Von unserem Gastautor Jochen Koehler

[datensicherheit.de, 12.07.2013] IT-Umgebungen bestehen in der Regel aus Hunderten oder sogar Tausenden von Servern, Datenbanken, Netzwerkgeräten und Anwendungen, die alle über verschiedene privilegierte und von mehreren Mitarbeitern genutzte Konten mit weitreichenden Berechtigungen verwaltet werden. Eine manuelle Änderung dieser privilegierten Benutzerkonten ist extrem zeitaufwändig und fehlerbehaftet – und somit kaum realisierbar. Gefragt ist hier eine Lösung zur automatischen Verwaltung von Passwörtern. Bei der Auswahl und Implementierung einer solchen Lösung sind jedoch einige elementare Aspekte zu berücksichtigen:

1. Identifizierung der privilegierten Accounts
   Alle unternehmenskritischen Systeme, Applikationen und Datenbanken sollten identifiziert werden, einschließlich der vorhandenen Zugänge von Administratoren. Es ist konkret zu ermitteln, wer aktuell Zugang zu Passwörtern von privilegierten Benutzerkonten hat und tatsächlich Zugang haben sollte.
2. Entwicklung von Rollenmodellen
   Im Hinblick auf privilegierte Administratoren-Accounts mit erweiterten Rechten müssen Prozesse für IT-Berechtigungsvergaben definiert werden. Damit kann sichergestellt werden, dass die Mitarbeiter nur die Rechte besitzen, die für ihren Tätigkeitsbereich erforderlich sind. Unerlässlich für die Verwaltung privilegierter Benutzerkennungen ist zudem auch die Implementierung einer rollenbasierten Zugriffskontrolle.
3. Zentrale Speicherung der Passwörter
   Es sollte eine Lösung zur zentralen Speicherung aller Passwörter und privilegierten Aktivitäten gewählt werden. Dies ermöglicht eine zentrale Administration und Überwachung des gesamten Passwortmanagements. Mögliche Sicherheitslücken durch Insellösungen, die in der Vergangenheit installiert wurden, werden damit geschlossen.
4. Eliminierung von Application Accounts
   Ein zentrales Sicherheitsproblem besteht generell auch bei Software oder Application Accounts, das heißt bei Passwörtern, die in Anwendungen, Skripten oder Konfigurationsdateien gespeichert sind und einen automatischen Zugriff auf Backend-Systeme ermöglichen. Dies ist mit einer Vielzahl von Risiken verbunden, da die Passwörter in der Regel nie geändert werden, oft im Klartext vorliegen und einer großen Anzahl an Usern wie Systemadministratoren und Entwicklern zugänglich sind. Die eingebetteten statischen Passwörter sollten folglich in den Applikationen und Skripten eliminiert werden. Es empfiehlt sich, auch diese Zugangsdaten zentral abzulegen und zu überprüfen sowie regelmäßig zu ändern.
5. Einführung eines automatischen Passwort-Managements
   Eine Passwortmanagement-Lösung sollte auf jeden Fall eine automatische Verwaltung und Änderung privilegierter Accounts ermöglichen. Der Anwender muss dabei die Komplexität und den Änderungszyklus – abhängig von den Vorgaben der jeweiligen Security-Policy – beliebig festlegen können. Keinesfalls ausreichend ist der Einsatz eines Tools zur Erstellung von Passwort-Datenbanken, das zwar eine Speicherung der Kennwörter ermöglicht, aber keine automatische Änderung.
6. Berücksichtigung von Remote-Zugriffen
   Im Hinblick auf die unternehmensinterne Datenintegrität und -sicherheit sollten externe Zugriffe auf IT-Systeme zuverlässig überwacht werden. Dabei sollte eine Lösung implementiert werden, die es ermöglicht, dass externe Dienstleister oder Administratoren Passwörter nie einsehen können. Realisierbar ist das zum Beispiel durch die Implementierung eines Jump-Servers für die administrativen Verbindungen. Nur er „kennt“ die Passwörter der Zielsysteme und nur er darf sich mit diesen verbinden – so verlässt ein Passwort das Unternehmensnetzwerk auch dann nicht, wenn der Zugriff von außen erfolgt.
7. Hohe Sicherheitsstandards
   Die zentrale Speicherung von Passwörtern erfordert die Implementierung einer Lösung, die mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet. Mit Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP muss sichergestellt werden, dass nur autorisierte Anwender Zugang zu den Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein.
8. Protokollierung privilegierter Sessions
   Die Passwortnutzung sollte revisionssicher protokolliert werden. Dabei sollten privilegierte Zugänge nicht nur im Hinblick auf das „Wer“, sondern auch auf das „Was“ gesichert und überwacht werden, das heißt, es ist eine komplette Protokollierung von Admin-Sessions empfehlenswert. Damit lässt sich jederzeit nachvollziehen, wer wann was getan hat. Idealerweise bietet die eingesetzte Passwortmanagement-Lösung auch eine Realtime-Überwachung, die es ermöglicht, bei verdächtigen Aktivitäten direkt einzugreifen und einzelne Sessions zu beenden.

