Privilegierte Benutzerkonten von Administratoren stellen für Unternehmen ein hohes Sicherheitsrisiko dar, denn die Passwörter sind der Schlüssel zu sämtlichen kritischen Datenbeständen. Knapp zwei Drittel der deutschen Unternehmen setzen keine Lösung zur regelmäßigen, automatischen Änderung von Administratorenpasswörtern ein. Das fand Cyber-Ark, ein US-Anbieter von Sicherheitssystemen, bei einer Umfrage unter mehr als 280 IT-Experten größerer deutscher Firmen heraus.
Unsicherheit beim Passwortmanagement
Foto: pn_photo - Fotolia.com
Verschärfte regulatorische Anforderungen und Sicherheitsvorgaben zwingen Unternehmen aber zunehmend, die Verwaltung und Überwachung privilegierter Accounts mit einer speziellen Identity-Management-Lösung (IM) zu zentralisieren und zu automatisieren. Doch bei vielen Unternehmen herrscht noch eine gewisse Unsicherheit in Bezug auf die technisch-organisatorischen Integrationsmöglichkeiten und den Funktionsumfang einer solchen Lösung. Der IT-Sicherheitsspezialist hat deshalb die häufigsten Fragen rund um das Passwortmanagement gesammelt und beantwortet.
Ist die zentrale Speicherung von Passwörtern mit Risiken verbunden? Nein, aber Voraussetzung dafür ist, dass die eingesetzte IM-Lösung zur Passwortverwaltung mehrere unterschiedliche Security-Layer hat, Features für On-Time-Password (OTP)-Token oder Zertifikate zur Authentifizierung und für die Zugriffskontrolle. Dadurch wird gewährleistet, dass nur autorisierte Anwender Zugang zu Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten.
Nach welchen Regeln kann die automatisierte Passwortänderung erfolgen? Moderne Passwortmanagementlösungen lassen sich an individuelle Security-Richtlinien anpassen. Anwender können die Komplexität, die Passwortstärke und die Änderungszyklen weitgehend frei definieren. Das gilt auch für Workflows. Darin kann festgelegt sein, dass Benutzer, die ein Passwort anfordern, ein offenes und gültiges Ticket eingeben müssen, dessen Kennung mit dem Ticketing-System abgeglichen wird.
Teaser-Foto: maxkabakov/Fotolia.com
Privilegierte Konten in Passwortverwaltung integrieren
Wie wird Hochverfügbarkeit bei der Passwortverwaltung erreicht? Damit die zentral gespeicherten Passwörter jederzeit erreichbar bleiben, sollte die Architektur einer Privileged-Identity-Management (PIM)-Lösung redundant und ausfallsicher ausgelegt und implementiert sein. Beim Ausfall des Primärsystems erfolgt der Zugriff dann auf eine einsatzbereite und aktuelle Backup-Version.
Lässt sich mit einer PIM-Lösung das Problem der dezentralen Passwortverwaltung lösen? Ja. In vielen Unternehmen stellt der lokale Administratoren-Account eine besondere Gefahr dar. So ist beispielsweise der "Local Admin" auf jedem Windows-Rechner zu finden und unternehmensweit oft mit dem gleichen Passwort versehen. Mit einer PIM-Lösung lassen sich diese privilegierten Nutzerkonten automatisch in das Passwortmanagement integrieren.
Wie sieht es mit der Integrationsfähigkeit von PIM-Lösungen aus? Moderne PIM-Lösungen können in bestehende Infrastrukturen mit zentralen Benutzerverwaltungen und Verzeichnisdiensten wie Active Directory, eDirectory oder LDAP (Lightweight Directory Access Protocol) sowie Systemüberwachungen eingebunden werden. Auch die Anbindung an verbreitete Lösungen für Security Information and Event Management (SIEM) von HP, Loglogic, McAfee, IBM oder RSA sollte problemlos möglich sein.
Können bestehende Rollenmodelle übernommen werden? Ja, doch Unternehmen sollten für privilegierte Administratoren-Accounts mit erweiterten Rechten bereits Prozesse für IT-Berechtigungsvergaben fixiert haben. Das stellt sicher, dass Mitarbeiter nur die Rechte erhalten, die sie für ihre Tätigkeit benötigen.
Eine PIM-Lösung unterstützt lediglich die technische Umsetzung dieses Konzepts und bringt Transparenz in den Prozess. Hat ein Administrator einen "Vollzugriff", lässt sich dieser nachweisen und jeder Zugriff nachvollziehen.
Zugriffe mit PIM-Lösungen transparent nachvollziehen
Können, wenn bestimmte Ereignisse auftreten, bei der Überwachung privilegierter Aktivitäten Alarme erzeugt und Gegenmaßnahmen ergriffen werden? Dazu müssen berechtigte Mitarbeiter aktive privilegierte Sitzungen in einer PIM-Lösung mit einem zentralen Dashboard überblicken können. Auf diese Weise könnten sie sich direkt in eine Session einklinken und diese remote beenden. In Verbindung mit einem SIEM-Tool ist es möglich, Session-Aktivitäten in Echtzeit zu kontrollieren und diese bei einem Alarm sofort zu unterbinden.
Welche Vorteile bieten PIM-Lösungen Unternehmen und den Administratoren? Generell erhöhen Unternehmen durch die zentralisierte und automatisierte Überwachung privilegierter Benutzerkonten ihre IT-Sicherheit. Zudem lassen sich die damit verbundenen Prozesse "glattziehen" und Compliance-Anforderungen einhalten. Administratoren können damit rechnen, dass sich der Verwaltungsaufwand spürbar reduziert. (hal)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO.