Sergey Nivens - Fotolia

Privilege Management: mehr als Kennwort-Management für gemeinsame Benutzerkonten

Der Markt für Privilege Management ist in Bewegung. Security-Anbieter haben in den vergangenen Monaten kräftig investiert – auch in neue Funktionen.

Nachdem CyberArk vor kurzem Viewfinity gekauft hat, zog nun mit Thycotic ein weiterer Hersteller nach und hat mit Arellia ebenfalls einen Anbieter von Application-Control-Lösungen übernommen. Andere Hersteller haben ihr Portfolio ebenfalls erweitert. Wallix bietet längst mehr als nur Session Management und unterstützt beispielsweise auch einen Password Vault, um Kennwörter von privilegierten Benutzern zu speichern. Balabit hat umfassende Analysefunktionen für die Nutzung von Konten mit erhöhten Berechtigungen im Programm und IBM integriert seine Lösung immer mehr mit den Analysefunktionen von IBM QRadar.

Der Markt ist in Bewegung, in viele verschiedene Richtungen. Privilege Management ist längst mehr als nur Shared Account Password Management, also die Verwaltung von Kennwörtern für gemeinsam genutzte Benutzerkonten, die als Einmal-Kennwort für den Zugriff zur Verfügung gestellt werden. Es geht darum, das Verhalten von Benutzern mit höheren Berechtigungen zu jedem Zeitpunkt unter Kontrolle zu behalten. Das sind nicht mehr nur Administratoren wie root- oder Domänen-Admins, sondern beispielsweise auch Benutzer mit erhöhten Berechtigungen in Business-Anwendungen.

Die Zielsetzung der Anbieter ist zunehmend ein vollständiger Schutz. Privilegierte Konten können automatisch identifiziert werden. Der Zugang zu diesen Konten wird geschützt. Das Nutzungsverhalten wird analysiert, um ungewöhnliche und abweichende Verhaltensmuster erkennen zu können, die zum Beispiel auf eine missbräuchliche Nutzung durch einen internen Angreifer oder auf die Übernahme durch einen externen Angreifer hindeuten. Sessions können aufgezeichnet und analysiert werden. Berechtigungen von Nutzern lassen sich einschränken, ob durch Restriktionen in Unix- und Linux-Shells oder durch Application-Control-Funktionen unter Windows, in denen der Zugriff auf Anwendungen über Blacklists oder Whitelists eingeschränkt respektive zugelassen wird.

Interessant bei dieser Erweiterung des Portfolios ist nicht nur der funktionale Aspekt, sondern auch der immer breitere Fokus auf Benutzergruppen. Wie bereits erwähnt, geht es längst nicht mehr nur um ein paar Administratoren. Damit gibt es aber auch neue Herausforderungen.

Auf der einen Seite steht die Verfügbarkeit. Eine automatisierte Reaktion, mit der die Handlungsmöglichkeiten von Administratoren eingeschränkt werden, ist einfacher beherrschbar als weitgehende Einschränkungen vieler Benutzer durch eine fehlerhafte Konfiguration der Application Control. Ein weiteres Thema ist der Datenschutz. Je mehr Benutzer zum Beispiel von Session Monitoring oder einer Verhaltensanalyse über User Behavior Analytics betroffen sind, desto vorsichtiger muss man bei der Einführung umgehen, beginnend bei der Zusammenarbeit mit dem Betriebsrat.

„Es geht darum, das Verhalten von Benutzern mit erhöhten Berechtigungen zu jedem Zeitpunkt unter Kontrolle zu behalten.“

Martin Kuppinger, KuppingerCole Research

xxx

Schließlich geht es auch um die Frage, welche Funktionen in dieser Entwicklung besser als andere, breiter einsetzbare Tools genutzt werden. Die Analyse des Benutzerverhaltens beschränkt sich nicht auf wenige privilegierte Nutzer. Die adaptive, risikobasierte Authentifizierung und das Single Sign-On zu Sessions sind Herausforderungen, die nicht nur mit wenigen Anwendungen und speziellen Benutzerkonten zu tun haben. Je breiter man das Thema definiert, desto enger muss sich Privilege Management mit dem Rest des Identity und Access Management (IAM) integrieren.

Diese Entwicklungen bedeuten für Anwenderunternehmen, dass man den Blick auf Privilege-Management-Lösungen weiter fassen muss. Es geht nicht mehr nur um eine punktuelle Lösung für ein paar administrative Anwender, sondern um ein viel umfassenderes Themenfeld. Hier gilt es, erst zu verstehen, wo Privilege Management heute steht und wohin es sich entwickelt und das mit den eigenen Anforderungen abzugleichen, bevor man den Hersteller der Wahl aussucht. Denn dieser muss vielleicht viel mehr können, als man zunächst dachte.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datensicherheit und Cloud-Computing

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close