Um die mit privilegierten Benutzerkonten verbundene Sicherheitsproblematik in den Griff zu bekommen, sollte man eine Lösung implementieren, mit der diese Accounts automatisch verwaltet und überwacht werden können. Wenn man bei der Lösungsauswahl und -implementierung die genannten Aspekte berücksichtigt, kann man die Gefahren des Datenmissbrauchs und -diebstahls zuverlässig ausschließen. Außerdem erfüllt man damit die Anforderungen im Hinblick auf Revisionssicherheit, gängige Compliance-Vorschriften und gesetzliche sowie aufsichtsrechtliche Bestimmungen effizient und ohne hohen Administrationsaufwand.

Quelle: Cyber-Ark

Jochen Koehler, Regional Director DACH & Middle East bei Cyber-Ark, hat in den vergangenen 14 Jahren für verschiedene IT-Sicherheitsberatungsunternehmen gearbeitet und dabei seine Konzentration auf die Einführung innovativer Lösungen in den deutschsprachigen Markt gelegt. Seit 2008 verantwortet er das Business Development für Cyber-Ark in Deutschland, Österreich, der Schweiz und Middle East.

[datensicherheit.de, 27.06.2013] 80 Prozent der Unternehmen halten Cyber-Attacken inzwischen für gefährlicher als terroristische Angriffe. So lautet das Ergebnis einer aktuellen Studie des Sicherheitssoftware-Anbieters Cyber-Ark. Zudem sind 57 Prozent der Meinung, dass die klassische Perimeter-Sicherheit als geeignetes Abwehrmodell an ihre Grenzen stößt.
Die Cyber-Ark-Untersuchung „Global Advanced Threat Landscape“ wurde bereits zum siebten Mal durchgeführt. Dabei wurden fast 1.000 (IT-)Führungskräfte aus vorwiegend größeren Unternehmen in Europa, den USA und der Region Asien-Pazifik zu Themen rund um die Datensicherheit befragt.

Ein zentrales Untersuchungsergebnis ist, dass die deutliche Mehrheit der Befragten Cyber-Attacken als die größte Gefahr für Unternehmen, Infrastruktur-Einrichtungen, die Ökonomie und die nationale Sicherheit ansieht. So sind auch 80 Prozent der Meinung, dass die Bedrohung durch Angriffe über das Internet größer ist als durch Terrorismus.
Darüber hinaus ergab die Studie, dass Perimeter-Sicherheit nicht ausreichend ist und Angreifer sich vielfach schon im Unternehmensnetz befinden. Beispielsweise wird bei komplexen, zielgerichteten Web-Attacken, den Advanced Persistent Threats (APTs), fast immer der Perimeter-Schutz erfolgreich umgangen – wie bei Phishing-Versuchen. Das hat das Vertrauen auf Unternehmensseite in die Perimeter-Sicherheit nachhaltig erschüttert. So sind 57 Prozent der Befragten der Meinung, dass ihr Unternehmen zu stark auf Perimeter-Schutz vertraut. Zudem glauben sogar 51 Prozent, dass Cyber-Angreifer bereits in ihrem Netzwerk sind oder das im letzten Jahr waren.

Bei immer mehr Unternehmen setzt sich außerdem die Erkenntnis durch, dass gerade privilegierte Accounts als Einfallstor bei Web-Attacken genutzt werden, das heißt neben administrativen Passwörtern auch Default- oder in Skripten, Konfigurationsdateien und Applikationen eingebettete Passwörter. Immerhin 64 Prozent bestätigen, dass sie deshalb Maßnahmen zur Verwaltung der privilegierten Accounts getroffen haben. Bedenklich ist allerdings, dass 39 Prozent nicht wissen, wie sie ihre privilegierten Accounts identifizieren können, beziehungsweise versuchen, diese auf manuellem Weg zu ermitteln.

Die Untersuchung hat auch gezeigt, dass Unternehmen zunehmend die Kontrolle über privilegierte Accounts in der Cloud verlieren:

• 56 Prozent wissen nicht, ob ihr Cloud Service Provider privilegierte Accounts schützt und überwacht
• 25 Prozent gehen davon aus, dass sie für den Schutz ihrer vertraulichen Daten besser gerüstet sind als ihr Cloud Provider – und trotzdem vertrauen sie diesem ihre Daten an.

„Die Studie verdeutlicht, dass Unternehmen zum einen die zunehmende Bedrohung durch Cyber-Attacken erkannt haben und zum anderen auch die Gefahr, die dabei vor allem von privilegierten Accounts ausgeht“, sagt Jochen Koehler, Regional Director DACH & Middle East bei Cyber-Ark in Heilbronn. „Doch wie die Bedrohung umfassend und zuverlässig beseitigt wird, scheint für viele noch ein Buch mit sieben Siegeln zu sein. Das zeigt sich schon daran, dass fast 40 Prozent der Befragten nicht wissen, wie sie privilegierte Accounts ermitteln können. Wenn zudem versucht wird, dies auf manuellem Wege durchzuführen, ist das in der komplexen und heterogenen Infrastruktur eines größeren Unternehmens nahezu ein Ding der Unmöglichkeit.“

„Und auch völlig unnötig“, meint Koehler, „man muss nur eine moderne Lösung im Bereich Privileged Identity Management nutzen. Mit ihr kann bereits ein Großteil privilegierter Benutzerkonten automatisch erkannt werden. Außerdem stellt sie sicher, dass jede Art von privilegiertem Zugriff auf beliebige Zielsysteme zentral berechtigt, jederzeit kontrolliert und revisionssicher auditiert wird.“

[datensicherheit.de, 22.05.2013] Trotz des bekannt hohen Sicherheitsrisikos, das die missbräuchliche Nutzung privilegierter Benutzerkonten darstellt, verzichtet die Mehrheit der Unternehmen immer noch auf geeignete Schutzmaßnahmen. So lautet das Ergebnis einer neuen Untersuchung von Cyber-Ark. Nur 18 Prozent setzen eine Lösung im Bereich Privileged Identity Management ein, mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können.

