Administrative und privilegierte Accounts – zum Beispiel von Superusern oder Administratoren – sind beliebte Ziele zum Angriff von Cyber-Kriminellen. Dennoch werden diese in vielen Unternehmen bisher eher schlecht geschützt. Das Analystenhaus Gartner betont die Wichtigkeit des Privileged Access Management (PAM) und hatte daher die Thematik auf dem Security and Risk Management Summit im Jahre 2018 zum bedeutendsten Sicherheitsprojekt, um welches sich Chief Information Security Officers (CISOs) kümmern müssen. Der automatische Discovery-MechanismusBeim Aufbau des optimalen Privileged Access Management gilt es, in einem ersten Schritt alle negativen Assets in dem Unternehmensnetzwerk und die dazugehörigen Anmeldeinformationen und Konten zu sammeln. Weil sich die Unternehmensnetzwerke stetig weiterentwickeln, sollten Sie außerdem garantieren, dass Sie einen besten Mechanismus haben, welcher neuartige privilegierte Konten dauerhaft aufspürt. Nur auf diese Weise können Sie auf jeden Fall sicher sein, dass Sie zu jeder Zeit den Überblick haben. Optimal sind hierbei automatisierte Programme wie der Password Manager Pro, welche Ihr Netzwerk mit einer sogenannten Auto-Discovery-Funktion scannen, neuartig privilegierte Konten erkennen und in einer sicheren, zentralen Datenbank verwalten. Wenn Sie jenen Schritt umgesetzt haben, haben Sie schon eine sehr gute Grundlage für die eigene PAM-Strategie erschaffen. Die Speicherung der Zugänge für privilegierte KontenAls nächstes müssen Sie sich um die Ablage der einzelnen Passwörter in Ihrem Unternehmen kümmern. Ob isolierte und lokale Datenbanken, die oftmals von unterschiedlichen Teams gepflegt werden, oder Passwörter, welche auf Zetteln notiert oder als Klartext abgespeichert werden: Jene Praktiken sind nicht nur besonders ineffizient (beispielsweise die Verwendung von alten Passwörtern und Koordinationsprobleme), sondern die stellen in erster Linie ebenfalls ein Sicherheitsrisiko dar. Sehr viel sicherer sind die Zugänge und die Passwörter in einem zentralen und verschlüsselten Repository. Vor jenem Hintergrund sollten Sie generell eine Management-Lösung wie Password Manager Pro in dem Unternehmen implementieren, in welcher die einzelnen Anmeldeinformationen der privilegierten Konten aus sämtlichen Abteilungen Ihres Unternehmens zentral verwaltet sind. Das Repository, in welchem alle die Zugangsdaten abgespeichert sind, sollte hierbei mit den Verschlüsselungsalgorithmen wie AES-256 vor unwillkommenen Zugriffen geschützt sein. Die Rollen für die ZugriffsrechteDefinieren Sie auf jeden Fall klare Rollen mit beschränkten Zugriffsrechten. Wenn Sie die Zugangsdaten für die privilegierten Nutzerkonten in Ihrem Unternehmen sicher in einem Password Repository abgelegt haben, müssen Sie entscheiden, wer auf sie zugreifen kann. Nutzen Sie jene Gelegenheit, um eindeutige Rollen für die Mitglieder des IT-Teams festzulegen. Sie müssen dazu genau überlegen, wer welche Zugriffsrechte benötigt und stellen Sie ebenfalls sicher, dass jedes Mitglied des Teams lediglich die minimal erforderlichen Zugriffsrechte bekommt. Eine eindeutig definierte, rollenbasierte Konzeption für die Zugangskontrolle der Passwörter (Password Access Control) leistet einen bedeutenden Beitrag dabei, sämtliche Aktivitäten im Zusammenhang mit dem Password Repository zu verfolgen. Die Multi-Faktor-AuthentifizierungSymantec kam im „Internet Security Threat Report 2016“ dazu, dass sich etwa 80 Prozent der Verletzungen der Sicherheit durch die Nutzung einer Multi-Faktor-Authentifizierung vermeiden lassen würden. Wenn auch diese Studie schon einige Zeit zurück liegt, gilt heutzutage mehr als je zuvor: Eine Multi-Faktor-Authentifizierung muss inzwischen zum Unternehmensstandard gehören – gerade und auch beim Privileged Access Management. Vor jenem Hintergrund sollten Sie das PAM-Tool mit der Zwei- oder Mehr-Faktor-Authentifizierung absichern – am besten für Endanwender und Passwort-Administratoren zugleich. Dann können Sie garantieren, dass nur die passenden Personen Zugriff auf jene sensiblen Ressourcen haben. Die Teilung der AnmeldeinformationenWenn Sie bereits eine eindeutige Rollenverteilung umgesetzt haben, sollten Sie sich nun Gedanken über das gesicherte Verfahren für das Freigeben und Teilen von Passwörtern machen. Damit die Zugangsdaten optimal geschützt sind, sollte Ihr PAM-Administrator dazu in der Lage sein, den Dienstleistern und den Mitarbeitern den Zugriff auf die vorhandenen IT-Ressourcen zu gewährleisten, ohne die Informationen zur Anmeldung im Klartext offen darzulegen. |