Lesezeit
2 Minuten
Sichere Passwörter allein reichen nicht
Konten privilegierter Benutzer unterliegen oft den gleichen Sicherheitsanforderungen, wie sie auch auf normale Nutzer Anwendung finden. Allerdings ist es weitaus gefährlicher und folgenreicher, wenn zum Beispiel der Zugang eines Administrators geknackt wird. Es gilt daher, privilegierte Konten so umfassend wie möglich zu schützen. Der zentrale Ansatz dazu ist das Privileged Access Management. Der Artikel erklärt, wie PAM einen wichtigen Beitrag zur IT-Sicherheit im Unternehmen leisten kann.
Für jeden Nutzer, der sich regelmäßig bei Cloud- beziehungsweise Onlinediensten anmeldet, sind sie ein alter Bekannter: die Vorgaben, die bei der Erstellung eines Kennworts zu beachten sind. So sollen starke Passwörter verhindern, dass Mitarbeiterkonten kompromittiert werden. Zu diesem Zweck müssen sich alle Nutzer an bestimmte Regeln halten, die die IT-Abteilung festlegt. Hierzu zählen beispielsweise die Länge des Kennworts, die Groß- und Kleinschreibung sowie die Verwendung von Sonderzeichen und Zahlen. Darüber hinaus gelten in den meisten Unternehmen Richtlinien, die Passwortänderungen in bestimmten Intervallen vorsehen – Letzteres ist unter Experten jedoch umstritten. Daher hat das Bundesamt für Sicherheit in der Informationstechnik erst kürzlich eine bis dato geltende Empfehlung aus dem Handbuch zum IT-Grundschutz zurückgezogen.
Admin-Konten im Visier der Angreifer
In Zeiten zunehmender Cyberattacken auf Unternehmen ist das Bestreben, die eigene IT-Infrastruktur bestmöglich abzusichern, geradezu eine Notwendigkeit. Nicht zuletzt, um allen gesetzlichen Vorgaben Rechnung zu tragen – Stichwort DSGVO. Und gerade die Absicherung der Zugänge zu den Unternehmensressourcen, spielt dabei eine herausragende Rolle. Benutzerkonten, die über besondere Privilegien wie erweiterte Zugriffs- oder gar Administrationsrechte verfügen, gilt es hier besonders im Blick zu haben. Dies betrifft vor allem Administratoren, Mitarbeiter des technischen Supports aber auch externe Dienstleister wie MSPs (Managed Service Provider), die zur Erfüllung ihrer Aufgaben erweiterte Privilegien auf den IT-Systemen benötigen.
Genau diese privilegierten Accounts sind es, auf die es Cyberkriminelle vornehmlich abgesehen haben. Denn ein solches privilegiertes Konto verschafft ihnen einen weitaus umfassenderen Zugang zu Unternehmensressourcen als es das eines "normalen" Nutzers könnte. Daher ist es vor allem beim Zugangsschutz privilegierter Konten mit einem starken Passwort allein nicht getan.
Zugangskontrolle von Grund auf neu gedacht
Vielmehr gilt es, die Zugangskontrolle ganzheitlich zu betrachten. Insbesondere, da selbst das stärkste Passwort nicht davor schützen kann, dass die Logindaten Cyberkriminellen in die Hände fallen. Neben Brute-Force-Attacken – die sich durch ausgeklügelte Passwörter zwar erschweren, aber nicht verhindern lassen – sind vor allem Social-Engineering-Angriffe und hierbei besonders Phishing dafür verantwortlich, dass Cyberkriminelle in den Besitz funktionierender Zugangsdaten gelangen.
Da jedoch Kennwörter kurz- und mittelfristig nicht durch alternative Authentifizierungsmethoden ersetzt werden dürften, müssen IT-Verantwortliche Wege finden, um das Thema kompromittierter, privilegierter Accounts anderweitig zu adressieren. Abhilfe schafft hier das sogenannte Privileged Access Management (PAM).
PAM schützt privilegierte Accounts umfassend
Während sich Werkzeuge zum Identity Management (IdM) generell auf die Verwaltung aller Nutzer konzentrieren und Richtlinien für diese definieren, kümmert sich PAM primär um den Vorgang des Zugriffs selbst und sichert diesen über die vollständige Dauer der Sitzung. Eine PAM-Lösung arbeitet folglich komplementär zu IdM und sorgt dafür, dass die Sicherheitsrichtlinien für das jeweilige Benutzerprofil auch eingehalten werden. Grundsätzlich können Unternehmen, die ein PAM-Tool wie Wallix Bastion einsetzen, damit gezielt Nutzer vor einer Kompromittierung ihrer Accounts schützen. Diese Produkte bestehen in der Regel aus drei Hauptkomponenten mit unterschiedlichen Funktionen: einem Access Manager, einem Password Vault sowie dem Session Manager.
Mit Hilfe des Access Managers sind Sicherheitsverantwortliche in der Lage, die Zugriffsrechte der Nutzer zu verwalten und mit allgemeinen sowie rollenbasierten Richtlinien zu ergänzen. Er bildet das zentrale Zugangsportal des PAM-Werkzeugs. Benutzer können über den Access Manager auf das benötigte Zielsystem zugreifen beziehungsweise den Zugang dazu beantragen. Durch Einsatz des Access Managers können Unternehmen zudem auf Fernzugriffsschnittstellen in ihren Firewalls verzichten und somit die Perimeter wieder stärken. Auch die Benutzung eines VPNs ist nicht mehr zwingend notwendig, da der Access Manager eine sichere Verbindung zum Zielsystem gewährleistet. Ein direkter Zugriff auf das betreffende System ist nicht mehr möglich.
