Privilegierte Accounts schützen

Passwörter regelmäßig wechseln

Die einfache und zentrale Verwaltung privilegierter Benutzeraccounts sowie die Kontrolle sämtlicher Zugriffe sind wichtige Sicherheitsmaßnahmen. Worauf es dabei zu achten gilt, erläutert Markus J. Krauss, Senior Director Security Sales EMEA, CA Technologies.

Markus J. Krauss, CA Technologies

„Es bietet sich an, die Zugangskontrolle für Mitarbeiter flexibel und policy-basiert nach dem Muster „geringste Privilegien“ aufzusetzen, denn so kann man ohne Aufwand auf dynamische Anforderungen reagieren", empfiehlt Markus J. Krauss von CA Technologies.

IT-DIRECTOR: Herr Krauss, welche Arten von privilegierten Accounts gibt es?
M. Krauss:
Systemadministratoren im Unternehmen brauchen einen privilegierten Account, denn sie müssen IT-Systeme konfigurieren, warten und administrieren – Aufgaben, die aber auch zuweilen von temporären Mitarbeitern oder externen IT-Beratern vor Ort übernommen werden. Auch Lieferanten oder Dienstleister verwalten und warten oft von Remote. Alle diese Drittanbieter brauchen privilegierten Zugriff. Und schließlich gibt es Anwendungskonten, bei denen die Kennwörter in Skripten und Dateien eingebettet sind. Will diese Anwendung mit einer anderen Applikation kommunizieren oder auf eine Datenbank zugreifen, wird nach der Anmeldung das eingebettete Kennwort dort überprüft.

IT-DIRECTOR: Diese Benutzerkonten werden zunehmend als Einfallstor für Datensabotage oder -diebstahl missbraucht. Welche Maßnahmen gilt es zu ergreifen?
M. Krauss:
Der erste Schritt ist die Verwaltung von Passwörtern und Anmeldeinformationen: Wann und wie werden sie verwendet oder dürfen geändert werden? Dazu gehört auch das Wissen, wie und zu welchem Zweck allgemeine administrative Konten wie „root“ oder „Administrator“ verwendet werden. Sind diese Regeln festgelegt, hat man einen Bezugspunkt für die Steuerung, Überwachung und Aufzeichnung des individuellen oder administrativen Benutzerzugriffs.

Erst, wenn man weiß, wie ein Anwender seinen privilegierten Zugang nutzt kann man unerlaubten Systemzugriff oder die Ausführung von System-Kommandos proaktiv verhindern.

IT-DIRECTOR: Welche Funktionalitäten sollte eine Sicherheitslösungen im Bereich Privileged Management bieten?
M. Krauss:
An oberster Stelle steht die schon genannte einfache und zentrale Verwaltung der privilegierten Nutzerinformationen und Kontrolle des privilegierten Zugriffs – das muss über alle hybriden IT-Ressourcen hinweg erfolgen, ob im Data Center, der Cloud oder einer SaaS-Anwendung. Über Check-in und Check-out kann man die Privilegien auch nur für einen befristeten Zeitraum vergeben. Die Referenzen aller Passwörter von allen gemanagten Systemen müssen in einem verschlüsselten digitalen Tresor extra geschützt werden. Und schließlich muss die Lösung in der Lage sein, die privilegierte Nutzung in Echtzeit zu überwachen und aufzuzeichnen, damit ein möglicher Missbrauch direkt mit geeigneten Maßnahmen verhindert oder begrenzt wird.

IT-DIRECTOR: Wie lässt sich sicherstellten, dass Mitarbeiter nur die Rechte erhalten, die für ihren Tätigkeitsbereich erforderlich sind?
M. Krauss:
Es bietet sich an, die Zugangskontrolle für Mitarbeiter flexibel und policy-basiert nach dem Muster „geringste Privilegien“ aufzusetzen, denn so kann man ohne Aufwand auf dynamische Anforderungen reagieren. Das kann heißen, dass man den Kennwort-Wechsel auf Zeit (etwa täglich oder wöchentlich) basieren lässt, als Reaktion auf ein bestimmtes Ereignis (etwas nach jedem Gebrauch) oder nach Nutzung (Zugang nur während bestimmter Zeitfenster oder nur mit Multi-Faktor – weitere Genehmigung für den Passwort-Zugang).

Privilegierte Benutzersitzungen müssen in Echtzeit überwacht werden, brauchen aber auch eine policy-basierte Kontrolle der erlaubten bzw. verweigerten Aktivitäten (etwa, welche Befehle ein bestimmter Benutzer verwenden kann).

IT-DIRECTOR: Welche Auswirkungen haben Cloud-Services auf die sichere Verwaltung privilegierter Accounts?
M. Krauss:
Privilegierte Konten stellen für Unternehmen ein deutlich höheres Risiko dar, wenn sie auf virtuelle und Cloud-Plattformen zugreifen. Eine virtuelle Plattform, Hypervisor oder Cloud betreibt im Gegensatz zu traditionellen physikalischen Servern meist mehrere Anwendungen. Eine Integration in entsprechende Plattformen, Cloud-Anbieter und SaaS-Applikationen ist daher unabdingbar.

IT-DIRECTOR: Geben Sie drei Tipps, die Großunternehmen im Zusammenhang mit Privileged Identity Management (PIM) bzw. Privileged Account Management (PAM) berücksichtigen sollten.
M. Krauss:

  1. Schützen Sie Anmeldeinformationen, authentifizieren Sie Anwender mit entsprechender Sicherheit und üben Sie proaktiv Kontrolle über ihre Verhaltensweisen und Maßnahmen aus, um Richtlinienverstöße, Risiken und Ausfallzeiten zu verhindern.
  2. Setzen Sie effektive Kontrollmechanismen ein, um privilegierte Accounts und ihre Zugriffe zu verwalten und zu überwachen und so die Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Daten Ihres Unternehmens zu garantieren. Stellen Sie die notwendigen Dokumentationen und Berichte zur Verfügung, um gegenüber Regulierungsbehörden und Auditoren nachzuweisen, dass Sie Vorschriften einhalten.
  3. Beschleunigen, automatisieren und vereinfachen Sie den gesamten Lebenszyklus für das Privileged Access Management. Ermöglichen Sie privilegierten Anwendern den Zugriff über ein schnelles Single Sign-On und über Federated Identity in der gesamten hybriden Unternehmensinfrastruktur vom Rechenzentrum bis hin zur virtuellen Infrastruktur und zu öffentlichen und privaten Cloud-Umgebungen.

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok