Im Interview mit Trend Report erläutert Christian Goetz, Director of Pre-Sales DACH bei CyberArk auf, warum an Privileged Access Management kein Weg vorbei führt.
Die Einführung einer Privileged-Access-Management (PAM)-Lösung ist keine Frage des Ob, sondern des Wann. Und die Antwort ist klar: besser heute als morgen, denn nahezu alle Sicherheitsvorfälle sind auf die missbräuchliche Nutzung privilegierter Benutzerkonten zurückzuführen.
Herr Goetz, was genau sind Privileged Accounts und Shared Accounts? Wie viele dieser Accounts gibt es im Schnitt in Unternehmen?
Eine typische IT-Umgebung besteht aus einer Vielzahl von Servern, Applikationen, Datenbanken und Netzwerkgeräten. Sie werden alle über sogenannte Privileged Accounts, also privilegierte Konten mit weitreichenden Rechten gesteuert und administriert. Genutzt werden persönliche, häufig aber auch generische und manchmal sogar lokale Administratorkonten. Unter Sicherheitsaspekten problematisch sind vor allem die von mehreren Personen verwendeten sogenannten Shared Accounts, zum Beispiel Administratoren- und Dienste-Konten in Windows, lokale privilegierte Konten auf Desktops, Root-Konten in Unix und Linux oder Administrator-Konten für Datenbanksysteme.
Bei ihnen kann nicht kontrolliert werden, welcher Mitarbeiter ein Konto wann und wozu verwendet hat. Nicht zu vergessen sind in diesem Zusammenhang auch die Application Accounts oder Software Accounts, das heißt, die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter. Die Application Accounts werden zum Beispiel für den Datenbank-Zugriff einer Anwendung benötigt. Da die Passwörter meistens im Klartext vorliegen und nie geändert werden, bieten sie ebenfalls eine sicherheitskritische Zugangsmöglichkeit zu vertraulichen Datenbeständen. Nach Erfahrungswerten von CyberArk gibt es in einem durchschnittlichen Unternehmen etwa drei- bis viermal mehr privilegierte Accounts als Mitarbeiter.
Warum brauchen privilegierte Benutzerkonten einen besonderen Schutz?
Privilegierte Accounts und Zugangsdaten ermöglichen einen Zugriff auf unternehmenskritische Systeme, Applikationen und Daten. Deshalb müssen sie natürlich auch zuverlässig verwaltet, gesichert und überwacht werden.
Mit welchem Aufwand ist die Ermittlung der zu schützenden Zugänge für Verantwortliche eigentlich verbunden? Gibt es Möglichkeiten, diese Accounts automatisiert aufzuspüren? Welche Lösungen sind hierfür notwendig?
Es steht außer Frage, dass ein Unternehmen alle privilegierten Accounts ermitteln und sichern muss. Das ist aber leichter gesagt als getan, denn solche Accounts finden sich in vielfältiger Form im gesamten Netzwerk verteilt, etwa in Applikationen und Datenbanken, auf Endgeräten und Servern oder auch in der Cloud. Mit dem Audit-Tool Discovery and Audit (DNA) stellt CyberArk eine kostenlose Software-Lösung zur Verfügung, mit der Unternehmen einen schnellen Überblick über Anzahl, Ort und Status von privilegierten und administrativen Benutzerkonten erhalten.
Die Einführung einer Privileged-Access-Management (PAM)-Lösung ist keine Frage des Ob, sondern des Wann.
Christian Goetz ist seit 2008 bei CyberArk und aktuell in der Position als Director of Presales für die DACH-Region verantwortlich. Sein Fokus liegt dabei auf den Bereichen Privileged Identity Management, Passwort-Management und Application Identity Management.
IAM-Lösungen bringen oft auch eine PAM-Komponente mit. Genügt das nicht? Wann ist es empfehlenswert, eine PAM-Lösung in einem Unternehmen einzuführen?
Um es schon einmal vorwegzunehmen: Die Einführung einer PAM-Lösung ist sofort erforderlich! Es besteht unmittelbarer Handlungsbedarf. Warum diese Eile? Bei nahezu allen Sicherheitsvorfällen ist die missbräuchliche Nutzung von privilegierten Zugängen integraler Bestandteil von Angriffen auf IT-Systeme und IT-Umgebungen. Jeder Tag, an dem kein adäquater Schutz durch eine PAM-Lösung existiert, ist ein Tag mit erhöhtem bis höchstem Risiko. Wer heute einen Internetanschluss im Unternehmen live nimmt, wird im Sinne eines „Best Practice“-Verfahrens selbstverständlich eine Firewall von der ersten Sekunde an nutzen, um diesen Zugang abzusichern. Diese Selbstverständlichkeit muss sich auch beim Thema PAM durchsetzen.
Der Markt der PAM-Lösungen hat sich in den letzten Jahren stark weiterentwickelt. Vor zehn Jahren haben wir einige wenige spezialisierte Lösungen gesehen. Heute glänzen in den Test- und Evaluierungsberichten der IT-Analysten annähernd zwei Dutzend Lösungen und buhlen um die Kundengunst. Bei der Auswahl einer PAM-Lösung sollte ein Unternehmen nicht nur die technischen Funktionen und Leistungsmerkmalen berücksichtigen, sondern auch die Erfahrungswerte des Anbieters und seinen „Privileged“-Fokus.
Zum Thema IAM und PAM ist Folgendes zu sagen:
PAM-Lösungen bieten Schutz- und Kontrollfunktionen, es stellen sich aber auch Fragen wie „Wer darf solche privilegierten Zugänge überhaupt nutzen?“ oder
„Wie und von wem werden privilegierte Zugänge zu IT-Systemen bereitgestellt?“.
In einer sehr kleinen IT-Abteilung mag die Antwort auf diese Fragen sehr einfach und schnell zu geben sein, nicht aber in Unternehmen, in denen mehrere Tausend IT-Administratoren in beliebigen Zeitzonen und Lokationen rund um die Uhr, 365 Tage im Jahr aktiv sind. In solchen und auch schon weit kleineren Größenordnungen sind Automatisierung und definierte Prozesse obligatorisch und hier leisten IAM-Systeme einen erheblichen Beitrag.
Aber: Ein IAM selbst kann die privilegierten Accounts nicht ausreichend schützen. Privilegierte Accounts verbergen sich an vielen Stellen, die für ein IAM-System allein nicht erreichbar sind. Beispiele sind System-User wie „root“ bei Linux oder der Datenbank-Admin. Diese Accounts sind nicht provisionierbar und können mit ihren weitreichenden Rechten nicht nur großen Schaden anrichten, sondern auch Kontrollregeln außer Kraft setzen. Es ist richtig, dass einige Hersteller von IAM-Lösungen PAM-Funktionen integriert haben beziehungsweise PAM-Hersteller akquiriert haben und versuchen, deren Lösungen in die eigenen Produktlinien zu integrieren. Andere IAM-Anbieter wiederum setzen auf Kooperationen mit führenden PAM-Herstellern und gemeinsam definierte Schnittstellen erlauben eine Integration der Lösungen.
Es bleibt die Frage nach der besten Lösung für die eigenen Anforderungen und wie sich diese im Detail gestalten lässt. Es ist ein klein wenig so wie die Antwort auf Frage „Waschmaschine und Wäschetrockner separat oder doch den kombinierten Waschtrockner?“ – Chacun à son goût.
Die schlechteste Lösung ist aber in jedem Fall, nichts zu tun und das Risiko durch privilegierte Accounts zu ignorieren.
Inwieweit unterstützt eine PAM-Lösung Unternehmen bei der Erfüllung von gesetzlichen Bestimmungen und regulatorischen Compliance-Vorschriften, wie zum Beispiel der DSGVO?
Vorschriften und Regulatorien zielen allgemein darauf ab, die Kontrolle über schützenswerte Daten und Informationen sicherzustellen. Der Zugriff darf nur berechtigten Anwendern möglich sein. Nun haben aber IT-Administratoren oftmals aufgrund ihrer Rolle und der technischen Möglichkeiten beziehungsweise des Designs und Aufbaus von aktuellen Computersystemen implizit die Rechte, auf solche schutzbedürftigen Daten und Informationen zuzugreifen.
Eine der Hauptaufgaben einer PAM-Lösung ist deshalb der Schutz von privilegierten Benutzerkonten und deren Zugangsdaten vor unbefugten Zugriffen – Stichwort Password Vaulting. Hierbei werden die Zugangsdaten dieser privilegierten Accounts zentral und gesichert verwahrt sowie Zugriffsregeln definiert. Zugriffe können protokolliert werden, seien es nun der Zugriff auf ein Passwort eines administrativen Benutzers oder auf den Mitschnitt einer kompletten administrativen Sitzung.
Mit diesen bereits sehr elementaren PAM-Funktionalitäten lassen sich Schutz und Kontrolle solcher Zugänge oftmals mit sehr einfachen technischen Mitteln sicherstellen. Zeichnet man dann darüber hinaus die administrativen Sitzungen gezielt auf und protokolliert diese Vorgänge, kann man zusätzlich Nachvollziehbarkeit und Transparenz erzeugen, die im Zweifel den einzelnen Anwender nachweislich belastet oder eben auch entlastet.
Schutz, Kontrolle und Nachweisbarkeit sind die Grundsäulen des Privileged-Access-Managements. Daher kann man sicher sagen, dass PAM-Lösungen bei der Erfüllung von gesetzlichen Bestimmungen und regulatorischen Compliance-Vorschriften wie etwa der DSGVO einen wichtigen Beitrag zu deren Einhaltung beziehungsweise Sicherstellung der Einhaltung leisten.
Weiterführende Informationen zum Unternehmen:
https://www.cyberark.com/de/