Sie sind hier: Home » Fachartikel » Administration

PIM-Lösung: Fluch oder Segen?


Einhaltung von Compliance-Anforderungen mit einer Privileged-Identity-Management (PIM)-Lösung
Compliance-Vorschriften aus dem Sarbanes-Oxley Act, PCI-DSS, ISO 27001, Basel II oder MaRisk erfordern einen Nachweis, wer wann Zugriff auf privilegierte Benutzerkonten hat

Autor Jochen Koehler:
Autor Jochen Koehler: Bedenken gegen die Einführung einer PIM-Lösung sind leicht zu entkräften, Bild: Cyber-Ark

Von Jochen Koehler ist Regional Director DACH & Middle East bei Cyber-Ark

(11.04.13) - Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

Der Veränderung etablierter betrieblicher Prozesse begegnen Mitarbeiter oft mit Skepsis. Die frühzeitige Integration aller betroffenen Mitarbeiter und Informationsmaßnahmen sind deshalb im Veränderungsmanagement unerlässlich. Eine klare Nutzenargumentation durch die Projektverantwortlichen ist dabei ein entscheidender Erfolgsfaktor. Bezogen auf die Vorteile einer Lösung im Bereich Privileged-Identity-Management (PIM), mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können, ist eine solche Kommunikation relativ einfach. Nach wie vor ist in vielen Unternehmen die "nicht-automatische", das heißt manuelle Änderung von privilegierten Benutzerkonten, gängige Praxis. Bei der normalerweise sehr großen Anzahl an Servern, Datenbanken und Netzwerkgeräten ist dieser Prozess allerdings extrem zeitaufwändig und fehlerbehaftet. Mit einer PIM-Lösung kann hier einfach und schnell Abhilfe geschaffen werden, da sie eine automatisierte Passwortverwaltung und damit Prozessoptimierung ermöglicht.

Mit einem umfassenden Passwortmanagement werden zudem zentrale gesetzliche und aufsichtsrechtliche Bestimmungen erfüllt. Compliance-Vorschriften aus dem Sarbanes-Oxley Act, PCI-DSS, ISO 27001, Basel II oder MaRisk erfordern einen Nachweis, wer wann Zugriff auf privilegierte Benutzerkonten hat, welche Veränderungen vorgenommen wurden und ob die Passwörter ordnungsgemäß geschützt und geändert wurden. Aber auch in Gesetzestexten wie KWG, StGB, GoBS oder BDSG finden sich entsprechende Regelungen für IT-Verantwortliche. Darüber hinaus führt eine Automatisierung der Passwortverwaltung mit der automatischen Anlage und Löschung von Accounts oder der automatischen Erstellung von Audit-Reports zu einer deutlichen Arbeitserleichterung.

Die zentrale Speicherung von Passwörtern wird gelegentlich auch als sicherheitsgefährdend betrachtet. Dies ist allerdings nicht der Fall, wenn die eingesetzte PIM-Lösung mit mehreren unterschiedlichen Security-Layern versehen ist und zuverlässigen Schutz vor unbefugten Zugriffen bietet. Mit Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP muss sichergestellt werden, dass nur autorisierte Anwender Zugang zu den Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten. Außerdem hat für jeden Benutzer und jede Benutzergruppe eine individuelle Berechtigungsvergabe zu erfolgen. So können User immer nur auf die für sie bestimmten Passwörter zugreifen. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein.

Zudem wird vereinzelt die Frage gestellt, ob die Einführung einer PIM-Lösung nicht auch immer mit dem Entzug von Rechten für den einzelnen Administrator verbunden ist. Dies ist zunächst einmal keine Frage, die direkt die PIM-Lösung betrifft, sondern vielmehr die Definition von Rollen und Berechtigungsstrukturen. Im Hinblick auf privilegierte Administratoren-Accounts mit erweiterten Rechten sollte jedes Unternehmen Prozesse für IT-Berechtigungsvergaben definiert haben. Damit kann sichergestellt werden, dass die Mitarbeiter nur die Rechte erhalten, die für ihren Tätigkeitsbereich erforderlich sind. Dieser Punkt sollte insbesondere deshalb nicht vernachlässigt werden, da gerade Wirtschaftsprüfungsgesellschaften zunehmend die Thematik Passwortmanagement aufgreifen und bemängeln, dass zu viele Mitarbeiter im Unternehmen umfangreiche Privilegien besitzen – Privilegien, die sie nicht oder nur selten benötigen. Die Berechtigungsvergabe bei Rollenmodellen ist somit ein Thema für jedes Unternehmen. Die PIM-Lösung unterstützt lediglich die technische Umsetzung. Hat ein Administrator also heute schon – gewollt – Vollzugriff, gilt diese Berechtigungsstufe auch nach der Einführung der PIM-Lösung: mit dem Unterschied, dass dieser Zugriff nun nachgewiesen und nachvollzogen werden kann.

Auch der gelegentlich geäußerte Vorbehalt, dass eine PIM-Lösung eine überflüssige "Überwachungsfunktionalität" beinhaltet, ist unzutreffend. Hier sollte man zunächst einmal berücksichtigen, dass privilegierte Accounts oft nicht von einer einzelnen Person, sondern von einer ganzen Gruppe von Administratoren verwendet werden, man spricht hier von so genannten Shared Accounts. Beispiele für diese generischen Benutzerkonten mit höchsten Privilegien sind Accounts wie "Root" bei Unix/Linux, "Administrator" bei Windows, "Cisco enable", "Oracle system/sys" oder "MSSQL sa". Ohne PIM-Lösung ist eine Nachvollziehbarkeit, welche Person einen solchen Account wann und wozu verwendet hat, praktisch ausgeschlossen.

Es ist somit keine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene möglich. Dies entspricht weder gängigen Compliance-Anforderungen, wie sie sich zum Beispiel in den Normen ISO 27001 oder ISO 27002 finden, noch kann es im Sinne der einzelnen Administratoren sein. Natürlich kann es auch unter Administratoren schwarze Schafe geben, aber das Problem bei Shared Accounts besteht gerade darin, dass ein Generalverdacht auf alle Administratoren fällt, falls zum Beispiel Daten abhandenkommen. Mit einer PIM-Lösung, die eine Personalisierung des Zugriffs auf vorhandene (Shared) Accounts ermöglicht, kann ein solcher Fall zuverlässig ausgeschlossen werden.

"Überflüssig" ist das Thema "Überwachung" im Bereich der Passwortverwaltung allein schon deshalb nicht, wenn man sich die zunehmende Nutzung von Services in den Bereichen Cloud Computing oder Business Process Outsourcing vor Augen hält. Falls ein externer Administrator Zugriff auf wichtige Unternehmenssysteme hat, ist die Notwendigkeit einer Überwachung privilegierter Benutzerkonten umso offensichtlicher. Dabei sollte zudem nicht nur kontrolliert werden, wer Verbindungen aufbaut, sondern auch, was Inhalt solcher Sessions ist. Dies muss jedes Unternehmen berücksichtigen, das auf Outsourcing setzt, da auch bei der Auslagerung von Geschäftsprozessen an einen externen Dienstleister die Anforderungen an das Risikomanagement bestehen bleiben.

Die verschiedentlich vorgebrachten Bedenken gegen die Einführung einer PIM-Lösung sind somit leicht zu entkräften. An der Implementierung einer solchen Lösung, sei es einer Hardware-Appliance oder einer reinen Software-Lösung, wird künftig kein Weg vorbeiführen – allein schon aufgrund verschärfter Compliance-Richtlinien. Dabei spricht nicht nur die Erfüllung von Compliance-Anforderungen oder die Automatisierung der Passwortverwaltung für eine PIM-Lösung, sondern auch die damit mögliche Optimierung allgemeiner betrieblicher Prozesse.

Durch die Vergabe von Berechtigungen im Rahmen von Rollenmodellen und strikte Authentifizierungsverfahren mittels einer PIM-Lösung kann eine Workflow-Verbesserung und Konsolidierung im Hinblick auf Art und Umfang der Zugriffe auf Zielsysteme und -applikationen erreicht werden. So führt zum Beispiel die mögliche Unterbindung unnötiger Zugriffe auf Produktions- oder Entwicklungssysteme zu einer Beseitigung potenzieller Fehlerquellen. Dies trägt in letzter Konsequenz auch zu einer Optimierung allgemeiner Unternehmensprozesse bei.

