Sicherheit für privilegierte Accounts schaffen

Privileged Accounts sind eine Art Generalschlüssel. Für fast alle Geräte, Systeme, Anwendungen und Datenbanken gibt es privilegierte Konten, also Zugriffmöglichkeiten für Nutzer mit besonderen Rechten. Ohne solche Accounts kann eine IT auch gar nicht funktionieren. Administratoren benötigen diese Accounts für ihre Aufgaben, um beispielsweise Software-Updates zu installieren, Passwörter zurückzusetzen, Konten einzurichten oder zu deaktivieren.

Das Risiko

Privilegierte Accounts bieten meist unbegrenzten Zugriff auf Systeme und Daten – und genau darin besteht das Risiko, denn diese Accounts selbst werden wenig bis gar nicht kontrolliert. Unkontrolliert eröffnen sie jedem, der über diesen Account verfügt, eine totale Kontrolle über die «normalen» Konten, und im übrigen Unternehmen weiss im Grunde niemand, was damit genau passiert.

Das ist die Stunde des Privileged Account Management (PAM), das mehr und mehr zu einem Eckpfeiler einer konsistenten Sicherheitsstrategie wird. PAM überwacht die Rechte der privilegierten Konten, muss aber vor allem aber auch den Zugang zu diesen Konten steuern; es müssen also die Zugriffsrechte für Nutzer geregelt werden, die dann ihrerseits Zugriffsrechte regeln können. Eine wichtige Aufgabe, denn wenn hier etwas schiefgeht, ist der «Generalschlüssel» nicht mehr sicher. In PAM-Projekten müssen drei zentrale Komponenten implementiert werden:

• kontrollierter und sicherer Zugriff auf privilegierte Konten;
• Implementierung weniger privilegierter Zugriffsrechte;
• Monitoring sowie Überwachung von privilegierten Accounts.

Kontrollierter Zugriff

Die Reduzierung der Risiken von privilegierten Accounts erfordert zunächst eine gründliche Bestandsaufnahme der betreffenden Konten und Kontoinhaber. Unternehmen können die problematischen Punkte erst beurteilen, wenn sie über eine umfassende Übersicht aller privilegierten Accounts zusammen mit den Menschen und Systemen, die darauf zugreifen können, verfügen. Wenn man nicht weiss, wo man dabei ansetzen soll, empfiehlt es sich, bei den Zugängen von Drittanbietern oder Lieferanten zu beginnen – wobei es oft die ersten Überraschungen gibt, wenn man feststellt, wer alles über einen «Generalschlüssel» verfügt. Das ist beispielsweise häufig der Fall, wenn ein
Unternehmen Anbieter oder Berater für spezialisierte Lösungen und Services einsetzt, die privilegierten Remote-Zugang zur Infrastruktur benötigen.

Wer dann nicht zwischen dem privilegierten Zugang eines Dritten und dem eines «traditionellen» Administrators differenzieren kann, hat damit ein Problem; die damit verbundenen Risiken muss man sich nicht noch im Detail ausmalen.

Als Nächstes sollte man einen sicheren Ort festlegen, an dem die Anmeldeinformationen gespeichert werden; Verschlüsselung und mehrere Schichten der Authentifizierung sind hier natürlich unverzichtbar. Anschliessend müssen alle Prozesse eliminiert werden, nach denen solche Informationen unter Nutzern ausgetauscht werden können. Stattdessen muss eine individuelle Verantwortung durch die Implementierung von strengen Passwörtern gewährleistet sein.

Man kann dies für alle in Frage kommenden Accounts manuell erledigen, was aber zeitaufwendig ist und – was noch schwerer wiegt – ausserdem fehleranfällig ist. Unternehmen, die dem PAM die nötige hohe Priorität zumessen, greifen daher auf technische Lösungen zur Passwortsicherung zurück.

Privilegierte Passwort-Sicherung – Privileged Safe Technology – schützt nicht nur die betreffenden Anmeldeinformationen durch mehrere Sicherheits- und Authentifizierungsschichten, sondern ermöglicht auch den Zugang zu ihnen nur über entsprechende Workflows.

Zum Abschluss dieser Phase sollte man aber prüfen, ob durch das Entfernen der bislang üblichen Anmeldeinformationen die Produktivität beeinträchtigt wird. Auch bei einem PAM-Projekt sollte man sicherstellen, dass die Geschäftsprozesse nicht behindert werden. Sonst sind Betroffene möglicherweise motiviert, das Projekt selbst zu be- oder gar zu verhindern.

