Lesezeit ca. 4 Min.

Privileged Access Management: Wehe, wenn Hacker Admin-Zugänge ergattern


Logo von Computerwoche
Computerwoche - epaper ⋅ Ausgabe 31/2022 vom 04.08.2022
Artikelbild für den Artikel "Privileged Access Management: Wehe, wenn Hacker Admin-Zugänge ergattern" aus der Ausgabe 31/2022 von Computerwoche. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Privileged Access Management (PAM), manchmal auch als Privileged Identity Management (PIM) oder Privileged Access Security (PAS) bezeichnet, ist ein Teilbereich des Identity & Access Management (IAM). Es geht darum, administrative beziehungsweise hoch privilegierte Benutzerkonten inklusive der damit verbundenen Berechtigungen in IT-Systemen sicher zu organisieren und zu verwalten. Das betrifft insbesondere Konten von Administratoren, deren Befugnisse über die von regulären Standardnutzern weit hinausgehen.

Den Analysten von Gartner zufolge gibt es rund um Privileged Access Management verschiedene Disziplinen: Privileged Account and Session Management (PASM) für das granulare Steuern und Verwalten von Konten und Sitzungen. Es beinhaltet auch eine sichere Aufbewahrung von Anmeldeinformationen inklusive des Handlings dieser Daten wie zum Beispiel der regelmäßigen Änderung von Passwörtern.

Privilege ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von Computerwoche. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1000 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 31/2022 von Es geht um mehr als neue Hard- und Software. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Es geht um mehr als neue Hard- und Software
Titelbild der Ausgabe 31/2022 von Stefanie Kemp, Oracle: „Manchmal reden wir nur noch mit dem Fachbereich“. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Stefanie Kemp, Oracle: „Manchmal reden wir nur noch mit dem Fachbereich“
Titelbild der Ausgabe 31/2022 von Bosch investiert drei Milliarden Euro in seine Halbleiterfertigung. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Bosch investiert drei Milliarden Euro in seine Halbleiterfertigung
Titelbild der Ausgabe 31/2022 von Mehrheit ist unzufrieden: Viele Anwender bereuen Technologiekäufe. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Mehrheit ist unzufrieden: Viele Anwender bereuen Technologiekäufe
Mehr Lesetipps
Blättern im Magazin
Mehrheit ist unzufrieden: Viele Anwender bereuen Technologiekäufe
Vorheriger Artikel
Mehrheit ist unzufrieden: Viele Anwender bereuen Technologiekäufe
Unternehmen suchen Java-, Python- und SQL-Professionals
Nächster Artikel
Unternehmen suchen Java-, Python- und SQL-Professionals
Mehr Lesetipps

... Elevation and Delegation Management (PEDM) kontrolliert, welche Befehle ausgeführt werden. Außerdem lässt sich hinterlegen, was priorisiert ausgeführt beziehungsweise geblockt werden soll.

Secrets Management beinhaltet das Verwalten und Absichern von Objekten wie Passwörtern, Tokens, SSH-Schlüsseln und anderen Berechtigungsnachweisen.

Wer hat privilegierte Rechte?

Privileged Access kann menschliche wie auch maschinelle beziehungsweise softwarebezogene Identitäten betreffen. Anbieter Cyberark listet einige Beispiele auf: Superuser-Konto: Ein leistungsfähiges Konto, mit dem IT-Systemadministratoren Konfigurationen an einem System oder einer Anwendung vornehmen, Benutzer hinzufügen und entfernen sowie Daten löschen können.

Domänenadministrator-Konto: Ein Konto, das privilegierten administrativen Zugriff auf alle Workstations und Server innerhalb einer Netzwerkdomäne ermöglicht. In der Regel gibt es nicht viele solcher Konten, aber sie bieten den umfassendsten und stabilsten Zugriff im gesamten Netzwerk. Oft ist auch vom „Schlüssel zur IT-Festung“ die Rede, wenn es um die Privilegien von Administratorkonten und -systemen geht.

Lokales Administratorkonto: Dieses Konto befindet sich auf einem Endpunkt oder einer Workstation und nutzt eine Kombination aus Username und Passwort. Benutzer können damit auf lokale Rechner und Geräte zugreifen und Änderungen daran vornehmen.

