Identity Management und Compliance

Privilegierte Nutzer richtig verwalten

Cloud Services verschärfen die Problematik

Ein weiterer Aspekt, der im Hinblick auf privilegierte Benutzerkonten zu beachten ist, betrifft die zunehmende Nutzung von Cloud Services. Die Überwachung privilegierter Benutzerkonten ist in einem solchen Fall besonders wichtig, da natürlich auch bei der Auslagerung von IT-Bereichen oder Geschäftsprozessen an einen externen Provider die Anforderungen an das Risikomanagement bestehen bleiben, die Verantwortung über die outgesourcten Bereiche also beim Auftraggeber verbleibt. Wenn ein externer Administrator eine Verbindung mit unternehmensinternen Systemen und Applikationen aufbaut oder Zugriff auf vertrauliche Datenbestände erhält, sollte dabei nicht nur kontrolliert werden, "wer" dies tut, sondern auch, "was" Inhalt solcher Sessions ist.

Die im Umfeld der Cloud-Nutzung mit privilegierten Accounts verbundene Problematik hat auch das BSI im Eckpunktepapier "Sicherheitsempfehlungen für Cloud-Computing-Anbieter" aufgegriffen. Im Hinblick auf das ID- und Rechtemanagement wird ausgeführt: "Das Rechtemanagement muss gewährleisten, dass jede Rolle nur die Daten (auch Metadaten) sehen darf, die zur Erfüllung der Aufgabe notwendig sind." Das BSI geht explizit auf das Thema Administrator-Account ein: "Besonderes Augenmerk sollte dabei auf privilegierte Benutzer gerichtet werden. Handelt es sich bei einer Rolle um einen Administrator, dann sollte es möglich sein, nachzuweisen, dass tatsächlich nur die für die Aufgabe notwendigen Daten eingesehen wurden."

Eine aktuelle CyberArk-Studie belegt aber, dass hier noch einiges im Argen liegt: Von knapp 1000 befragten (IT-)Führungskräften aus überwiegend großen Unternehmen aus aller Welt wissen 56 Prozent nicht, ob ihr Cloud Service Provider privilegierte Accounts schützt und überwacht. Und 25 Prozent gehen davon aus, dass sie für den Schutz ihrer vertraulichen Daten selbst besser gerüstet sind als ihr Cloud Provider.

Eines zeigen die skizzierten Compliance-Vorgaben klar: Gibt es bei einem Unternehmen Admins mit uneingeschränkten privilegierten Rechten und keine Implementierung von rollenbasierten Zugriffs- und Kontrollsystemen, verstößt das gegen aktuell gültige gesetzliche und aufsichtsrechtliche Bestimmungen. Hinsichtlich einer Erfüllung von Compliance-Anforderungen, einer Erhöhung der Sicherheit und auch einer Reduzierung des Administrationsaufwandes sollte somit jedes Unternehmen über ein zuverlässiges Privileged Identity Management verfügen.