de | Deutsch
IT-Sicherheit 02.06.2020

Privilegierte Accounts und deren Einfluss auf die ganzheitliche Informationssicherheit.

Immer häufiger geraten privilegierte Benutzer wie Systemadministratoren in das Visier von Cyberangriffen. Der Missbrauch dieser Konten erlaubt den Zugriff auf besonders sensible Informationen. Eine wirksame Gegenmaßnahme ist das Privileged Access Management (PAM).

Artikel teilen

André Popella
André Popella
Teamleiter Security

Was sind privilegierte Benutzer-Accounts und worin besteht die Gefährdung?

Die Definition von privilegierten Benutzer-Accounts ist recht einfach. Jeder Account innerhalb des Unternehmens, der berechtigt ist, Systemeinstellungen zu ändern oder unternehmenskritische Prozesse durchzuführen, wird als privilegierter Account klassifiziert. Dabei spielt es keine Rolle, ob sich die Benutzer-Accounts in der Cloud-Infrastruktur befinden oder On-Premise verfügbar sind, ob es sich um ein Social-Media-Konto des Unternehmens oder weitere Unternehmens-Accounts (z. B. Administrator- oder Service-Account) handelt. Alle diese Konten haben Zugriff auf sensible Datenbestände im Unternehmen. Wenn sie gelöscht, gefälscht oder an externe Stellen kopiert wurden, ist die Arbeit nicht mehr möglich und die Produktion wird eingestellt. Doch das ist nicht das einzige Problem, mit dem Unternehmen konfrontiert sind, wenn privilegierte Accounts kompromittiert werden. Das sogenannte „lateral movement“, die Suche nach weiteren lohnenswerten Zielen innerhalb der Infrastruktur, wird mit derartigen Accounts erleichtert, da neue Wege für den Zugriff auf Assets von außen etabliert werden können. Damit stellt sich die Frage, wie diese personalisierten und geteilten Benutzer-Accounts effizient und zentral vor unbefugter Nutzung geschützt werden.

 

Wie kann Privileged Access Management (PAM) Ihnen helfen, privilegierte Benutzer-Accounts zu schützen?

Durch die Verwendung eines PAM-Systems muss sich der Administrator nicht mehr an jedem einzelnen IT-System mit seinen unterschiedlichen Benutzer-Accounts anmelden, sondern hat die Möglichkeit, sich an einer zentralen Instanz mittels Multi-Faktor-Authentifizierung anzumelden. Wird eine Anmeldung über SSH, RDP oder HTTPS durchgeführt, werden dem Administrator alle Ressourcen angezeigt, für die er eine Zugriffsberechtigung besitzt. Die Anmeldung an die jeweilige Ressource kann über einen automatisierten oder interaktiven Prozess gesteuert werden. Eine automatisierte Anmeldung bietet die Möglichkeit eines automatischen Passwortwechsels für den Account, damit der Anwender das Passwort zu keinem Zeitpunkt erfährt und es nicht weitergeben kann.

 

Nicht nur im lokalen Netzwerk, sondern auch für Anmeldungen aus dem Internet kann dieser Service bereitgestellt werden. Beispielsweise können Dienstleister auf ein Portal in der DMZ zugreifen und sich dort authentifizieren. Nach erfolgreicher Anmeldung erhält der Dienstleister nur Zugriff auf IT-Systeme, die in seinem Profil hinterlegt sind. Der Vorteil hierbei ist das schnelle Onboarding von Dritten, da sie keinen dedizierten VPN-Dienst auf der Firewall einrichten müssen.

 

Welchen Zweck erfüllt ein PAM-System neben der Verwaltung privilegierter Benutzer-Accounts?

Neben der zentralen Verwaltung von Benutzer-Accounts bietet ein PAM-System weitere Vorteile: Es besteht die Möglichkeit, alle aufgebauten SSH- und RDP-Verbindungen aufzuzeichnen, um die Nachvollziehbarkeit der durchgeführten Tätigkeiten zu gewährleisten. Mit diesen Aufzeichnungen kann sichergestellt werden, dass die eigenen Mitarbeiter des Unternehmens Daten nicht unberechtigterweise manipulieren oder löschen. Neben den Hackerangriffen stellen diese Insider-Bedrohungen ein weiteres Problem dar, mit dem sich Unternehmen auseinandersetzen müssen.

 

Wenn es spezielle Anforderungen gibt, wie z. B. die Anmeldung bei Web-Portalen oder die Authentifizierung zwischen Applikationen, kann ebenfalls das Privileged Access Management weiterhelfen. Als letzter Aspekt ist die Anforderung der ISO 27001 (Informationssicherheits-Managementsystem) zu nennen. Wenn Sie die IT Ihres Unternehmens nach ISO 27001 zertifizieren lassen wollen, finden Sie im Abschnitt „Verwaltung privilegierter Zugangsrechte“ eine Beschreibung dessen, was ein PAM-System leisten kann.

 

Interesse geweckt?

Bechtle verfügt über mehrere IT-Systemhäuser, die sich mit dem Schutz von privilegierten Benutzer-Accounts beschäftigen. Die IT-System-Engineers und IT-Consultants der entsprechenden Systemhäuser zeichnen sich durch die entsprechenden Hersteller-Zertifizierungen sowie umfangreiche Projekterfahrung aus.

 

Für weitere Informationen wenden Sie sich bitte an it-security@bechtle.com.