Insgesamt stellt sich somit nicht die Frage, ob eine PIM-Lösung Fluch oder Segen bedeutet. Die Notwendigkeit zur Einführung einer solchen Lösung liegt auf der Hand – gerade in einer Zeit, in der das Thema Datensicherheit zunehmend an Bedeutung gewinnt. Eine zentralisierte, automatisierte und sichere Verwaltung von administrativen Benutzerkonten, die einen uneingeschränkten Zugriff auf alle – auch vertraulichen – Unternehmensdaten ermöglichen, ist heute unverzichtbar. (Cyber-Ark: ra)


Cyber-Ark: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Administration

  • Erfüllung der hohen Compliance-Anforderungen

    Die Implementierung von IT-Compliance-Vorgaben kann sich als wahre Mammutaufgabe erweisen. Dell erläutert fünf Best Practices, mit denen die Umsetzung gelingt. Die Einhaltung gesetzlicher Bestimmungen, regulatorischer Vorschriften, Standards und nicht zuletzt interner Regeln ist heute für alle Unternehmen ein zentrales Thema - seien es Behörden, Organisationen im Gesundheitswesen, Automobil- oder Maschinenbauer, Finanzdienstleister oder Einzelhändler. Eine wichtige Rolle spielen dabei Maßnahmen wie die Förderung eines Sicherheitsbewusstseins unter den Mitarbeitern inklusive fortlaufender Schulungen, klarer Regeln für die Zugriffe auf Daten sowie eine regelmäßiger Überprüfung und Anpassung der Sicherheitsregeln. Der folgende Fünf-Stufen-Plan von Dell ebnet Unternehmen den Weg zur Erfüllung der hohen Compliance-Anforderungen.

  • Schritthalten mit der Compliance

    Wir möchten alle glauben, dass unsere Netzwerke vollständig sicher sind und unsere Verfahren und Richtlinien voll und ganz den Vorschriften entsprechen, die unsere Branche regeln. Doch die Sicherheitslandschaft verändert sich viel zu schnell, als dass Organisationen jederzeit gegen alle Bedrohungen geschützt sein könnten. Im Jahr 2012 führten wir eingehende Sicherheitsprüfungen bei Netzwerken von 900 Organisationen weltweit durch und fanden heraus, dass 63 Prozent mit Bots infiziert waren, von denen sie nichts wussten. Diese kommunizierten mindestens alle zwei Stunden mit ihren externen Steuerungszentren - und zogen dabei aktiv Daten von den infizierten Netzwerken der Unternehmen ab.

  • PIM-Lösung: Fluch oder Segen?

    Die Vorteile einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts sind umfassend. Für das Unternehmen reichen sie von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Auch der einzelne Administrator profitiert von einer deutlichen Reduzierung seines Verwaltungsaufwandes.

  • Compliance bei der Softwarelizenzierung

    Erfolgreiche Geschäftsbeziehungen beruhen auf dem Vertrauen zwischen Käufern und Verkäufern. Für die Softwarebranche sind die Themen Vertrauen und faire Gegenleistungen traditionell eher schwierige Themen. Denn viele Unternehmen verstoßen trotz bester Absichten immer wieder gegen geltende Nutzungsbestimmungen. Anwendungshersteller stellen ihren Kunden Anwendungen im Rahmen bestimmter Berechtigungen zur Verfügung. Dieser Rahmen gibt vor, wie das Produkt unternehmensweit genutzt werden darf. Diese Nutzungsberechtigungen werden üblicherweise mit einem Lizenzierungsmodell durchgesetzt, das das geistige Eigentum der Softwareapplikationsshersteller gleichzeitig schützt und monetarisiert. Im Laufe der Zeit und je nach avisierten Märkten und Segmenten stellt der Hersteller bisweilen auf ein anderes Lizenzierungsmodell um, das den geänderten Kundenanforderungen besser gerecht wird. Möglicherweise werden auch mehrere Lizenzierungsmodelle zur Wahl gestellt. Diese Dynamik erschwert ein einwandfreies Compliance-Management erheblich.

  • Compliance und Software-Audits

    Software-Audits gelten seit langem als notwendiges "Übel", um sicherzustellen, dass Endkunden nicht gegen Lizenzrechte verstoßen. Denn Softwarehersteller setzen nach wie vor hauptsächlich auf diese Methode, damit Kunden nicht irrtümlich oder vorsätzlich mehr Softwarelizenzen nutzen, als sie erworben haben. In manchen Marktsegmenten werden Kunden von den jeweiligen Herstellern allerdings stärker geprüft als von anderen. Schon die Vorstellung, sich einem Audit unterziehen zu müssen, veranlasst die meisten Endkunden dazu, angemessene Vorkehrungen zur Einhaltung der Lizenzbestimmungen zu treffen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen