Sergey Nivens - Fotolia

Privileged Access Management (PAM): Dienstleister verwalten

Die Verwaltung von Zugriffrechten für Dienstleister und privilegierte Accounts ist komplex. Privileged Access Management bietet sich als Lösung an.

Ein Nebeneffekt der digitalen Integration besteht darin, dass Unternehmen immer öfter auf externe Dienstleister zurückgreifen. Das bietet sich auch an, weil IT-Aufgaben mittlerweile so komplex geworden sind, dass Auslagerung häufig sinnvoll ist. Außerdem lassen sich neue Lösungen mithilfe von externem Know-how schneller bereitstellen und besser verwalten.

Doch es gibt auch Schattenseiten. So führte beispielsweise der Angriff auf den Deutschen Bundestag im letzten Jahr vor Augen, welche Probleme sich nach einer Sicherheitspanne stellen können. Die Spuren der Angreifer verloren sich in den Netzen des Bundestags, verwischt von den vielen involvierten Akteuren, darunter natürlich mehrere externe Anbieter. Wer hinter dem Angriff steckte, ist nach wie vor unbekannt, obwohl das Ziel schwer bewacht war. Bis heute weiß niemand, welchem Zweck der Angriff dienen sollte.

Laut dem Report 2015 Information Security Breaches Survey von PWC beschäftigen 82 Prozent aller Unternehmen in irgendeiner Form externe Dienstleister und lagern Geschäftsaufgaben aus. Zudem räumten 90 Prozent der befragten Unternehmen ein, dass es bei ihnen im vergangenen Jahr zu einem Sicherheitsereignis irgendwelcher Art gekommen war. Überraschend ist dabei, dass 48 Prozent der Sicherheitsverletzungen auf menschliches Versagen zurückzuführen waren und 17 Prozent auf einen bewussten Missbrauch von Systemen durch Menschen. Die größten Bedrohungen sind nicht etwa Malware-Angriffe von außen, sondern Aktivitäten, die sich im Inneren eines Unternehmensnetzes abspielen.

Die digitale Integration hat nicht nur Auswirkungen auf den beruflichen oder privaten Alltag. Sie verändert auch die Bedeutung der Mitarbeiterinnen und Mitarbeiter in den Unternehmen. Die Personalfluktuation ist höher und die Angestellten von Dienstleistern sitzen oft in anderen Teilen der Welt – Glaubwürdigkeit und Integrität sind dadurch schwieriger nachzuweisen. Außerdem teilen sich beim Zugriff auf Ressourcen oft mehrere Personen ein Konto.

Die IT-Administratoren müssen den Benutzern Zugriffsrechte erteilen, gleichzeitig aber auch die Compliance-Vorgaben erfüllen, die sich in der Regel von Branche zu Branche unterscheiden. Zudem wächst die Zahl der Administratoren und Superuser: eigene Administratoren für Windows-Umgebungen und virtuelle Plattformen, SAP-Superuser oder DBAs für die Datenbanksysteme sind nur einige wenige Beispiele. Diese Entwicklung hat auch damit zu tun, dass immer mehr in den Händen von Dienstleistern liegt.

Wenn die Anwender solcher privilegierter Konten Fehler machen oder diese sogar missbrauchen, kann ein Unternehmen schweren Schaden nehmen. Die IT-Abteilungen haben jedoch nicht das nötige Personal, um sämtliche Akteure zu überwachen, insbesondere, wenn diese bei Dritten angestellt sind. Ein Mikro-Management für jeden einzelnen Benutzer ist zeitraubend und ineffizient. Angesichts der wachsenden Zahl von Geräten und der heterogenen Benutzergruppen brauchen die Administratoren Lösungen, um die Zugriffsrechte zu verwalten. Gleichzeitig soll der Zugang zu den Unternehmensressourcen für die richtigen Personen gewährleistet werden, weil sie sonst nicht arbeiten können. Dies gilt gerade auch für Dienstleister, die in der Regel nur für einen begrenzten Zeitraum oder für bestimmte Aufgaben in Anspruch genommen werden.

Die Risiken im Unternehmen werden unterschätzt

Eine Reihe von Analysten sehen dieses Problem auch in Deutschland. So stellt etwa KuppingerCole beim Lebenszyklusmanagement für privilegierte Anwender Mängel fest und sieht die Gefahr, wenn Mitarbeiter aus einem Unternehmen ausscheiden oder Vertragszeiträume enden. Wenn nichts dagegen unternommen wird, werden definitiv Compliance-Vorschriften missachtet, weil nicht erkennbar ist, wer ein Administrator-Konto tatsächlich nutzt und welche Aktionen in einer Sitzung umgesetzt wurden. Die Sicherheitsarchitekturen müssen so gestaltet sein, dass jeder Benutzer mit erhöhter Sicherheitsfreigabe für die Aktivitäten zur Rechenschaft gezogen werden kann.

