"Root" und "Admin" erhalten ein Gesicht

Wenn dann auch noch ungewiss ist, ob der Datenbankadministrator, der vor einem Jahr das Unternehmen verlassen hat, immer noch Zugriff auf das IT-Herz der Firma hat, ist das Chaos perfekt. Die Folgen können verheerend sein, wie das Beispiel des Netzwerkadministrators Terry Childs in San Francisco gezeigt hat (Computerworld.ch berichtete). Dieser hatte das Glasfasernetz der Stadt gekapert und die Passwörter geändert.

Solchen Vorkomnissen sollen sogenannte "Privileged Account Management"-Produkte einen Riegel vorschieben. Sie versuchen den Zugang mit Sonderrechten zu Systemen zu kontrollieren. Eine der noch wenig zahlreichen Hersteller solcher Lösungen ist das US-Unternehmen Cyber-Ark mit ihrer Privileged Identity Management (PIM) Suite.

Diese gleicht einem virtuellen Tresorraum mit verschiedenen Schliessfächern. In diesen einzelnen Safes finden sich dann die Passwörter für die unterschiedlichen IT-Aufgaben, etwa die Verwaltung der Unix- oder Windows-Umgebung. "Es gibt aber nicht den einen 'Gott', der den Generalschlüssel hat", beschwichtigt Jochen Koehler, der bei Cyber-Ark die Schweiz betreut, gegenüber Computerworld.ch. Vielmehr bestimme der Windows-Manager, wer in die Windows-Safes rein darf, der Unix-Admin könne über die Unix-Passwörter verfügen und der Datenbank-Verwalter sei für sein Schliessfach verantwortlich, präzisiert Koehler.

Die Ausgabe des Passworts erfolgt zudem über einen zuvor definierten Prozess. So kann die Losung erst dann benutzt, wenn man auch die Erlaubnis hierfür erhält, etwa von einer oder zwei weiteren Personen. Darüber hinaus muss sich jeder Nutzer stark authentifizieren, beispielsweise über einen Token.

Dadurch wird nicht nur sicher gestellt, dass nur berechtigte Personen die privelegierten Passwörter erhalten. Es kann später auch nachvollzogen werden, wer was am System gemacht hat. "Wenn ich mich heute auf einem System als Administrator anmelde, bin ich nicht 'Jochen Koehler', sondern der 'Admin' oder 'Root'", erklärt Koehler. "Dessen Passwort haben vielleicht mehrere weitere Kollegen auch. Wir wissen also später nicht, wer dieser 'Root' wirklich war". Dank der Lösung von Cyber-Ark gehöre diese Unwissenheit der Vergangenheit an. Denn die Software registriere, wer wann mit dem Passwort was auf dem System gemacht habe. Diese Informationen liessen sich zudem zu Compliance-Zwecken verwenden, ergänzt Koehler.

Da stellt sich die Frage, ob sich die Systemadministratoren derart kontollieren lassen wollen. Laut Koehler gibt es nach seiner Erfahrung nur wenige, die sich gegen die Cyber-Ark-Lösung stellen. "Das System dient nicht in erster Linie dazu, den Administratoren auf die Finger zu schauen. Es gibt ihnen vielmehr die Möglichkeit, bei einem Vorkommnis zu sagen: 'Ich wars nicht!'", argumentiert er. Bislang stünden die Administratoren dagegen unter einem Generalverdacht, meint er.

Des weiteren führt Koehler ins Feld, dass mit einer solchen PAM-Lösung, dem Administrator auch eine Menge Arbeit abgenommen werde, zumahl wenn er mehrere Systeme zu verwalten habe. Denn das System von Cyber-Ark vergibt die Passwörter automatisch. Über das Webfrontend könne man sich ohne weitere Passwort-Eingabe in mehrere Systeme gleichzeitig einloggen. Hierzu brauche es nur zuvor die starke Authentifizierung.

Die Kontrollmöglichkeiten der PIM-Suite gehen sogar noch weiter. So kann eine ganze Session aufgezeichnet werden. Diese Funktion eigne sich etwa für Firmen, die den Support bestimmter Systeme ausgelagert hätten, erklärt Koehler.

Cyber-Ark hat noch keine eigene Niederlassung in der Schweiz. Der Vertrieb erfolgt in der Deutschschweiz über zwei Partner, die Wettinger Execure und die in Glattbrugg beheimatete Integralis.

Cyber-Ark-Homepage Webpräsenz von Execure WWW-Site von Integralis