Acht Prämissen für die effiziente Verwaltung privilegierter Accounts

Lösung zur automatischen Verwaltung von Passwörtern sind gefragt

Von unserem Gastautor Jochen Koehler

[datensicherheit.de, 12.07.2013] IT-Umgebungen bestehen in der Regel aus Hunderten oder sogar Tausenden von Servern, Datenbanken, Netzwerkgeräten und Anwendungen, die alle über verschiedene privilegierte und von mehreren Mitarbeitern genutzte Konten mit weitreichenden Berechtigungen verwaltet werden. Eine manuelle Änderung dieser privilegierten Benutzerkonten ist extrem zeitaufwändig und fehlerbehaftet – und somit kaum realisierbar. Gefragt ist hier eine Lösung zur automatischen Verwaltung von Passwörtern. Bei der Auswahl und Implementierung einer solchen Lösung sind jedoch einige elementare Aspekte zu berücksichtigen:

1. Identifizierung der privilegierten Accounts
   Alle unternehmenskritischen Systeme, Applikationen und Datenbanken sollten identifiziert werden, einschließlich der vorhandenen Zugänge von Administratoren. Es ist konkret zu ermitteln, wer aktuell Zugang zu Passwörtern von privilegierten Benutzerkonten hat und tatsächlich Zugang haben sollte.
2. Entwicklung von Rollenmodellen
   Im Hinblick auf privilegierte Administratoren-Accounts mit erweiterten Rechten müssen Prozesse für IT-Berechtigungsvergaben definiert werden. Damit kann sichergestellt werden, dass die Mitarbeiter nur die Rechte besitzen, die für ihren Tätigkeitsbereich erforderlich sind. Unerlässlich für die Verwaltung privilegierter Benutzerkennungen ist zudem auch die Implementierung einer rollenbasierten Zugriffskontrolle.
3. Zentrale Speicherung der Passwörter
   Es sollte eine Lösung zur zentralen Speicherung aller Passwörter und privilegierten Aktivitäten gewählt werden. Dies ermöglicht eine zentrale Administration und Überwachung des gesamten Passwortmanagements. Mögliche Sicherheitslücken durch Insellösungen, die in der Vergangenheit installiert wurden, werden damit geschlossen.
4. Eliminierung von Application Accounts
   Ein zentrales Sicherheitsproblem besteht generell auch bei Software oder Application Accounts, das heißt bei Passwörtern, die in Anwendungen, Skripten oder Konfigurationsdateien gespeichert sind und einen automatischen Zugriff auf Backend-Systeme ermöglichen. Dies ist mit einer Vielzahl von Risiken verbunden, da die Passwörter in der Regel nie geändert werden, oft im Klartext vorliegen und einer großen Anzahl an Usern wie Systemadministratoren und Entwicklern zugänglich sind. Die eingebetteten statischen Passwörter sollten folglich in den Applikationen und Skripten eliminiert werden. Es empfiehlt sich, auch diese Zugangsdaten zentral abzulegen und zu überprüfen sowie regelmäßig zu ändern.
5. Einführung eines automatischen Passwort-Managements
   Eine Passwortmanagement-Lösung sollte auf jeden Fall eine automatische Verwaltung und Änderung privilegierter Accounts ermöglichen. Der Anwender muss dabei die Komplexität und den Änderungszyklus – abhängig von den Vorgaben der jeweiligen Security-Policy – beliebig festlegen können. Keinesfalls ausreichend ist der Einsatz eines Tools zur Erstellung von Passwort-Datenbanken, das zwar eine Speicherung der Kennwörter ermöglicht, aber keine automatische Änderung.
6. Berücksichtigung von Remote-Zugriffen
   Im Hinblick auf die unternehmensinterne Datenintegrität und -sicherheit sollten externe Zugriffe auf IT-Systeme zuverlässig überwacht werden. Dabei sollte eine Lösung implementiert werden, die es ermöglicht, dass externe Dienstleister oder Administratoren Passwörter nie einsehen können. Realisierbar ist das zum Beispiel durch die Implementierung eines Jump-Servers für die administrativen Verbindungen. Nur er „kennt“ die Passwörter der Zielsysteme und nur er darf sich mit diesen verbinden – so verlässt ein Passwort das Unternehmensnetzwerk auch dann nicht, wenn der Zugriff von außen erfolgt.
7. Hohe Sicherheitsstandards
   Die zentrale Speicherung von Passwörtern erfordert die Implementierung einer Lösung, die mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet. Mit Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP muss sichergestellt werden, dass nur autorisierte Anwender Zugang zu den Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein.
8. Protokollierung privilegierter Sessions
   Die Passwortnutzung sollte revisionssicher protokolliert werden. Dabei sollten privilegierte Zugänge nicht nur im Hinblick auf das „Wer“, sondern auch auf das „Was“ gesichert und überwacht werden, das heißt, es ist eine komplette Protokollierung von Admin-Sessions empfehlenswert. Damit lässt sich jederzeit nachvollziehen, wer wann was getan hat. Idealerweise bietet die eingesetzte Passwortmanagement-Lösung auch eine Realtime-Überwachung, die es ermöglicht, bei verdächtigen Aktivitäten direkt einzugreifen und einzelne Sessions zu beenden.

Um die mit privilegierten Benutzerkonten verbundene Sicherheitsproblematik in den Griff zu bekommen, sollte man eine Lösung implementieren, mit der diese Accounts automatisch verwaltet und überwacht werden können. Wenn man bei der Lösungsauswahl und -implementierung die genannten Aspekte berücksichtigt, kann man die Gefahren des Datenmissbrauchs und -diebstahls zuverlässig ausschließen. Außerdem erfüllt man damit die Anforderungen im Hinblick auf Revisionssicherheit, gängige Compliance-Vorschriften und gesetzliche sowie aufsichtsrechtliche Bestimmungen effizient und ohne hohen Administrationsaufwand.

Quelle: Cyber-Ark

Jochen Koehler, Regional Director DACH & Middle East bei Cyber-Ark, hat in den vergangenen 14 Jahren für verschiedene IT-Sicherheitsberatungsunternehmen gearbeitet und dabei seine Konzentration auf die Einführung innovativer Lösungen in den deutschsprachigen Markt gelegt. Seit 2008 verantwortet er das Business Development für Cyber-Ark in Deutschland, Österreich, der Schweiz und Middle East.