Secure-Socket-Shell(SSH)-Schlüssel: SSH-Schlüssel sind häufig genutzte Zugriffsprotokolle, die direkten Root-Zugriff auf kritische Systeme ermöglichen. Roots sind Benutzernamen oder Konten, die standardmäßig Zugriff auf alle Befehle und Dateien auf einem Linuxoder einem anderen Unix-ähnlichen Betriebssystem haben.

Notfallkonto: Dieses Konto bietet Benutzern im Notfall administrativen Zugriff auf sichere Systeme. Es wird manchmal auch als Firecall oder Break Glass Account bezeichnet.

Privilegierter Businessuser: Ein Benutzer, der außerhalb der IT arbeitet, aber Zugriff auf sensible Systeme hat. Das kann zum Beispiel ein Mitarbeiter sein, der Zugriff auf Finanz-, Personal- oder Marketingsysteme braucht.

Beispiele für privilegierte Software-basierteoder Maschinen-Zugriffe: Anwendungskonto: Ein privilegierter Account für eine bestimmte Anwendungssoftware, mit dem in der Regel der Zugriff auf die Anwendungssoftware verwaltet, konfiguriert oder gesteuert wird.

Service-Konto: Ein Konto, das von einer Anwendung oder einem Dienst für die Interaktion mit dem Betriebssystem genutzt wird. Dienste nutzen solche Konten, um auf das Betriebssystem oder eine Konfiguration zuzugreifen und Änderungen daran vorzunehmen.

SSH-Schlüssel: SSH-Schlüssel werden auch von automatisierten Prozessen genutzt.

Secret: Ein Sammelbegriff, den das Entwicklungs- und Betriebsteam (DevOps) oft für SSH-Schlüssel, API-Schlüssel und andere Anmeldedaten für privilegierten Zugriff verwendet.

Wie groß ist die Gefahr?

Kaum ein Unternehmen wird behaupten können, es gäbe innerhalb der eigenen IT-Systeme keine privilegierten Konten. Expertenschätzungen zufolge nimmt die Angriffsfläche, die weitreichende Berechtigungen bieten, signifikant zu. Das liegt unter anderem daran, dass die zunehmend heterogen und hybrid zusammengesetzten Landschaften in den Anwenderunternehmen immer komplexer werden.

Verschiedenste Systeme, Anwendungen, Maschine-zu-Maschine-Konten, Cloud- und Hybridumgebungen, DevOps, robotergesteuerte Prozessautomatisierung und IoT-Geräte bilden ein weit verzweigtes Netz, in dem es schwerfällt, die Rechte zu kontrollieren. Das gilt vor allem, weil sich die Umgebungen ständig verändern, neue Mitglieder und Objekte dazukommen oder andere abgeschaltet werden.

Hackern bleibt diese Situation nicht verborgen. Komplexe Angriffe basieren heute oft darauf, dass privilegierte Anmeldedaten missbraucht werden, damit sich Eindringlinge Zugang zu den Systemen verschaffen können. Da Privileged Access weit in die Systeme hineinreicht und Zugang zu sensiblen Daten, Anwendungen und Infrastrukturen erlaubt, kann der Schaden beträchtlich sein.

Wie funktioniert PAM?

Privileged Access Management soll verhindern, dass Anmeldedaten gestohlen und privilegierte Rechte missbraucht werden. Dabei handelt es sich um einen umfassend angelegten Cyber-Security-Ansatz, der Mitarbeiter, Prozesse und Technologie einbezieht. Es geht darum, alle menschlichen und nicht menschlichen privilegierten Identitäten und Aktivitäten in einer IT-Umgebung zu kontrollieren, zu überwachen und abzusichern.

Gartners Top 9 bei PAM

Zu den wichtigsten Anbietern von Produkten für das Privileged Access Management zählen den Analysten von Gartner zufolge folgende Unternehmen:

→ Arcon,

→ Beyondtrust,

→ Broadcom (Symantec),

→ Centrify,

→ Cyberark,

→ One Identity,

→ Senhasegura, 

→ Thycotic und 

→ Wallix.