Im Rahmen der „Privileged Account Security and Compliance Survey“ hat Cyber-Ark im vergangenen April 236 IT-Manager aus Unternehmen in der Region EMEA und in Nordamerika zum Thema Passwortmanagement befragt. Erschreckendes Ergebnis: 86 Prozent der Befragten kennen nicht einmal die Anzahl ihrer privilegierten Accounts beziehungsweise unterschätzen sie deutlich. So gehen beispielsweise 30 Prozent der Unternehmen mit mindestens 5.000 Mitarbeitern davon aus, dass sie maximal 250 privilegierte Accounts haben. Das steht aber eklatant im Widerspruch zur Realität. Cyber-Ark-Erfahrungswerte mit über 1.200 Kunden belegen, dass die Anzahl der privilegierten Konten in der Regel deutlich höher ist als die Beschäftigtenzahl.

Grund hierfür ist, dass zu den privilegierten Accounts nicht nur administrative Passwörter, sondern auch Default- oder in Skripten, Konfigurationsdateien und Applikationen eingebettete Passwörter zählen. Auch darüber sind sich viele der in der Untersuchung Befragten nicht im Klaren. So konnten 37 Prozent die Frage „Wo sind überall privilegierte Accounts vorhanden?“ nicht richtig beantworten.

Bild: Cyber-Ark

Antworten auf die Frage: „Gibt es definierte Prozesse für die Änderung von Default-Passwörtern?“

Zentrale Untersuchungsergebnisse im Überblick:

• Nur 18 Prozent der Befragten nutzen eine Lösung im Bereich Privileged Identity Management (PIM), mit der eine zuverlässige Sicherung und Überwachung privilegierter Zugriffe erfolgen kann.
• 82 Prozent vertrauen auf fehlerbehaftete beziehungsweise unzureichende Lösungsansätze wie manuelles Passwortmanagement oder Security-Tools in den Bereichen Identitätsmanagement (IdM), Database Activity Monitoring (DAM) oder Security Information and Event Management (SIEM), mit denen ein sicheres Passwortmanagement nicht realisierbar ist.
• Fast ein Drittel der Befragten (28 Prozent) nutzt keine Lösung zur Überwachung und Aufzeichnung privilegierter Aktivitäten.
• Über die Hälfte der Befragten gibt privilegierte und administrative Account-Passwörter auch intern an „verlässliche“ Mitarbeiter weiter.
• 22 Prozent der Befragten haben keine durchgängigen Prozesse für das Ändern von Default-Passwörtern definiert.
• 49 Prozent der Unternehmen ändern privilegierte Passwörter frühestens nach 90 Tagen.

„Dass nur 18 Prozent der Befragten eine Lösung im Bereich Privileged Identity Management nutzen, ist in der heutigen Zeit mehr als überraschend“, sagt Jochen Koehler, Regional Director DACH & Middle East bei Cyber-Ark in Heilbronn. „Gerade die zunehmende Anzahl von Attacken, die über privilegierte Benutzerkonten erfolgen, macht ein striktes Passwortmanagement zwingend erforderlich. Automatisiert – und damit völlig unkompliziert und ohne jeglichen manuellen Aufwand – kann das nur mit einer Lösung im Bereich Privileged Identity Management erfolgen, die darüber hinaus auch eine Überwachung der konkreten Aktivitäten in privilegierten Sessions ermöglicht.“

Weitere Informationen zum Thema:

Cyber-Ark
Cyber-Ark’s Privileged Account Security & Compliance Survey

[datensicherheit.de, 06.12.2011] Über Administratoren-Accounts und -Passwörter ist in der Regel ein problemloser Zugriff auf alle unternehmenskritischen Datenbestände möglich. In zahlreichen Compliance-Richtlinien wird deshalb eine exakte Überwachung solcher Nutzerkennungen gefordert. Regelungen hierzu gibt es laut Cyber-Ark auch in den „MaRisk“ (Mindestanforderungen an das Risikomanagement) der BaFin, die für Finanzinstitute gültig sind:
User-Accounts von Administratoren und sogenannten Super-Usern verfügen über weitreichende Rechte. Sie stellen deshalb für jedes Unternehmen ein hohes Sicherheitsrisiko dar. Werden dabei keine adäquaten Maßnahmen für ein effizientes Passwortmanagement getroffen, verstößt dies gegen gesetzliche und aufsichtsrechtliche Bestimmungen aus Basel II, ISO 27001, SAS70, PCI-DSS oder dem Sarbanes Oxley Act. In diesen Compliance-Regelungen wird nämlich ein Nachweis gefordert, wer Zugriff auf privilegierte Benutzerkonten hat, welche Veränderungen vorgenommen und ob die Passwörter ordnungsgemäß geschützt und geändert wurden.
Auch in den von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichten Mindestanforderungen an das Risikomanagement (MaRisk), dem zentralen Regelwerk der qualitativen Bankenaufsicht, finden sich entsprechende Regelungen. Deren Einhaltung wird im Rahmen der Jahresabschlussprüfung geprüft und ist gegenwärtig auch häufig Gegenstand von Sonderprüfungen nach § 44 Abs. 1 KWG.
Im Hinblick auf die technisch-organisatorische Ausstattung von Finanzinstituten wird in den MaRisk etwa konstatiert, dass bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen sei – insbesondere seien Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellten, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt. Konkret verwiesen wird dabei auf die Einhaltung der Standards IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und ISO/IEC 2700X. Die MaRisk wurden zuletzt Ende 2010 überarbeitet. Die Änderungen müssen von den Instituten bis zum Ende dieses Jahres „vollumfänglich“ umgesetzt werden. Eine entscheidende Erweiterung betrifft den Bereich „Zugriffsrechte“. Die eingerichteten Berechtigungen dürften nicht im Widerspruch zur organisatorischen Zuordnung von Mitarbeitern stehen. Insbesondere bei Berechtigungsvergaben im Rahmen von Rollenmodellen sei darauf zu achten, dass Funktionstrennungen beibehalten beziehungsweise Interessenkonflikte vermieden würden.
Gerade in diesem Bereich bestehe für die Finanzdienstleistungsbranche noch ein erheblicher Handlungsbedarf, sagt Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn. Vielfach gebe es nämlich noch Super-Admins mit uneingeschränkten privilegierten Rechten, das heißt, es erfolge weder eine strikte „Separation of Duties“ noch eine Implementierung von rollenbasierten Zugriffs- und Kontrollsystemen. Im Hinblick auf die Erfüllung von Compliance-Anforderungen, eine Erhöhung der Sicherheit und auch eine Reduzierung des Administrationsaufwandes sollte aber jedes Finanzinstitut über ein zuverlässiges „Privileged Identity Management“ (PIM) verfügen. Mit einer solchen Lösung könnten privilegierte Accounts, also Benutzerkonten mit erweiterten Rechten, zuverlässig verwaltet werden. Verschiedene PIM-Lösungen seien heute auf dem Markt verfügbar. Dabei gebe es unterschiedliche Lösungsansätze – von der Hardware-Appliance über eine softwarebasierte „Virtual Appliance“ bis hin zu einer reinen Software-Lösung. Gemeinsam sei den Lösungen, dass die Passwörter in einem gesicherten Bereich vor den Zugriffen unberechtigter Personen geschützt würden. Bei der Entscheidung für eine Lösung sollte man darauf achten, dass sie neben einer regelmäßigen Änderung der Netzwerk-, Server- und Datenbank-Passwörter auch Drittanwendungen die Möglichkeit biete, die neuen Passwörter automatisch zu beziehen. Zudem sollte eine Zugriffskontrolle und vollständige Überwachung beziehungsweise Protokollierung aller Aktivitäten vorhanden sein, so Koehler.

[datensicherheit.de, 09.11.2011] Datensicherheit werde in deutschen Unternehmen laut einer Umfrage des Sicherheitsexperten Cyber-Ark auf der diesjährigen IT-Security-Messe „it-sa“ weiterhin nicht ernst genug genommen:
Besonders besorgniserregend sei, dass fast 50 Prozent der befragten Unternehmen es nicht einmal für nötig hielten, ihre Administratoren-Passwörter überhaupt oder zumindest regelmäßig zu ändern.
Cyber-Ark hat nach eigenen Angaben auf der „it-sa 2011“ unter den Ausstellern und Besuchern eine Umfrage zur Datensicherheit und zum Passwort-Management durchgeführt. Dabei seien IT-Experten aus 286 Unternehmen interviewt worden. Eine zentrale Frage der Untersuchung habe gelautet: „Wie oft werden bei Ihnen im Unternehmen die Passwörter von Administratoren geändert?“
38 Prozent der Interviewten hätten geantwortet, dass sie ihre Passwörter nur in unregelmäßigen Abständen änderten. Bei neuen Prozent der Befragten würden diese Passwörter überhaupt nicht geändert. Dieses Ergebnis sei erschreckend – ein zyklischer Wechsel von Administratoren-Passwörtern, beispielsweise jeden Monat, sollte heute eigentlich Standard sein, betont Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn. Schließlich könne man mit diesen Passwörtern auf alle vertraulichen Datenbestände ungehindert zugreifen. Wenn Unternehmen dazu keine adäquaten Security-Maßnahmen träfen, sei das in ihren Augen eindeutig fahrlässig.