Dieses Vorgehen reduziert bei konsequenter Umsetzung zudem das Risiko von Insider-Attacken. Bei diesen Attacken verursachen insbesondere ehemalige Mitarbeiter fahrlässig beziehungsweise vorsätzlich Schäden an den IT-Systemen einer Organisation. Eine viel zu oft unterschätzte Gefahr, die regelmäßig hohe Verluste aufseiten der Unternehmen verursacht – ganz zu schweigen von der Rufschädigung, wenn solche Vorfälle publik werden. Im Schnitt haben Insider-Vorfälle aktuell eine Schadenshöhe von mehr als 300.000 US-Dollar zur Folge, wie eine Studie des Ponemon Institute im Auftrag von Proofpoint und IBM kürzlich ergab.
ln/Stefan Rabben, Sales Director DACH and Eastern Europe bei WALLIX
Admin-Konten im Visier der Angreifer
In Zeiten zunehmender Cyberattacken auf Unternehmen ist das Bestreben, die eigene IT-Infrastruktur bestmöglich abzusichern, geradezu eine Notwendigkeit. Nicht zuletzt, um allen gesetzlichen Vorgaben Rechnung zu tragen – Stichwort DSGVO. Und gerade die Absicherung der Zugänge zu den Unternehmensressourcen, spielt dabei eine herausragende Rolle. Benutzerkonten, die über besondere Privilegien wie erweiterte Zugriffs- oder gar Administrationsrechte verfügen, gilt es hier besonders im Blick zu haben. Dies betrifft vor allem Administratoren, Mitarbeiter des technischen Supports aber auch externe Dienstleister wie MSPs (Managed Service Provider), die zur Erfüllung ihrer Aufgaben erweiterte Privilegien auf den IT-Systemen benötigen.
Genau diese privilegierten Accounts sind es, auf die es Cyberkriminelle vornehmlich abgesehen haben. Denn ein solches privilegiertes Konto verschafft ihnen einen weitaus umfassenderen Zugang zu Unternehmensressourcen als es das eines "normalen" Nutzers könnte. Daher ist es vor allem beim Zugangsschutz privilegierter Konten mit einem starken Passwort allein nicht getan.
Zugangskontrolle von Grund auf neu gedacht
Vielmehr gilt es, die Zugangskontrolle ganzheitlich zu betrachten. Insbesondere, da selbst das stärkste Passwort nicht davor schützen kann, dass die Logindaten Cyberkriminellen in die Hände fallen. Neben Brute-Force-Attacken – die sich durch ausgeklügelte Passwörter zwar erschweren, aber nicht verhindern lassen – sind vor allem Social-Engineering-Angriffe und hierbei besonders Phishing dafür verantwortlich, dass Cyberkriminelle in den Besitz funktionierender Zugangsdaten gelangen.
Da jedoch Kennwörter kurz- und mittelfristig nicht durch alternative Authentifizierungsmethoden ersetzt werden dürften, müssen IT-Verantwortliche Wege finden, um das Thema kompromittierter, privilegierter Accounts anderweitig zu adressieren. Abhilfe schafft hier das sogenannte Privileged Access Management (PAM).
PAM schützt privilegierte Accounts umfassend
Während sich Werkzeuge zum Identity Management (IdM) generell auf die Verwaltung aller Nutzer konzentrieren und Richtlinien für diese definieren, kümmert sich PAM primär um den Vorgang des Zugriffs selbst und sichert diesen über die vollständige Dauer der Sitzung. Eine PAM-Lösung arbeitet folglich komplementär zu IdM und sorgt dafür, dass die Sicherheitsrichtlinien für das jeweilige Benutzerprofil auch eingehalten werden. Grundsätzlich können Unternehmen, die ein PAM-Tool wie Wallix Bastion einsetzen, damit gezielt Nutzer vor einer Kompromittierung ihrer Accounts schützen. Diese Produkte bestehen in der Regel aus drei Hauptkomponenten mit unterschiedlichen Funktionen: einem Access Manager, einem Password Vault sowie dem Session Manager.
Mit Hilfe des Access Managers sind Sicherheitsverantwortliche in der Lage, die Zugriffsrechte der Nutzer zu verwalten und mit allgemeinen sowie rollenbasierten Richtlinien zu ergänzen. Er bildet das zentrale Zugangsportal des PAM-Werkzeugs. Benutzer können über den Access Manager auf das benötigte Zielsystem zugreifen beziehungsweise den Zugang dazu beantragen. Durch Einsatz des Access Managers können Unternehmen zudem auf Fernzugriffsschnittstellen in ihren Firewalls verzichten und somit die Perimeter wieder stärken. Auch die Benutzung eines VPNs ist nicht mehr zwingend notwendig, da der Access Manager eine sichere Verbindung zum Zielsystem gewährleistet. Ein direkter Zugriff auf das betreffende System ist nicht mehr möglich.
Dieses Vorgehen reduziert bei konsequenter Umsetzung zudem das Risiko von Insider-Attacken. Bei diesen Attacken verursachen insbesondere ehemalige Mitarbeiter fahrlässig beziehungsweise vorsätzlich Schäden an den IT-Systemen einer Organisation. Eine viel zu oft unterschätzte Gefahr, die regelmäßig hohe Verluste aufseiten der Unternehmen verursacht – ganz zu schweigen von der Rufschädigung, wenn solche Vorfälle publik werden. Im Schnitt haben Insider-Vorfälle aktuell eine Schadenshöhe von mehr als 300.000 US-Dollar zur Folge, wie eine Studie des Ponemon Institute im Auftrag von Proofpoint und IBM kürzlich ergab.
ln/Stefan Rabben, Sales Director DACH and Eastern Europe bei WALLIX