Implementierung weniger Rechte

Sicherheits- und Compliance-Vorschriften erfordern häufig sowohl individuelle Verantwortlichkeit für die Accounts als auch weniger privilegierte Zugriffsmöglichkeiten – «Least-privileged Access». Diese werden für Arbeiten genutzt, die nicht die vollen Administrator-Rechte benötigen, beispielsweise für das Anlegen neuer User oder das Zurücksetzen von Passwörtern, also für das «Alltagsgeschäft», das aus den wirklich privilegierten Aufgaben wie etwa das Neuaufsetzen einer Datenbank herausgelöst werden sollte.

Die Unternehmen müssen natürlich genau wissen, wer wann Zugang zu was hat beziehungsweise haben soll, und sie müssen den Anwendern Zugriffe auf genau der Ebene ermöglichen, die diese für ihre Aufgabe benötigen. Dies schränkt schädliche Aktionen schon mal erheblich ein, egal ob sie unbeabsichtigt oder tatsächlich böswillig erfolgen.

Um ein Modell für diese weniger privilegierten Zugriffsrechte zu implementieren, müssen zunächst alle wichtigen Rollen und Verantwortlichkeiten innerhalb der Organisation beschrieben werden. Für dieses «Role Mining» gibt es  folgende drei Möglichkeiten: Top-down, Bottom-up und By Example.

Beim Top-down Role Mining werden die Benutzer-Rollen auf Basis der jeweiligen Job-Funktionen definiert; im Bottom-up Role Mining werden die Rollen auf Basis eines im Allgemeinen benötigten Sets an Ressourcen vergeben. Im By Example Role Mining schliesslich werden Rollen von Managern festgelegt, die bestimmte Benutzer identifizieren, die die gleiche Arbeit erledigen.

Veränderte Rollen und Rechte

Die Herausforderung besteht darin, dass sich Rollen und Zugriffsrechte ständig verändern, beispielsweise wenn Mitarbeiter oder Administratoren neue Aufgaben übernehmen oder auch bei Fusionen oder Übernahmen. Es ist daher unerlässlich, alle Rollen regelmässig zu überprüfen und entsprechende Anpassungen vorzunehmen.

Im Normalfall sollte es genügen, mindestens einmal jährlich ein Update durchzuführen. Wenn ein Unternehmen aber schnell wächst, müssen diese Überprüfungen natürlich häufiger stattfinden. Die Zugänge sollten auch nicht zu granular angelegt sein. Wenn man für jeden Einzelnen eine eigene Rolle zurechtschnitzt, sind Veränderungen nicht mehr effizient zu bewältigen. Die Implementierung weniger privilegierter Zugriffsrechte kann recht komplex sein, und nicht alle Managementsysteme bieten dafür native Möglichkeiten. Um dieser Herausforderung zu begegnen, sollten Unternehmen auf Drittanbieter-Lösungen für die Delegierung – Delegation Solutions – zurückgreifen.

Monitoring und Überwachung

Es genügt jedoch nicht, lediglich festzulegen, was privilegierte Benutzer tun dürfen. Man muss auch ständig überprüfen, was sie tatsächlich tun. In einem ersten Schritt ist zu bestimmen, welche Aktivitäten von einem entsprechenden Repor-ting erfasst werden sollen. Je nach Compliance- und Sicherheits-Anforderungen wird ein Auditor Berichte fordern, die auf folgende Fragen in Bezug auf einen privilegierten Zugang Antworten liefern:

• Wer hat Zugriff auf privilegierte Konten? Wann erfolgen die Zugriffe? Auf welche Systeme wird zugegriffen?
• Welche Systeme haben Compliance-relevante Daten? Wer hat Zugang zu diesen Systemen? Was wurde mit diesem Zugang gemacht?
• Welche Systeme hatten abgelehnte Zugriffsanforderungen? Wer hatte dabei versucht zuzugreifen?
• Welche potenziell schädliche Befehle wurden auf den jeweiligen Systemen ausgeführt und von wem?

Unternehmen müssen ausserdem festlegen, wie sie diese Berichte bereitstellen wollen, welche Protokolle angefertigt werden müssen und wie diese einzelnen Benutzern zugeordnet werden können.

Solche Zuordnungen können in der Praxis eine durchaus anspruchsvolle und aufwendige Aufgabe sein. Obwohl Password Safe Solutions dabei helfen können, sollten Unternehmen (auch) eine Session-Management-Lösung verwenden, um herauszufinden, was genau ein Benutzer mit privilegiertem Zugang in den Systemen getan hat.

Privilegierte Zugänge können zu einem ernsten Sicherheitsrisiko werden, und die Schritte, die zu ihrem Schutz unternommen werden, müssen daher sorgfältig geplant und ausgewogen sein, damit sie andererseits nicht zu Produktivitätseinbussen führen. In einer Ära grosser Herausforderungen für die IT-Sicherheit ist Privileged Account Management jedenfalls kein Nischenthema mehr.