Mehr zum Thema IAM

→ Alles über IAM Wozu man Access and Identity Management braucht und welche Vorteile und Risiken es gibt. www.cowo.de/a/3331386

→ Kunden-Logins sicher machen Unternehmen achten zu wenig auf die Kunden, wenn sie Anmeldeprozesse gestalten. www.cowo.de/a/3552411

→ Zero Trust umsetzen Vertraue niemandem, lautet das Grundprinzip von Zero Trust. Lesen Sie, was dahintersteckt. www.cowo.de/a/3547307

PAM beruht auf dem Least-Privilege-Prinzip, wonach Benutzer nur die für ihre jeweiligen Aufgaben erforderliche Rechte erhalten sollen. Das Least-Privilege-Prinzip gilt als Best Practice und ist Experten zufolge ein wesentlicher Schritt zum Schutz privilegierter Zugriffe auf sensible Daten und Ressourcen. Setzen die Unternehmen dieses Prinzip konsequent durch, lasse sich die Angriffsfläche verringern. Die Gefahr von internen Datenschutzverletzungen und externen Cyber-Angriffe könnte gesenkt werden.

Die Kernfunktionen

Zu den Kernfunktionen von PAM gehören Gartner zufolge:

→ Erkennung von privilegierten Konten über mehrere Systeme, Infrastrukturen und Anwendungen hinweg,

→ Verwaltung von Berechtigungsnachweisen für privilegierte Konten,

→ Delegation des Zugriffs auf privilegierte Konten,

→ Aufbauen, Verwalten, Überwachen und Aufzeichnen von Sitzungen für interaktiven privilegierten Zugriff,

→ Kontrolle über die Reichweite von Eingaben und Befehlen.

Zu den optional vorhandenen Funktionen von PAM gehören:

→ Verwalten von Zugriffsrechten für Anwendungen, Dienste und Geräte,

→ Privilegierte Aufgabenautomatisierung (PTA),

→ Privilegierter Fernzugriff für Mitarbeiter und externe Benutzer.

Was sind die zentralen Herausforderungen beim PAM? Cyberark zufolge gibt es eine Reihe von Herausforderungen rund um den Schutz, die Kontrolle und die Überwachung privilegierter Zugriffe: Verwaltung von Anmeldedaten: Viele Unternehmen vertrauen auf fehleranfällige, aufwendige Prozesse für die Rotation und Aktualisierung privilegierter Anmeldedaten. Das kann ineffizient und letztendlich teuer sein.

Verfolgung privilegierter Aktivitäten: Manche Betriebe können privilegierte Sessions nicht zentral überwachen und steuern, wodurch sie verstärkt Cyber-Sicherheitsbedrohungen und Compliance-Verstößen ausgesetzt sind.

Überwachung und Analyse von Bedrohungen: Wenn Firmen nicht über geeignete Tools zur Gefahrenanalyse verfügen und nicht in der Lage sind, verdächtige Aktivitäten proaktiv zu erkennen und angemessen darauf zu reagieren, wachsen die Risiken.

Steuerung und Kontrolle privilegierter Benutzerzugriffe: Oft haben Unternehmen Schwierigkeiten, privilegierte Benutzerzugriffe auf Cloud-Plattformen (Infrastructure as a Service und Platform as a Service), Software-as-a-Service(SaaS)-Anwendungen, Social Media usw. wirksam zu kontrollieren, was zu Compliance-Risiken führt und den Betrieb komplexer macht.

Schutz von Windows-Domänencontrollern: Cyber-Angreifer können Schwachstellen im Kerberos-Authentifizierungsprotokoll ausnutzen, um sich als autorisierte Benutzer auszugeben und so Zugang zu kritischen IT-Ressourcen und vertraulichen Daten zu erhalten.

Einzellösungen oder IAM-Bestandteil

Werkzeuge für das Privileged Access Management gibt es als Einzellösung beziehungsweise als Bestandteil von weiter gefassten Identity & Access-Management(IAM)-Suiten. Die Tools werden als physische oder virtuelle Appliance, als Software as a Service in der Cloud beziehungsweise als klassische lokal installierte Softwarelösung angeboten.