PAM-Lösungen

Sicher aus der Ferne

Der Zugriff von externen Dienstleistern auf kritische IT-Infrastrukturen ist Standard. Dies gilt nicht nur für Mitglieder des IT-Supports, die sich über einen Client zuschalten, sondern auch für Lieferanten und Partner. Mit der wachsenden Vernetzung steigen allerdings die Risiken für die IT-Sicherheit – auch im Produktionsumfeld.

Intelligente Fertigung

Die intelligente Fertigung erfordert die Anbindung der Produktion an Zulieferer und Spediteure.

Denn diese Systeme sind ebenso zunehmend miteinander vernetzt, da die intelligente Fertigung auch die Anbindung der Produktion an Zulieferer und Spediteure erfordert, die über mögliche Materialengpässe oder über einen Produktionsstopp und einem damit einhergehenden Auslieferungsstopp im Idealfall in Echtzeit informiert werden können.

Die meisten traditionellen Lösungen, die einen Kommunikationsweg zwischen zwei Unternehmen herstellen, sehen allerdings keine Einschränkungen der Zugriffsmöglichkeiten Dritter vor. Managed-Security-Service-Provider (MSSP) sind von dieser Möglichkeit besonders betroffen, da sie Sitzungen mit ihren Kunden teilen können, um Einstellungen anzupassen oder Fehler zu beheben.

Vertrauen ist gut, Kontrolle ist besser

Auch wenn zwischen externen Dienstleistern und dem Unternehmen ein Vertrauensverhältnis bestehen sollte, gibt es Bereiche, die vor dem Zugriff dieser Dritten geschützt werden müssen. Doch die Kontrolle in Echtzeit stellt sich als eine große Herausforderung dar. Bereits jetzt geraten IT-Administratoren bei der Überwachung von IT-Infrastrukturen an ihre Grenzen. Die Observation von Sitzungen externer Dienstleister in Echtzeit erscheint erst recht unmöglich, insbesondere vor dem Hintergrund personeller Engpässe im IT-Sektor.

Am Anfang muss daher definiert werden, auf welche Bereiche externe Dienstleister Zugriff erhalten sollen und auf welche nicht. Haben IT-Administratoren und das Management ihre Definitionen abgeschlossen, muss eine Privileged-Access-Management-Lösung (PAM) zur Überwachung und gegebenenfalls Unterbrechung von externen Zugriffen gewählt werden, die die Implementierung der festgelegten Kriterien erlaubt, damit die Lösung ihre Aufgaben automatisiert erfüllen kann. Auf der Basis dieser Kriterien sollten dann die Zugriffsregeln zur Benutzerauthentifizierung und -sperrung für einen bestimmten Zeitraum festgelegt werden.

Doch IT-Administratoren sollten auch die Sitzung selbst überwachen können, da Dienstleistern manchmal auch der Zugriff auf sensible Daten gewährt werden muss. Genau dies – in Echtzeit – ermöglichen PAM-Lösungen mit einem hohen Standard. Sie erlauben eine permanente Aufzeichnung der Aktivitäten von Drittanbietern innerhalb der IT-Infrastruktur.

Idealerweise können externe Dienstleister nach der Installation der Software durch strenge Isolierung der primären (Benutzerzugang) und sekundären (Zielsystemverbindung) Sitzungsverbindungen keinen Einblick in Bereiche erhalten, für die sie nicht zugelassen sind. Allein dadurch können Versuche, sich Zugang zu gesperrten Bereichen zu verschaffen, verhindert werden. Falls die Analyse der PAM-Software hingegen doch ein auffälliges bzw. strafbares Verhalten anzeigt, unterbricht sie die Sitzung umgehend und sperrt das Nutzerkonto.

Prinzipielles bei privilegierten Zugangsdaten

Zwei grundlegende Prinzipien sollten bei der Vergabe und Nutzung privilegierter Zugänge berücksichtigt werden. Grundsätzlich sollten Privilegien sparsam vergeben werden, immer nur die „geringst notwendigen Privilegien“. Dieses Prinzip ist auch unter dem Namen „Principle of Least Privilege“ (POLP) bekannt. Jedoch dürfen Zugangsdaten zu kritischen Systemen nie auf den Gateways selbst abgelegt werden. Aus diesem Grund sollte eine PAM-Lösung die Privilegien auch sämtlicher Anwendungen automatisch und dynamisch so anpassen können, dass jeder Arbeitsschritt die für ihn angepassten Rechte erhält. Vergabe und Entzug dieser Rechte sollte auch temporär und möglichst granular erfolgen können. Ein sicherer Passworttresor, der sich innerhalb der PAM-Lösung befindet, bietet einen guten Schutz für die Zugangsdaten.

Die Einführung eines Privileged Access Management folgt dabei einem ganzheitlichen IT-Sicherheitsansatz. Eine dezentrale Verwaltung von Identitäten kann aufgrund der verschiedenen Verantwortungsbereiche der jeweiligen IT-Teams der an der Lieferkette beteiligten Unternehmen dazu führen, dass fehlerhaft erteilte Rechte nicht früh genug erkannt werden.

Die Investition in eine PAM-Lösung, wie sie etwa auch Wallix bereitstellt, lohnt sich somit in mehrfacher Hinsicht: Zum einen befreit sie die IT-Administration von der Überwachung externer Dienstleister und spart Zeit und Geld. Zum anderen schont sie personelle Ressourcen. Darüber hinaus ermöglicht PAM Unternehmen, mit geringerem Aufwand Datenschutzvorschriften zu erfüllen, und schafft zusätzliche Sicherheit auch gegenüber dem Gesetzgeber.

Bildquelle: Getty Images / iStock / Getty Images Plus

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok