Privileged Account Management (PAM)

Ob On-Premise oder in der Cloud - ohne Benutzerkonten läuft in der IT nichts. Hierzu gehören neben den Konten für die Mitarbeiter in den Fachabteilungen auch so­genannte privilegierte Nutzerkonten.

Dabei handelt es sich um Accounts für Administratoren, Wartungsmitarbeiter und leitende Angestellte, deren Rechte über die begrenzten Rechte der normalen Nutzer-Accounts in der Regel weit hinausreichen.

Nur die wenigsten IT-Abteilungen geben sich allerdings besondere Mühe, diese Konten auch ausreichend zu sichern. Weil privilegierte Accounts genutzt werden können, um Zugriff auf sensible Daten zu erhalten, diese zu manipulieren oder auch zu löschen, dürfen diese Konten nicht in falsche Hände geraten.

Laut einer von Thycotic in Auftrag gegebenen Untersuchung, für die rund 500 Unternehmen befragt wurden, inte­griert nur eines von drei Unternehmen privilegierte Accounts und die für sie verwendeten Passwörter in ihre Richtlinien für Zugriffskontrollen. In der Studie „2018 Global State of Privileged Account Management (PAM) Risk & Compliance“ beschäftigt sich der auf PAM-Lösungen spezialisierte Anbieter mit der tatsächlichen Sicherheit privilegierter Nutzerkonten in Unternehmen.

Die Ergebnisse sind erschreckend: So unterziehen der Studie zufolge rund 64 Prozent der Unternehmen ihre privilegierten Konten keiner umfassenden Überprüfung. 70 Prozent können die von ihnen genutzten privilegierten Konten noch nicht einmal identifizieren. 40 Prozent unternehmen auch nichts, um überhaupt an diese Informationen zu gelangen. Und 55 Prozent versäumen es, nach dem Ausscheiden eines Mitarbeiters dessen Account zu schließen.

Dazu passt, dass mehr als die Hälfte der befragten Unternehmen auch keine sicheren Anmeldeprozesse für ihre privilegierten Konten verwenden. So verzichten rund 73 Prozent auf die als besonders sicher geltende Multifaktor-Authentifizierung für die von ihren Administratoren genutzten Konten.

Dabei kann durchaus die Existenz eines Unternehmens auf dem Spiel stehen, wenn eines oder mehrere dieser Konten gestohlen und missbraucht werden. Nicht nur der direkte Schaden durch Datendiebstahl ist dabei einzurechnen, auch indirekte Folgen durch eine Rufschädigung und künftige Umsatzverluste können entstehen.

Die Analysten von Gartner hatten Privileged Account Management (PAM) deswegen für das Jahr 2018 zum Thema mit der höchsten Priorität im Bereich IT-Security erklärt. Das renommierte Marktforschungsunternehmen empfiehlt Unternehmen, sich mit ihren Maßnahmen auf einige wenige Be­reiche zu konzentrieren, und zwar auf solche, mit denen sich die meisten Risiken reduzieren lassen und die zugleich die größte Wirkung haben.

In einer von Gartner veröffentlichten Liste mit zehn Security-Projekten, um die sich ein Chief Information Security Officer (CISO) vor allem kümmern sollte, steht Privileged Account Management ganz oben. Als absolutes Minimum bezeichnet Gartner zudem die Multifaktor-Authentifizierung für alle Administratoren-Accounts in einem Unternehmen. Außerdem sollten die IT-Security-Teams gezielt nach ungewöhnlichem Verhalten suchen.

„Obwohl sich viele Unternehmen durchaus bewusst sind, welche Bedeutung privilegierte Konten für ihre Cybersicherheit haben, zeigt unser Report, dass es die meisten dennoch versäumen, diese Konten abzusichern und zu schützen“, erklärt Joseph Carson, Chief Security Scientist bei Thycotic. Der Schutz privilegierter Zugangsdaten sei für die Einhaltung von Compliance-Anforderungen aber unabdingbar. Der traditionelle Sicherheitsperimeter, also etwa der Schutz durch eine Firewall, biete längst keine effektive Sicherheitskontrolle mehr. Der neue Perimeter liege beim Mitarbeiter beziehungsweise seiner Identität. Der Zugriff auf sensible Daten auch außerhalb des Unternehmensnetzwerks lässt sich laut Carson nur mit IAM-Lösungen (Identity and Access Management) kontrollieren. „Die Umsetzung von Privileged Account Management ist einer der wichtigsten Schritte bei der Implementierung einer starken IAM-Lösung“, so Carson weiter.

Dabei müsse bedacht werden, dass sich „konventionelle IAM-Lösungen in erster Linie auf die Bereitstellung von Accounts konzentrieren“. Carson: „Sie haben ihren Fokus nicht auf den Sicherheitskontrollen, wie sie von PAM-Lösungen bereitgestellt werden.“ Aktuelle Lösungen für das Privileged Account Management können nach Carsons Angaben privilegierte Konten automatisch erkennen, sie verwalten und zudem schützen. „Darüber hinaus bieten sie ein automatisiertes Passwort-Management, umfassende Auditierungs-Möglichkeiten sowie ein vollständiges Monitoring, das das Aufzeichnen privilegierter Sitzungen ermöglicht.“ Eine notwendige Ergänzung sei dabei die Umsetzung des sogenannten Least-Privilege-Prinzips, das heißt, die Administratoren und Anwender im Unternehmen erhalten immer nur dieje­nigen Berechtigungen, die sie für ihre aktuellen Aufgaben auch wirklich benötigen.

Daniel Wirth, Senior Managing Consultant Identity and Access Management bei IBM Security, stimmt Carson zu: „Die Zielsetzung ist, einen IT-Nutzer stets mit den für die fachliche Tätigkeit erforderlichen Zugriffsberechtigungen auszustatten, insbesondere aber auch nicht länger notwendige Berechtigungen zu entziehen.“

Die erteilten Zugriffsrechte müssten während der gesamten Zeit im Unternehmen „vom Eintritt bis zum Austritt eines IT-Anwenders“ kontinuierlich angepasst und regelmäßig überprüft werden. Sie sollten zudem transparent und nachvollziehbar sein, um Compliance-Regularien wie MaRisk, ISO 27000, DSGVO oder BAIT/VAIT zu entsprechen. Daneben betont Wirth weitere wesentliche Punkte, die zu beachten seien, etwa ein automatischer Entzug von Rechten beim Ausscheiden oder dem Abteilungswechsel eines Mitarbeiters sowie eine Minimierung des Risikos durch eine konsequente Trennung der Aufgaben.

Dies lasse sich nur durch einen kombinierten Einsatz von sowohl IAM- als auch PAM-Lösungen erreichen. Wirth weist jedoch auch auf einen möglichen Nachteil hin: „Bei Ausfall der Lösung ist weder ein administrativer Zugriff auf Systeme noch der Start einer Anwendung mit einem Service-Konto möglich.“ Trotzdem stelle der potenzielle Missbrauch von privilegierten Zugriffsberechtigungen ein erhebliches Risiko für Unternehmen dar. Neben einer sicheren Authentifizierung nennt der IBM-Consultant auch eine Nachvollziehbarkeit der Aktivitäten aller Administratoren mittels Session Recording und die sichere Speicherung und Bereitstellung ihrer dabei verwendeten Passwörter als Anforderungen, die eine Lösung für das Privileged Account Management erfüllen sollte.

Dazu müsse ein Zugriffsmodell definiert werden, das folgende Kernfragen beantwortet:

Gegen den Ausfall des PAM-Systems kann man sich laut Wirth zudem mit einem manuellen Notfallverfahren wappnen. Er nennt dies einen „Breaking-Glass-Zugriff“. Dieser dient dazu, trotzdem einen administrativen Zugriff auf die jeweilige Systemlandschaft garantieren zu können.

Auf ein grundlegendes Problem weist Amir Alsbih, CEO des Anbieters KeyIdentity hin: „Ab einer gewissen Anzahl von Accounts schleichen sich falsche Berechtigungen ein.“ Das führe zu Problemen bei der Einhaltung von Compliance-Vorgaben und erhöhe die Risiken für das Unternehmen. KeyIdentity ist auf die Bereiche Identitätsmanagement und Multifaktor-Authentifizierung spezialisiert.

Wie Alsbih erklärt, lösen Identity and Access Management und Privileged Account Management zwei unterschiedliche Probleme: „IAM stellt die Nachvollziehbarkeit von digitalen Identitäten und deren Beweisbarkeit sicher. Es berechtigt Personen ausschließlich zu den ihnen zugewiesenen Tätigkeiten. Das PAM hingegen sorgt dafür, dass Personen mit hohen Rechten (Administratoren) diese nicht missbrauchen.“ Das gelte sowohl für einen vorsätzlichen als auch einen nicht bewussten Missbrauch.

„Wenn administrative Benutzer ohne jegliche Kontrolle das System verändern oder Daten kopieren können, stellt dies eine potenzielle Bedrohung für jede Organisation dar.“ Edward Snowden sei ein bekanntes Beispiel für einen Administrator, der seine Rechte ausgenutzt habe.

KeyIdentity-CEO Alsbih rät Unternehmen, die konkrete Risiken durch administrative Accounts verringern wollen, bei der Wahl einer PAM-Lösung auf folgende Funktionen zu
achten:

„Je mehr Informationen zur Identifizierung verarbeitet werden können, umso höher ist auch der Sicherheits-Level“, fügt Pascal Jacober hinzu. Er ist Sales Manager für die DACH-Region bei Ping Identity, einem ebenfalls auf Identitätslösungen spezialisierten Unternehmen.

Jacober betont, dass ein Rundum-Schutz immer schwieriger werde: „Die digitalen Identitäten nehmen zu.“ Als Beispiele für diesen Trend nennt er Anmeldungen bei Business-Applikationen, den Zugang zu Cloud-Diensten sowie den Zugriff auf möglicherweise sensible Daten. Zudem würden die Nutzer immer mobiler, sodass eine sichere Authentifizierung ortsunabhängig und auf allen Geräten gebraucht werde. Es seien deswegen Plattformen gefragt, die „schnell und komfortabel arbeiten und Anwender ohne Eingabehürden und Latenzzeiten authentifizieren“.

„Identity and Access Management allein wird der Aufgabe nicht mehr gerecht“, sagt auch Stefan Rabben, Area Director DACH & Eastern Europe bei Wallix. Der französische Anbieter von Security-Lösungen beschäftigt sich auch mit privilegierten Accounts und ihrem Schutz.

Genau diese Benutzerkonten benötigen nach Ansicht von Rabben einen höheren Sicherheitsstandard. Wenn ein Unternehmen sie nur genauso schütze wie normale Accounts, dann sei das, so Rabben, „als würde man einen Banktresor mit einem Fahrradschloss schützen“. Ein Privileged Account Management könne für die Einhaltung der Vorgaben sorgen, die zum Beispiel das IAM macht. Ähnlich wie die Polizei über­wache es „Aktivitäten durch privilegierte Identitäten am Zielsystem, protokolliert sie und greift bei regelwidrigen Handlungen aktiv ein“.

Rabben tritt zudem dafür ein, dass die Zugangsdaten für privilegierte Konten an kritischen Systemen dem Wartungspersonal und den Administratoren nicht mehr bekannt sein sollten. „So können die Auswirkungen eines Identitätsdiebstahls privilegierter Accounts minimiert werden.“ Stattdessen sollten diese Zugangsdaten zentral in einem sicheren Passwort-Vault verwahrt werden. Das ermögliche komplexe, durch das System generierte, rotierende Passwörter. Die Maßnahme habe den Vorteil, dass erweiterte Berechtigungen passend zur Aufgabe am Zielsystem vergeben werden könnten und nicht mehr generell einer Person zugeordnet werden müssten, wie es oft noch üblich sei.

IAM- und PAM-Lösungen sind auch nach Ansicht von Martin Grauel unverzichtbar. Grauel ist EMEA Technical Sales Manager bei One Identity, einem Spezialisten für Identity Governance, Zugriffssteuerung und die Verwaltung privilegierter Konten. Aktuelle IAM-Lösungen müssten ihre Funktionen innerhalb der gesamten Infrastruktur bereitstellen, die ein modernes Unternehmen heute nutzt, also sowohl On-Premise als auch in der Cloud und in hybriden Umgebungen. Systeme zum Schutz privilegierter Accounts seien dabei „ein wichtiger Baustein eines IAM-Gesamtkonzepts und nicht davon losgelöst“.

Privilegierte Konten sind im Geschäftsalltag unbedingt erforderlich. Aber sie bergen auch erhebliche Risiken, wenn sie nicht ausreichend geschützt werden. Sie sind der Schlüssel zu wertvollen Unternehmensdaten, der auf keinen Fall in die falschen Hände geraten darf.

Unternehmen können sich jedoch wappnen. Ein IAM-System reicht für die Aufgabe, diese Art Identitätsdiebstahl zu verhindern, allein nicht aus. Besser ist es, die meist bereits genutzte Lösung für das Identitätsmanagement um ein PAM-System zum Schutz der privilegierten Accounts zu erweitern. Da­mit werden alle Administrator-Sitzungen aufgezeichnet, gespeichert und auf potenziell verdächtige Aktivitäten untersucht.