerkgeräten und Anwendungen, die alle über verschiedene privilegierte und von mehreren Mitarbeitern genutzte Konten mit weitreichenden Berechtigungen verwaltet werden. PIM-Lösungen sollten deshalb schrittweise eingeführt werden. Empfehlenswert ist es, zum Beispiel zunächst flächendeckend die Unix- und Windows-Server an die Lösung anzubinden und anschließend eine sukzessive Ausweitung auf Clients, Datenbanken und zentrale Netzwerkkomponenten vorzunehmen.

6. Beseitigung von Application Accounts

In einem letzten Schritt sollten neben den Passwörtern von Administratoren auch die Software oder Application Accounts, das heißt die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter, in das Sicherheitskonzept einbezogen werden. Sie liegen meistens im Klartext vor und ermöglichen einen automatischen Zugriff auf Backend-Systeme. Da diese Passwörter in der Regel zahlreichen Anwendern wie Systemadministratoren oder Entwicklern zugänglich sind, sollten sie aus den Applikationen und Skripten entfernt werden. Auch hier bietet sich als Alternative eine zentrale Ablage, Überprüfung und regelmäßige Änderung der Zugangsdaten an.

Jochen Koehler, Regional Director DACH von Cyber-Ark, erklärt: „Prinzipiell ist die Einführung einer umfassenden Privileged-Identity-Management-Lösung kein Hexenwerk. Sie kann in der Regel einfach und schnell erfolgen. Andererseits ist es nicht notwendig, sofort eine komplette Umstellung vorhandener Prozesse vorzunehmen. Man kann hier durchaus Schritt für Schritt vorgehen und sukzessive eine durchgängige PIM-Lösung implementieren, die alle Anforderungen für die Verwaltung und Überwachung privilegierter Konten und Aktivitäten abdeckt.“


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*