Privileged Account Management (PAM)

Ob On-Premise oder in der Cloud - ohne Benutzerkonten läuft in der IT nichts. Hierzu gehören neben den Konten für die Mitarbeiter in den Fachabteilungen auch so­genannte privilegierte Nutzerkonten.

Dabei handelt es sich um Accounts für Administratoren, Wartungsmitarbeiter und leitende Angestellte, deren Rechte über die begrenzten Rechte der normalen Nutzer-Accounts in der Regel weit hinausreichen.

Nur die wenigsten IT-Abteilungen geben sich allerdings besondere Mühe, diese Konten auch ausreichend zu sichern. Weil privilegierte Accounts genutzt werden können, um Zugriff auf sensible Daten zu erhalten, diese zu manipulieren oder auch zu löschen, dürfen diese Konten nicht in falsche Hände geraten.

Laut einer von Thycotic in Auftrag gegebenen Untersuchung, für die rund 500 Unternehmen befragt wurden, inte­griert nur eines von drei Unternehmen privilegierte Accounts und die für sie verwendeten Passwörter in ihre Richtlinien für Zugriffskontrollen. In der Studie «2018 Global State of Privileged Account Management (PAM) Risk & Compliance» beschäftigt sich der auf PAM-Lösungen spezialisierte Anbieter mit der tatsächlichen Sicherheit privilegierter Nutzerkonten in Unternehmen.

Die Ergebnisse sind erschreckend: So unterziehen der Studie zufolge rund 64 Prozent der Unternehmen ihre privilegierten Konten keiner umfassenden Überprüfung. 70 Prozent können die von ihnen genutzten privilegierten Konten noch nicht einmal identifizieren. 40 Prozent unternehmen auch nichts, um überhaupt an diese Informationen zu gelangen. Und 55 Prozent versäumen es, nach dem Ausscheiden eines Mitarbeiters dessen Account zu schliessen.

Dazu passt, dass mehr als die Hälfte der befragten Unternehmen auch keine sicheren Anmeldeprozesse für ihre privilegierten Konten verwenden. So verzichten rund 73 Prozent auf die als besonders sicher geltende Multifaktor-Authentifizierung für die von ihren Administratoren genutzten Konten.

Dabei kann durchaus die Existenz eines Unternehmens auf dem Spiel stehen, wenn eines oder mehrere dieser Konten gestohlen und missbraucht werden. Nicht nur der direkte Schaden durch Datendiebstahl ist dabei einzurechnen, auch indirekte Folgen durch eine Rufschädigung und künftige Umsatzverluste können entstehen.

Die Analysten von Gartner hatten Privileged Account Management (PAM) deswegen für das Jahr 2018 zum Thema mit der höchsten Priorität im Bereich IT-Security erklärt. Das renommierte Marktforschungsunternehmen empfiehlt Unternehmen, sich mit ihren Massnahmen auf einige wenige Be­reiche zu konzentrieren, und zwar auf solche, mit denen sich die meisten Risiken reduzieren lassen und die zugleich die grösste Wirkung haben.

In einer von Gartner veröffentlichten Liste mit zehn Security-Projekten, um die sich ein Chief Information Security Officer (CISO) vor allem kümmern sollte, steht Privileged Account Management ganz oben. Als absolutes Minimum bezeichnet Gartner zudem die Multifaktor-Authentifizierung für alle Administratoren-Accounts in einem Unternehmen. Ausserdem sollten die IT-Security-Teams gezielt nach ungewöhnlichem Verhalten suchen.

«Obwohl sich viele Unternehmen durchaus bewusst sind, welche Bedeutung privilegierte Konten für ihre Cybersicherheit haben, zeigt unser Report, dass es die meisten dennoch versäumen, diese Konten abzusichern und zu schützen», erklärt Joseph Carson, Chief Security Scientist bei Thycotic. Der Schutz privilegierter Zugangsdaten sei für die Einhaltung von Compliance-Anforderungen aber unabdingbar. Der traditionelle Sicherheitsperimeter, also etwa der Schutz durch eine Firewall, biete längst keine effektive Sicherheitskontrolle mehr. Der neue Perimeter liege beim Mitarbeiter beziehungsweise seiner Identität. Der Zugriff auf sensible Daten auch ausserhalb des Unternehmensnetzwerks lässt sich laut Carson nur mit IAM-Lösungen (Identity and Access Management) kontrollieren. «Die Umsetzung von Privileged Account Management ist einer der wichtigsten Schritte bei der Implementierung einer starken IAM-Lösung», so Carson weiter.

Dabei müsse bedacht werden, dass sich «konventionelle IAM-Lösungen in erster Linie auf die Bereitstellung von Accounts konzentrieren». Carson: «Sie haben ihren Fokus nicht auf den Sicherheitskontrollen, wie sie von PAM-Lösungen bereitgestellt werden.» Aktuelle Lösungen für das Privileged Account Management können nach Carsons Angaben privilegierte Konten automatisch erkennen, sie verwalten und zudem schützen. «Darüber hinaus bieten sie ein automatisiertes Passwort-Management, umfassende Auditierungs-Möglichkeiten sowie ein vollständiges Monitoring, das das Aufzeichnen privilegierter Sitzungen ermöglicht.» Eine notwendige Ergänzung sei dabei die Umsetzung des sogenannten Least-Privilege-Prinzips, das heisst, die Administratoren und Anwender im Unternehmen erhalten immer nur dieje­nigen Berechtigungen, die sie für ihre aktuellen Aufgaben auch wirklich benötigen.