Abbildung: Cyber-Ark Software Ltd., Heilbronn

Umfrage auf der „it-sa 2011“ zur Änderung der Passwörter: Erschreckendes Ergebnis…

Die Problematik, die sich durch ein fehlendes oder unzureichendes Management von Administratoren-Accounts für Unternehmen ergebe, zeige die Cyber-Ark-Untersuchung – so hätten 30 Prozent der Befragten angeführt, dass sie unter Umgehung der dort implementierten Sicherheitsmaßnahmen unbemerkt auf vertrauliche Daten zugreifen könnten. Dass dies nicht nur ein hypothetisches, sondern auch ein reales Sicherheitsrisiko sei, zeige eine weitere Zahl: Zwölf Prozent der befragten Unternehmen hätten bestätigt, dass sie bereits einmal Opfer von Insiderspionage beziehungsweise -sabotage geworden seien.
Es sei heute jedem klar, dass Gefahren für die IT-Sicherheit von Unternehmen nicht nur von außen, sondern auch von innen drohten, so Koehler. Dabei sollte man nicht zuletzt auch den Bereich der administrativen Benutzerkonten im Auge haben. Denn diese ermöglichten gerade einem Personenkreis uneingeschränkten Zugriff, der mit den Daten an sich nichts zu tun habe, sondern ausschließlich deren Verfügbarkeit gewährleisten müsse. Die Passwörter zu solchen privilegierten Accounts gehörten deshalb sicher verwaltet und ihre Nutzung protokolliert.
Nach wie vor machen sich laut Cyber-Ark viele Unternehmen die Verwaltung von Admin-Passwörtern unnötig schwer. So gebe es oftmals noch eine manuelle Änderung von Passwörtern. Bei der normalerweise großen Anzahl an Servern, Netzwerkgeräten und Applikationen sei dies allerdings extrem zeitaufwändig und fehlerbehaftet. Auch proprietäre Lösungsansätze zur Passwort-Verwaltung fänden sich. Ihr Nachteil sei, dass sie kaum die erforderliche Anzahl an unterschiedlichen Plattformen unterstützen könnten und sie erforderten zudem einen hohen Entwicklungs- und Wartungsaufwand. Darüber hinaus kämen auch Tools zum Einsatz, die zwar eine Speicherung der Passwörter, aber keine automatische Änderung ermöglichten. Bestätigt werde diese Cyber-Ark-Einschätzung auch durch das Umfrageergebnis auf der „it-sa“ – auf die Frage „Gibt es bei Ihnen im Unternehmen eine Lösung zur automatischen (nicht manuellen) Verwaltung von Administrator-Passwörtern?“ hätten 54 Prozent mit „nein“ geantwortet.
Gerade im Hinblick auf eine Erhöhung der Sicherheit und einen reduzierten Administrationsaufwand sollte laut Koehler jedes Unternehmen über die Implementierung zuverlässiger und vor allem einfach zu pflegender Passwort-Management-Applikationen nachdenken – entsprechende kostengünstige Lösungen für die automatische Verwaltung von privilegierten Administratoren-Accounts einschließlich vollständiger Zugriffskontrolle und Protokollierung der Nutzung seien heute auf dem Markt verfügbar.

[datensicherheit.de, 03.11.2011] Cyber-Ark präsentiert eine neue Version seiner „Sensitive Information Management Suite“. Diese „All-in-One-Lösung“ für den sicheren und effizienten Datenaustausch über das Internet soll jetzt auch mobile Geräte wie Apples „iPad“ unterstützen.
Die zunehmende Verbreitung mobiler Geräte habe zu neuen Herausforderungen im Bereich Datensicherheit geführt. Immer mehr Unternehmen erlaubten ihren Mitarbeitern die Nutzung privater Geräte wie „iPads“ oder anderer mobiler Geräte für berufliche Zwecke. Die Gefahren des Datenverlusts oder -diebstahls seien dadurch dramatisch gestiegen. IT-Abteilungen beschäftigten sich heute deshalb zunehmend mit der Integration solcher Geräte in die unternehmenseigene IT-Security-Architektur.
Eine Lösung für den sicheren Datenaustausch bei der Nutzung mobiler Geräte wie des „iPad“ von Apple will Cyber-Ark ab sofort mit seiner neuen Version der „Sensitive Information Management Suite“ anbieten. Es handele sich bei dieser Lösungssuite um eine vollständig integrierte Software-Anwendung für den sicheren manuellen und automatischen Datenaustausch über das Internet. Die Lösung basiere auf der patentierten Sicherheitsplattform „Digital Vault“, einem virtuellen, digitalen „Datentresor“, der als zentrale Datendrehscheibe für die einfache, effiziente und sichere Übermittlung von Informationen fungiere.
Durch die zunehmende Verwendung privater mobiler Geräte für berufliche Aufgaben hätten sich die Gefahren des Datenverlustes für Unternehmen deutlich erhöht. Diese brauchten deshalb Lösungen, die diese potenziellen Datenleck-Risiken beseitigten. In der neuen Version der „Sensitive Information Management Suite“ deckten sie nun auch diese Anforderung ab, so Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn.

