PresseBox
Pressemitteilung BoxID: 528094 (CyberArk Software (DACH) GmbH)
  • CyberArk Software (DACH) GmbH
  • Kennedydamm 24
  • 40476 Düsseldorf
  • http://www.cyber-ark.com
  • Ansprechpartner
  • Jochen Köhler
  • +49 (7131) 6441095

Cyber-Ark: Schritt für Schritt zur sicheren Verwaltung privilegierter Benutzerkonten

(PresseBox) (Heilbronn, ) Eine umfassende Lösung zur Verwaltung privilegierter Benutzerkonten und Aktivitäten reicht von der automatischen Passwort-Verwaltung über die Protokollierung von Admin-Sessions bis hin zur Eliminierung von Application Accounts. Die Einführung einer solchen Lösung kann jedoch auch Schritt für Schritt erfolgen, sagt Sicherheitsexperte Cyber-Ark.

Die Verwaltung privilegierter Benutzerkonten gehört heute zu den größten Herausforderungen, denen sich die IT zu stellen hat. Die in letzter Zeit zunehmende Anzahl von Cyber- und Insider-Attacken, bei denen privilegierte Accounts missbräuchlich genutzt wurden, zeigt die Gefahr für Unternehmen deutlich. Die Einführung einer umfassenden Lösung für das Privileged Identity Management (PIM), mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können, ist deshalb unverzichtbar. Die Implementierung kann dabei auch schrittweise durchgeführt werden. Die folgende Vorgehensweise hat sich dabei laut Cyber-Ark bewährt:

1. Rechtemanagement und Entwicklung von Rollenmodellen

In einem ersten Schritt muss - falls noch nicht geschehen - für privilegierte Administratoren-Accounts ein Berechtigungskonzept mit klar definierten Rollenmodellen erstellt werden. Durch das Rechtemanagement wird sichergestellt, dass die Administratoren nur Zugriff auf Daten inklusive Metadaten erhalten, die sie für die Durchführung ihrer Aufgaben benötigen. Dieses Rechtemanagement ist die Grundvoraussetzung für die Umsetzung einer rollenbasierten Zugriffskontrolle.

2. Zentrale Speicherung der Passwörter

Der nächste Schritt sollte die Implementierung einer Lösung zur zentralen Speicherung aller Passwörter sein. Dabei ist darauf zu achten, dass die eingesetzte Lösung mit mehreren unterschiedlichen Security-Layern versehen ist und zuverlässigen Schutz vor unbefugten Zugriffen bietet. Dazu zählen zum Beispiel Authentifizierungs- und Zugriffskontroll-Features wie One-Time-Password-Token, Zertifikat, Radius, Passwort oder LDAP. Außerdem muss für jeden Benutzer und jede Benutzergruppe eine individuelle Berechtigungsvergabe erfolgen. So können User immer nur auf die für sie bestimmten Passwörter zugreifen. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein. Professionelle Lösungen bieten bereits in diesem Projektstadium ein Single-Sign-On-Verfahren an. Damit wird es möglich, eine direkte Verbindung zum Zielsystem - zum Beispiel zu Servern, Datenbanken oder Webanwendungen - aufzubauen, ohne dass ein Passwort einzugeben ist. Das bedeutet neben dem Mehr an Sicherheit eine deutliche Effizienzsteigerung bei der Administration.

3. Einführung eines automatischen Passwort-Managements

In einem nächsten Schritt sollte dann eine Automatisierung des Passwort-Managements erfolgen, das heißt eine automatische Verwaltung und Änderung privilegierter Accounts. Wichtig ist, dass die eingesetzte Lösung zur Passwort-Verwaltung es den Unternehmen ermöglicht, zu den eigenen Workflows und Anforderungen passende Richtlinien aufzustellen, die die Freigabe und Verwaltung der privilegierten Accounts regeln. Zu nennen sind hier zum Beispiel die flexible Festlegung des Passwort-Änderungsintervalls oder der Einsatz von Einmalpasswörtern. Auch individuelle Workflows sollten definierbar sein, um beispielsweise festzulegen, dass Benutzer bei Anforderung eines Passworts ein offenes und gültiges Ticket eingeben müssen, dessen Kennung dann mit dem Ticketing-System abgeglichen wird.

