Schritt für Schritt zur sicheren Verwaltung privilegierter Benutzerkonten

Eine umfassende Lösung zur Verwaltung privilegierter Benutzerkonten und Aktivitäten reicht von der automatischen Passwort-Verwaltung über die Protokollierung von Admin-Sessions bis hin zur Eliminierung von Application Accounts. [...]

Die Verwaltung privilegierter Benutzerkonten gehört heute zu den größten Herausforderungen, denen sich die IT zu stellen hat. Die in letzter Zeit zunehmende Anzahl von Cyber- und Insider-Attacken, bei denen privilegierte Accounts missbräuchlich genutzt wurden, zeigt die Gefahr für Unternehmen deutlich. Die Einführung einer umfassenden Lösung für das Privileged Identity Management (PIM), mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können, ist deshalb unverzichtbar. Die Implementierung kann dabei auch schrittweise durchgeführt werden. Die folgende Vorgehensweise hat sich dabei laut Cyber-Ark bewährt:

1. Rechtemanagement und Entwicklung von Rollenmodellen
In einem ersten Schritt muss – falls noch nicht geschehen – für privilegierte Administratoren-Accounts ein Berechtigungskonzept mit klar definierten Rollenmodellen erstellt werden. Durch das Rechtemanagement wird sichergestellt, dass die Administratoren nur Zugriff auf Daten inklusive Metadaten erhalten, die sie für die Durchführung ihrer Aufgaben benötigen. Dieses Rechtemanagement ist die Grundvoraussetzung für die Umsetzung einer rollenbasierten Zugriffskontrolle.

2. Zentrale Speicherung der Passwörter
Der nächste Schritt sollte die Implementierung einer Lösung zur zentralen Speicherung aller Passwörter sein. Dabei ist darauf zu achten, dass die eingesetzte Lösung mit mehreren unterschiedlichen Security-Layern versehen ist und zuverlässigen Schutz vor unbefugten Zugriffen bietet. Dazu zählen zum Beispiel Authentifizierungs- und Zugriffskontroll-Features wie One-Time-Password-Token, Zertifikat, Radius, Passwort oder LDAP. Außerdem muss für jeden Benutzer und jede Benutzergruppe eine individuelle Berechtigungsvergabe erfolgen. So können User immer nur auf die für sie bestimmten Passwörter zugreifen. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein. Professionelle Lösungen bieten bereits in diesem Projektstadium ein Single-Sign-On-Verfahren an. Damit wird es möglich, eine direkte Verbindung zum Zielsystem – zum Beispiel zu Servern, Datenbanken oder Webanwendungen – aufzubauen, ohne dass ein Passwort einzugeben ist. Das bedeutet neben dem Mehr an Sicherheit eine deutliche Effizienzsteigerung bei der Administration.

3. Einführung eines automatischen Passwort-Managements
In einem nächsten Schritt sollte eine Automatisierung des Passwort-Managements erfolgen, das heißt eine automatische Verwaltung und Änderung privilegierter Accounts. Wichtig ist, dass die eingesetzte Lösung zur Passwort-Verwaltung es den Unternehmen ermöglicht, zu den eigenen Workflows und Anforderungen passende Richtlinien aufzustellen, die die Freigabe und Verwaltung der privilegierten Accounts regeln. Zu nennen sind hier zum Beispiel die flexible Festlegung des Passwort-Änderungsintervalls oder der Einsatz von Einmalpasswörtern. Auch individuelle Workflows sollten definierbar sein, um beispielsweise festzulegen, dass Benutzer bei Anforderung eines Passworts ein offenes und gültiges Ticket eingeben müssen, dessen Kennung dann mit dem Ticketing-System abgeglichen wird.

4. Protokollierung privilegierter Sessions
In einem weiteren Schritt sollte man die Möglichkeit ins Auge fassen, Admin-Sessions komplett zu protokollieren, das heißt, dass man privilegierte Zugänge nicht nur im Hinblick auf das „Wer“, sondern auch auf das „Was“ überwacht. Damit lässt sich jederzeit nachvollziehen, wer wann was getan hat. Ein zentraler Vorteil einer solchen Protokollierung ist die vereinfachte Fehlersuche. Außerdem ist eine solche Lösung insbesondere dann empfehlenswert, wenn auch externe Dienstleister und Administratoren Zugriff auf unternehmensinterne geschäftskritische Systeme haben.

5. Sukzessive Implementierung
IT-Umgebungen bestehen in der Regel aus Hunderten oder sogar Tausenden von Servern, Datenbanken, Netzwerkgeräten und Anwendungen, die alle über verschiedene privilegierte und von mehreren Mitarbeitern genutzte Konten mit weitreichenden Berechtigungen verwaltet werden. PIM-Lösungen sollten deshalb schrittweise eingeführt werden. Empfehlenswert ist es, zum Beispiel zunächst flächendeckend die Unix- und Windows-Server an die Lösung anzubinden und anschließend eine sukzessive Ausweitung auf Clients, Datenbanken und zentrale Netzwerkkomponenten vorzunehmen.

6. Beseitigung von Application Accounts

In einem letzten Schritt sollten neben den Passwörtern von Administratoren auch die Software oder Application Accounts, das heißt die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter, in das Sicherheitskonzept einbezogen werden. Sie liegen meistens im Klartext vor und ermöglichen einen automatischen Zugriff auf Backend-Systeme. Da diese Passwörter in der Regel zahlreichen Anwendern wie Systemadministratoren oder Entwicklern zugänglich sind, sollten sie aus den Applikationen und Skripten entfernt werden. Auch hier bietet sich als Alternative eine zentrale Ablage, Überprüfung und regelmäßige Änderung der Zugangsdaten an.

Jochen Koehler, Regional Director DACH von Cyber-Ark, erklärt: „Prinzipiell ist die Einführung einer umfassenden Privileged-Identity-Management-Lösung kein Hexenwerk. Sie kann in der Regel einfach und schnell erfolgen. Andererseits ist es nicht notwendig, sofort eine komplette Umstellung vorhandener Prozesse vorzunehmen. Man kann hier durchaus Schritt für Schritt vorgehen und sukzessive eine durchgängige PIM-Lösung implementieren, die alle Anforderungen für die Verwaltung und Überwachung privilegierter Konten und Aktivitäten abdeckt.“


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*