Ein weiteres Argument für neue Wege bei der Verwaltung von Zugriffsrechten liefert eine aktuelle Umfrage unter 400 IT-Administratoren. Dabei erklärten 74 Prozent der Befragten, dass sie die Sicherheitsmaßnahmen in ihrem derzeitigen Arbeitsbereich leicht umgehen und auf vertrauliche und sensible Daten zugreifen könnten. Wenn Administratoren dann noch mit Gemeinschaftskonten für einen Dienstleister arbeiten, steigt das Risiko deutlich, da viele Personen anonym Daten kopieren können. Auch könnten Mitarbeiter ihre Zugangsberechtigungen nutzen, um Informationen bei einem Stellenwechsel einfach auf ihren neuen Arbeitgeber zu übertragen, falls ihnen der Zugriff nicht rechtzeitig entzogen wird. Es kommt sehr häufig vor, dass Zugriffsrechte für einen Mitarbeiter aktiviert bleiben, obwohl er das Unternehmen schon längst verlassen hat.

„Die größten Bedrohungen sind nicht etwa Malware-Angriffe von außen, sondern Aktivitäten, die sich im Inneren eines Unternehmensnetzes abspielen.“

Dominique Meurisse, WALLIX

xxx

Um die Belastung der Administratoren und Sicherheitsabteilungen zu reduzieren, sollte ein entsprechendes Tool implementiert werden. Mit anderen Worten, der Aufwand für die Integration in ein bestehendes Sicherheitskonzept sollte minimal sein. Unternehmen brauchen eine Lösung für Privileged User and Access Management (PAM), die vom Onboarding einer Anwendung über die laufende Pflege bis hin zum Offboarding alles umfasst. Sie muss den kompletten Lebenszyklus abdecken: von der anfänglichen Integration ins System über alle Veränderungen während der Lebensdauer bis hin zu dem Zeitpunkt, an dem die Anwendung ausgemustert und aus dem System entfernt wird.

Fazit

Viele Unternehmen sind heute auf IT-Dienstleister angewiesen. Und angesichts der globalen Digitalisierung wird die Virtualisierung von Arbeitsbereichen und IT-Aufgaben noch weiter fortschreiten. Für Dienstleister eröffnet das große Chancen, weil sie hier Mehrwert für ihre Kunden schaffen und ihr Innovationspotenzial unter Beweis stellen können. Die Zahl der Anbieter wird somit weiter wachsen, doch gleichzeitig werden neue Schutzvorkehrungen benötigt.

Viele IT-Sicherheits-Tools dienen dazu, Systeme und Netzwerke zu härten. PAM zielt dagegen nicht auf den Schutz von Software und Hardware ab, sondern auf die Aktivitäten der Benutzer. Es bietet den richtigen Mix zwischen der Wahrung der Persönlichkeitsrechte und der Abwehr von Bedrohungen. Die eigentlichen Inhalte der Aktivitäten werden nicht analysiert, doch bei ungewöhnlichem Verhalten können IT-Abteilungen schnell reagieren und Maßnahmen ergreifen, zum Beispiel durch Zugangsbeschränkungen oder -blockaden. Bei einem Verstoß gegen Sicherheitsrichtlinien hinterlässt der Verursacher unweigerlich Spuren und kann ermittelt werden. Vertrauen auf Dienstleister ist wichtig, doch brauchen Unternehmen die Fähigkeit, die Zugriffsrechte zu steuern. Insider-Bedrohungen sind eine reale Gefahr, und Unternehmen müssen wissen, was ihre privilegierten Anwender tun.

Über den Autor:
Dominique Meurisse ist COO bei WALLIX. Das Software-Unternehmen bietet Lösungen für Privileged Access Management für große und mittlere Unternehmen, öffentliche Einrichtungen und Cloud-Service-Provider.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Nächste Schritte

Protect - Detect - Respond: Privilege Management erfordert einen neuen Ansatz

Privileged Account Security: Insider- und Cyberattacken abwehren

10 Tatsachen über Identity and Access Management (IAM)

Mit Identity- und Access-Management (IAM) die Security automatisieren

Artikel wurde zuletzt im Februar 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Identity-Management: Technologie und Strategie

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close