4. Protokollierung privilegierter Sessions

In einem weiteren Schritt sollte man die Möglichkeit ins Auge fassen, Admin-Sessions komplett zu protokollieren, das heißt, dass man privilegierte Zugänge nicht nur im Hinblick auf das "Wer", sondern auch auf das "Was" überwacht. Damit lässt sich jederzeit nachvollziehen, wer wann was getan hat. Ein zentraler Vorteil einer solchen Protokollierung ist die vereinfachte Fehlersuche. Außerdem ist eine solche Lösung insbesondere dann empfehlenswert, wenn auch externe Dienstleister und Administratoren Zugriff auf unternehmensinterne geschäftskritische Systeme haben.

5. Sukzessive Implementierung

IT-Umgebungen bestehen in der Regel aus Hunderten oder sogar Tausenden von Servern, Datenbanken, Netzwerkgeräten und Anwendungen, die alle über verschiedene privilegierte und von mehreren Mitarbeitern genutzte Konten mit weitreichenden Berechtigungen verwaltet werden. PIM-Lösungen sollten deshalb schrittweise eingeführt werden. Empfehlenswert ist es, zum Beispiel zunächst flächendeckend die Unix- und Windows-Server an die Lösung anzubinden und anschließend eine sukzessive Ausweitung auf Clients, Datenbanken und zentrale Netzwerkkomponenten vorzunehmen.

6. Beseitigung von Application Accounts

In einem letzten Schritt sollten neben den Passwörtern von Administratoren auch die Software oder Application Accounts, das heißt die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter, in das Sicherheitskonzept einbezogen werden. Sie liegen meistens im Klartext vor und ermöglichen einen automatischen Zugriff auf Backend-Systeme. Da diese Passwörter in der Regel zahlreichen Anwendern wie Systemadministratoren oder Entwicklern zugänglich sind, sollten sie aus den Applikationen und Skripten entfernt werden. Auch hier bietet sich als Alternative eine zentrale Ablage, Überprüfung und regelmäßige Änderung der Zugangsdaten an.

Jochen Koehler, Regional Director DACH von Cyber-Ark mit Sitz in Heilbronn, erklärt: "Prinzipiell ist die Einführung einer umfassenden Privileged-Identity-Management-Lösung kein Hexenwerk. Sie kann in der Regel einfach und schnell erfolgen. Andererseits ist es nicht notwendig, sofort eine komplette Umstellung vorhandener Prozesse vorzunehmen. Man kann hier durchaus Schritt für Schritt vorgehen und sukzessive eine durchgängige PIM-Lösung implementieren, die alle Anforderungen für die Verwaltung und Überwachung privilegierter Konten und Aktivitäten abdeckt. Genau diesen Weg haben auch viele unserer Kunden erfolgreich eingeschlagen."

CyberArk Software (DACH) GmbH

Das 1999 gegründete Unternehmen Cyber-Ark ist ein global agierender Anbieter von Informationssicherheits-Software. Das Unternehmen hat sich auf die Verwaltung und den Schutz von privilegierten Nutzerkennungen und sensiblen Daten spezialisiert. Die Lösungen von Cyber-Ark helfen Unternehmen, gesetzliche Richtlinien einzuhalten sowie Insider-Bedrohungen und externen Angriffen vorzubeugen. Der Hauptsitz des Unternehmens befindet sich in Newton (Massachusetts, USA). In Deutschland ist Cyber-Ark seit 2008 mit einer eigenen Niederlassung in Heilbronn vertreten. Cyber-Ark hat weltweit über 1.000 Kunden aus unterschiedlichsten Branchen.