Passwort-Management auf der IT-Agenda
Mit einer Privileged-Identity-Management-Lösung die Gefahren des Datenmissbrauchs oder -diebstahls zuverlässig ausschließen
Abgesehen von der Reduzierung potentieller Sicherheitsrisiken können mit einer solchen PIM-Lösung auch die Anforderungen gängiger Compliance-Richtlinien und gesetzlicher sowie aufsichtsrechtlicher Bestimmungen erfüllt werden
(15.02.11) - Compliance-Anforderungen und Sicherheit gehören zu Herausforderungen jedes IT-Verantwortlichen. Security-Maßnahmen werden auf breiter Front ergriffen. Ein Bereich wird dabei aber laut IT-Sicherheitsexperte Cyber-Ark in der Regel vernachlässigt: das Passwort-Management.
Nach wie vor unterschätzen viele Unternehmen die Gefahren eines unzureichenden oder überhaupt nicht vorhandenen Passwort-Managements. Die Sicherheitsrisiken sind gravierend, denn privilegierte Benutzerkonten, wie sie Administratoren besitzen, ermöglichen einen Zugriff auf alle unternehmenskritischen Datenbestände.
Eine typische IT-Umgebung besteht aus zahlreichen Servern, Datenbanken oder Netzwerkgeräten, die alle über privilegierte, standardmäßig in den Systemen verfügbare Accounts mit weitreichenden Rechten gesteuert und verwaltet werden. Grundproblem dabei ist, dass sich auf den Systemen identische, oftmals leicht zu entschlüsselnde Passwörter befinden, die nur selten oder überhaupt nicht geändert werden.
Die Gefahren, die aus dieser Situation resultieren, sind unübersehbar: Über privilegierte Benutzerkonten ist ein unbeschränkter Zugriff auf nachgelagerte Systeme möglich. Wenn Unberechtigte Zugang zu solchen Bereichen haben, können sie unkontrolliert agieren und auf sensitive Informationen wie Personal-, Kunden- oder Finanzdaten zugreifen.
Ein Unberechtigter muss hier nicht der externe Hacker sein, es kann auch der Kollege sein, der vor sechs Monaten die Abteilung gewechselt hat. Erschwerend kommt hinzu, dass bei von mehreren Personen genutzten Shared Accounts keine Nachvollziehbarkeit gegeben ist.
Denn wenn eine größere Gruppe von Administratoren Zugriff auf Passwörter hat, kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat, das heißt, eine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene ist nicht möglich.
Lesen Sie zum Thema "IT-Security"auch: IT SecCity.de (www.itseccity.de)
Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn, betont: "Die Gefahren liegen auf der Hand. Doch wie wird diesen Herausforderungen heute in der Regel begegnet? Entweder es gibt überhaupt kein Passwort-Management oder man versucht sich an einer manuellen Änderung der Passwörter. Bei der normalerweise sehr großen Anzahl an unterschiedlichen Systemen ist dies allerdings ein extrem zeitaufwändiger und außerdem extrem fehleranfälliger Vorgang. Deshalb sollte man auf jeden Fall eine Lösung implementieren, mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können."
Um die Gefahren des Datenmissbrauchs oder -diebstahls zuverlässig auszuschließen, empfiehlt Cyber-Ark die Implementierung einer Privileged-Identity-Management (PIM)-Lösung, mit der die privilegierten Accounts, also Benutzerkonten mit erweiterten Rechten, zuverlässig verwaltet werden können. PIM kontrolliert, wer Änderungen vornehmen darf, überwacht, wer welche vorgenommen hat und protokolliert die Inhalte der Admin-Sessions.
Dabei gibt es verschiedene Lösungsansätze: von der Hardware-Appliance über eine Software-basierte Virtual Appliance bis hin zu einer reinen Software-Lösung. Gemeinsam ist den Lösungen, dass die Passwörter in einem gesicherten Bereich vor den Zugriffen unberechtigter Personen geschützt werden.
Gleichgültig für welches Angebot sich der Anwender entscheidet, wichtig ist, dass die Lösung einerseits eine sichere, zentrale Verwahrung und anderseits aber unbedingt eine regelmäßige automatische Änderung der Passwörter bietet - bis hin zu individuellen Passwörtern auf allen Systemen. Zudem muss eine Zugriffskontrolle und vollständige Überwachung beziehungsweise Protokollierung aller Aktivitäten vorhanden sein.
Abgesehen von der Reduzierung potentieller Sicherheitsrisiken können mit einer solchen PIM-Lösung auch die Anforderungen gängiger Compliance-Richtlinien und gesetzlicher sowie aufsichtsrechtlicher Bestimmungen erfüllt werden.
Compliance-Vorschriften aus dem Sarbanes Oxley Act (SOX), PCI-DSS, ISO 27001 oder Basel II erfordern zum Beispiel einen Nachweis, wer Zugriff auf privilegierte Benutzerkonten hat, welche Veränderungen vorgenommen wurden und ob die Passwörter ordnungsgemäß geschützt und geändert wurden. Auch in nationalen Gesetzestexten wie KWG, StGB, GoBS oder BDSG (Bundesdatenschutzgesetz) finden sich entsprechende Regelungen für IT-Verantwortliche.
Jochen Koehler erklärt: "Man sollte in diesem Zusammenhang auch nicht vergessen, dass Wirtschaftsprüfungsgesellschaften in letzter Zeit verstärkt die Thematik Passwort-Management aufgreifen und bemängeln, dass zu viele Mitarbeiter im Unternehmen umfangreiche Privilegien besitzen - Privilegien, die sie nicht oder nur selten benötigen. Auch das zeigt, dass Unternehmen das Thema PIM nicht mehr ignorieren können." (CyberArk: ra)