Weitere Informationen zum Thema:

Cyber-Ark
Cyber-Ark sichert Datentransfer bei mobilen Geräten

[datensicherheit.de, 12.09.2011] Cyber-Ark ist auch 2011 wieder auf der „it-sa“ in Nürnberg vertreten – vom 11. bis 13. Oktober stellt das Unternehmen in Halle 12 am Stand 344 unter anderem die neue Version seiner „Privileged Identity Management Suite“ vor:
Im Mittelpunkt der diesjährigen Lösungspräsentationen von Cyber-Ark steht die neue Version 7.0 der „Privileged Identity Management (PIM) Suite“, bestehend aus mehreren komplementären Lösungsmodulen. Mit dem „Enterprise Password Vault“, der eine geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern biete, könnten alle privilegierten Administratoren-Accounts automatisch verwaltet werden. Durch die vollständige Zugriffskontrolle und Protokollierung könne die Nutzung von privilegierten Accounts dabei zu jeder Zeit überprüft werden.

Abbildung: SecuMedia Verlags GmbH, Gau-Algesheim

Cyber-Ark auf der „it-sa 2011“ in Halle 12 am Stand 344, gegenüber dem „Forum Rot“

Weiterer Lösungsbestandteil der PIM-Suite ist der „Application Identity Manager“, der es ermöglichen soll, die in Anwendungen, Skripten oder Konfigurationsdateien eingebetteten statischen Passwörter zu eliminieren. Diese Passwörter, die einen Zugriff auf Backend-Systeme ermöglichen, liegen in der Regel im Klartext vor und werden selten oder nie geändert. Sie stellten deshalb ein erhebliches Sicherheitsrisiko dar. Bei der Cyber-Ark-Lösung hingegen müssten die Zugangsdaten nicht mehr in Applikationen gespeichert werden – sie würden zentral im patentierten „Digital Vault“ (digitalen Datentresor) abgelegt, überprüft und verwaltet. Abgerundet werde die „PIM-Suite“ vom „Privileged Session Manager“ zur Aufzeichnung von „Admin-Sessions“ und vom „On-Demand Privileges Manager“, der die On-Demand-Bereitstellung von privilegierten Berechtigungen ermögliche.
Darüber hinaus präsentiert Cyber-Ark im Rahmen der Messe den „Sensitive Document Vault“ und den „Inter-Business Vault“. Mit dem „Sensitive Document Vault“ könnten Unternehmen vertrauliche und geheime Dateien vom Rest des Datenbestandes trennen und in einem „Daten-Vault“ sicher speichern und verwalten. Beim „Inter-Business Vault“ handele es sich um eine Secure-File-Transfer-Lösung, die den sicheren Datenaustausch über das Internet ermögliche – und das über eine einzige, vollständig integrierte Plattform.
In ihren Augen habe sich die „it-sa“ inzwischen als eine der wichtigsten IT-Sicherheitsmessen und bedeutender Treffpunkt der IT-Security-Branche etabliert, so Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn. Auch ihnen biete die Fachmesse eine ideale Möglichkeit, ihre Lösungen zahlreichen Besuchern aus Wirtschaft, Forschung und Behörden zu präsentieren.

[datensicherheit.de, 10.08.2011] Um die eigene IT vor unbefugtem Zugriff zu schützen, sollten Unternehmen strenge Regeln für die Verwendung von Administrator-Accounts schaffen. Cyber-Ark weist auf die wichtigsten Punkte zur Vorbeugung gegen Missbrauch hin:
Oft lassen Unternehmen schwache Passwörter zum Schutz von Benutzer-Accounts zu, obwohl sie rechtlich zu effektiveren Maßnahmen verpflichtet wären. Das Bundesdatenschutzgesetz schreibt Betreibern von IT-Anlagen mit personenbezogenen Daten oder Datenkategorien vor, den unautorisierten Zugriff auf seine Daten zu unterbinden – so spricht der Gesetzgeber in der Anlage zu § 9 Satz 1, Absatz 2 und 3 von der Verpflichtung zur Zugangs- und Zugriffskontrolle. Außerdem schreibt die EU-Richtlinie Basel II die Definition eines Regelwerks zum Umgang mit Passwörtern vor. Unternehmen, die an US-amerikanischen Börsen notiert sind, unterliegen zusätzlich dem Sarbanes-Oxley-Act und seinen Passwort-Vorschriften.
Um diesen Bestimmungen gerecht zu werden, sind Zugangsdaten und die mit ihnen verbundenen Kennwörter besonders zu schützen. Grundlegender Passwort-Schutz sei laut Cyber-Ark mit folgenden Richtlinien einfach herbeizuführen:
Passwörter müssten durch ihre Struktur schwer zu knacken und möglichst komplex aufgebaut sein. Ein zyklischer Wechsel des Passworts, beispielsweise jeden Monat, stelle eine weitere Hürde für den Missbrauch von Passwörtern dar. Noch besser sei die Verwendung eines Kennwortgenerators mit Einmalpasswörtern, die nur einige Minuten gültig sind.

• Sparsame Vergabe von Passwörtern für privilegierte Accounts
  Passwörter von privilegierten Accounts sollten nur an Personen ausgegeben werden, die sie für die Erfüllung ihrer Aufgaben tatsächlich benötigen. Zusätzlich lasse sich der Sicherheitsgrad durch die Vergabe von Einmal-Passwörtern im Single-Sign-On-Verfahren steigern. So könne sich ein Administrator anmelden, ohne das eigentliche Passwort zu kennen.
• Vertraulichkeit des Passworts
  Jeder Benutzer verfügt über seinen eigenen Account und ein eigenes, individuelles Passwort. Das sollte auch bei Funktions-Accounts wie dem Administrator oder dem Webmaster der Fall sein, da sich ein Gruppenpasswort für eine von vielen gleichzeitig verwendete Kennung nicht geheim halten lasse. Bei neu erstellten Accounts mit vordefinierten Passwörtern sollten die Anwender diese unverzüglich selbst ändern.
• Reaktion auf erfolglose Anmeldeversuche
  Fehlerhafte Anmeldeversuche sollten protokolliert werden. Zusätzlich sei es empfehlenswert, das Benutzer-Account bei einer gewissen Anzahl von Fehlversuchen zu sperren und die IP-Adresse, von der die Versuche ausgehen, zu speichern.
• Einführung eines Systems zur Verwaltung privilegierter Accounts
  Die Gefahr, die von nachlässigem Umgang mit Passwörtern entspringt, sei dann besonders hoch, wenn es sich um privilegierte Accounts wie die von Superusern und Systemadministratoren handele. Dafür sollten Sicherheitsmaßnahmen getroffen werden wie beispielsweise die Einführung eines Systems zur Verwaltung privilegierter Accounts. Dafür eigne sich die „Privileged Identity Management Suite“ von Cyber-Ark: Sie biete die vollständige Zugriffskontrolle für privilegierte Accounts, die Überwachung und Aufzeichnung privilegierter Sitzungen sowie die Verwaltung von Anwendungs- und Dienstzugangsdaten. Damit werde eine sichere Verwaltung der privilegierten Identitäten, Accounts und Kennwörter möglich.

Laut dem Branchenverband BITKOM änderten 40 Prozent aller Deutschen ihre wichtigsten Zugangscodes nicht. Der Umgang mit Passwörtern im privaten Umfeld spiegele sich durch gleiche Gewohnheiten im Unternehmensumfeld wider. Viele Risiken durch die nachlässige Verwaltung von privilegierten Accounts und ihrer Passwörter ließen sich mit der „Privileged Identity Management Suite“ von vornherein eliminieren, so Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn. Missbräuchlich genutzte Administrator-Kennungen seien eine der Haupteinfallstore in eine Unternehmens-IT.

[datensicherheit.de, 05.07.2011] Administratoren-Accounts bergen bei Missbrauch durch ihre weitreichenden Rechte eine große Bedrohung für Unternehmen. Dieses unnötige Risiko vermeidet die „Privileged Identity Management Suite“ (PIM) von Cyber-Ark:
User-Accounts von Administratoren und sogenannten Superusern verfügen über weitreichende Rechte, die in falschen Händen ein Unternehmen gefährden können. Aus diesem Grund befassen sich neben der internen IT-Revision auch verschiedene Compliance-Richtlinien mit solchen Accounts. Unternehmen werden gemäß Basel II, SAS70, ISO 27001, PCI-DSS und dem Sarbanes-Oxley-Act dazu angehalten, den Zugriff auf solche Nutzerkennungen genau zu überwachen. Kontrollorgane wie Wirtschaftsprüfer oder die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) überprüfen, ob ausreichende Maßnahmen dafür getroffen werden.
Diese Überwachung wird durch die schiere Menge an Superuser-Accounts erschwert. Jede Anwendung und jedes System verfügt über Admin-Accounts – davon kann ein einzelner kompromittierter Account als Einfallstor in die Unternehmens-IT dienen. Begünstigt wird das, wenn die Aktivitäten von Superusern nicht dokumentiert werden oder wenn die Accounts gleich mehreren Personen zur Verfügung stehen. Zudem führt der regelmäßige Wechsel der Passwörter bei vielen zu überwachenden Superuser-Accounts zu einem erheblichen administrativen Aufwand und unterbleibt daher häufig ganz.
Verschiedene Situationen begünstigen die missbräuchliche Nutzung von privilegierten Accounts. Vor allem in wirtschaftlich flauen Zeiten versuchen skrupellose  Unternehmen, Kosten etwa in der Produktentwicklung einzusparen, und sich durch Wirtschaftsspionage einen Wettbewerbsvorteil zu verschaffen. Beliebt ist dann die Ausspähung von Mitarbeiterpasswörtern durch „Social Engineering“. Dabei nutzt ein Angreifer Informationen über sein Opfer und manipuliert es, um an Geschäftsgeheimnisse zu gelangen.
Die Gefahr geht aber nicht nur von proaktiven Versuchen des Wettbewerbs aus – bei einer schlechten Motivationslage der Mitarbeiter oder einer daraus resultierenden verstärkten Mitarbeiterfluktuation, ob aus Sorge um die finanzielle Zukunft oder auch aus Rache, werden Angestellte vor allem bei Kündigungen empfänglich für Wirtschaftsspionage. Manche Experten schätzen, dass über die Hälfte der scheidenden Angestellten vertrauliche Daten ihres Arbeitgebers mitgehen lassen. Hinzu kommt, dass ein Großteil auch nach Verlassen des Unternehmens immer noch Zugang zu internen Daten hat – damit ist dem Missbrauch Tür und Tor geöffnet. Meistens geschieht das unbemerkt, wenn keine Tracking-Software zur Überwachung von Dateizugriffen im Einsatz ist. Bemerkbar hingegen sind Sabotage-Akte, die neben der reinen Datenspionage auftreten können. In diesem Fall sind ungewöhnliche Veränderungen am Datenbestand ein Indiz für unbefugten Zugriff.
Neben den eigenen Mitarbeitern sollten externe Administratoren bei der Risikoabschätzung nicht vergessen werden. Wenn eine Beratungsfirma die Administration übernimmt, ist die Gefahr dort zwar geringer, doch kann bei Beschäftigung vieler unabhängiger externer Administratoren ohne Festsetzung von Kontrollmechanismen oder strikten Regeln zum Datenschutz ein potentieller Missbrauch von Account-Informationen nicht ausgeschlossen werden.
Um IT-Verantwortlichen die sichere Verwendung von Superuser-Kennungen zu erleichtern, bietet Cyber-Ark die „Privileged Identity Management Suite“ (PIM) an. Die Suite wird zwischen Anwender und Account geschaltet und stellt die Zugriffskontrolle für privilegierte Accounts durch Einweg-IDs sicher, überwacht die Aktivitäten und verwaltet die Zugriffsdaten von Administratoren.
Diese Lösung deckt außer dem „Shared Account/Software Account Password Management“ (SAPM) auch das „Superuser Privilege Management“ (SUPM) ab und eignet sich damit als zentrales Tool für die Verwaltung sämtlicher privilegierter User-Accounts eines Unternehmens. PIM besteht aus vier Komponenten. Der „Enterprise Password Vault“ fungiert als „Tresor für Passwörter“, in dem Zugriffskennungen sicher hinterlegt und einem policy-gesteuerten, permanenten Wechsel unterzogen werden. Der „Privileged Session Manager“ steuert und überwacht sämtliche Zugriffe und Vorgänge von privilegierten Usern. Mit dem „On-Demand Privileges Manager“ ist die Überwachung und individuelle, granulare Steuerung der Rechte von Superusern auf Unix-Systemen möglich. Der „Application Identity Manager“ übernimmt bei automatisierten Zugriffen durch Anwendungen die Aufgabe, Anwendungen den Umgang mit dynamischen Passwörtern, beispielsweise in Datenbanken, zu ermöglichen.
Meistens entstünden Bedrohungen durch den Missbrauch privilegierter Nutzerkennungen allmählich. Unternehmen sollten dem vorbeugen und ihre Daten und somit ihren Unternehmenserfolg von Anfang an schützen, so Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn.

Weitere Informationen zum Thema:

Cyber-Ark
Privileged Identity Management Suite / Who has the „Keys to the Kingdom”? Mismanagement of privileged identities puts your company at risk.

[datensicherheit.de, 23.11.2010] Die Cyber-Ark Software Ltd. hat auf derIT-Security-Messe it-sa 2010 unter den Ausstellern eine Befragung zur Verwaltung privilegierter Benutzerkonten durchgeführt:
Im Rahmen dieser Messe hat Cyber-Ark die Aussteller zum Thema Passwort-Management interviewt. Insgesamt 279 IT-Experten hätten dabei Rede und Antwort gestanden. 37 Prozent der Interviewten setzten demnach keine Lösung zum automatischen Passwort-Management im Unternehmen ein und 54 Prozent änderten zudem ihre Passwörter nur einmal im Jahr oder in unregelmäßigenAbständen. Dass fast 40 Prozent der auf der it-sa 2010 als Aussteller vertretenen Unternehmen, bei denen die Informationssicherheit zum Kerngeschäftgehört, keine Lösung zur automatischen Verwaltung von Admin-Passwörtern einsetzten, verwundere doch, so Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn. Gerade die IT-Sicherheitsexperten sollten ja wissen, dass bei den privilegierten Benutzerkonten noch vieles im Argen liege, denn sie ermöglichten einen ungehinderten Zugriff auf alleunternehmenskritischen Datenbestände.
In einer Zeit der zunehmenden Datenskandale und verschärften Audit- sowie Compliance-Vorgaben sollten gerade hier umfassende Security-Maßnahmen von der Zugangsbeschränkung bis zur Überwachung aller Aktivitäten ergriffen werden, um das Risiko einer unerlaubten Nutzung vertraulicher Informationen auszuschließen. Dass die mangelhafte Verwaltung der Administratoren-Accounts für die Unternehmen erhebliche Gefahren mit sich bringe, zeige ein weiteres Ergebnis der Cyber-Ark-Untersuchung. So habe immerhin jeder vierte Befragte erklärt, dass er unter Umgehung der vorhandenen Sicherheitsmaßnahmen auch jederzeit auf unternehmenskritische Datenbestände zugreifen könnte. Rund 15 Prozent der Befragten hätten sich auch schon einmal unter Nutzung eines privilegierten Accounts Zugang zu vertraulichen Unternehmensinformationen verschafft. Immerhin jeder Zehnte habe gar bestätigt, dass er beim Verlassen des Unternehmens vertrauliche Daten mitnehmen würde.

Weitere Informationen zum Thema:

datensicherheit.de, 22.10.2010
Nachlese zur it-sa 2010: Eine der bedeutendsten IT-Sicherheitsmessenetabliert / Rund 7.100 Besucher aus Wirtschaft, Forschung und Behördenund 304 Aussteller in Nürnberg