Wie Unternehmen effektiv Zugriffe auf ihre kritischsten Daten schützen können
Könnte Ihr Unternehmen schnell erkennen, wer Zugriff auf Ihre wichtigsten Daten oder Systeme hat? Welches die relevanten Bausteine eines Privileged Access Managements (PAM) sind, um diese privilegierten Nutzer zu identifizieren und zu überwachen, haben Dennis Müllerschön und Marion Grau von Horváth in diesem Artikel zusammengefasst.
Privilegierte Benutzerkonten ermöglichen in der Regel umfangreichen Zugriff auf Unternehmensinformationen, weshalb sie einen zentralen Angriffsvektor für Cyber-Attacken darstellen. Regulatorische Vorschriften verstärken den Handlungsdruck, übergreifende Zugriffe systematisch abzusichern, da diese sich besonders mit Fokus auf die Verwaltung privilegierter Benutzer zunehmend verschärfen. Ein systematisches Privileged Access Managements (PAM) dient dazu, Information zu schützen und Compliance zu erzielen, indem es die privilegierten Zugriffe systematisch absichert und deren effektive Verwaltung ermöglicht. Die von uns identifizierten fünf zentrale Stützen für eine effiziente PAM-Lösung, gewährleisten ein hohes Maß an Kontrolle und Sicherheit und stellen eine effiziente Verwendung von privilegierten Benutzerkonten sicher.
Abb. 1: Bausteine eines Privileged Access Managements (PAM)
Das Fundament: Ganzheitliches PAM-Konzept
Beim Aufbau eines PAM-Systems kommt es auf ein solides Fundament an, welches eine umfassende Grundlage für das gesamte System bildet. Dieses wird durch die Erstellung eines ganzheitlichen PAM-Konzepts sichergestellt. Das Konzept formuliert die grundsätzlich intern gültigen Vorgaben an die PAM-Lösung und definiert den grundlegenden fachlichen und technologischen Aufbau des PAM-Systems. Ein weiterer Baustein des Konzepts ist die Definition und Abstimmung von klaren Rollen und Verantwortlichkeiten und deren Einbindung in die definierten PAM-Prozesse. Hierbei sind insbesondere auch die Schnittstellen mit anderen Systemen wie Identity and Access Management (IAM) oder Security Information and Event Management (SIEM) zu beachten.
Baustein 1: Identifikationsprozesse
Das Vorhandensein eines nicht erfassten und kontrollierten privilegierten Benutzerkontos, wenn auch nur für kurze Zeit, kann ein erhebliches Sicherheitsrisiko darstellen. Aus diesem Grund ist die Identifikation privilegierter Systemzugriffe innerhalb der IT-Landschaft von grundlegender Bedeutung. Eine PAM-Software, mit der fortlaufend und automatisiert privilegierte Benutzerkonten ermittelt werden können, sowohl natürliche als auch technisch privilegierte Benutzer, reduziert den manuellen Aufwand erheblich. Gemäß des Need-To-Know Prinzips werden nicht benötigte privilegierte Berechtigungen entsprechend entzogen und alle Benutzerkonten, die tatsächlich auf kritischen Assets zugreifen müssen, durch ein Session Management gezielt überwacht.
Baustein 2: Authentifizierungsmethoden
Der Zugriff auf privilegierte Benutzerkonten und die entsprechenden Authentisierungs-informationen sind besonders abzusichern, sodass nur erwünschte Personen auf hochkritische Daten zugreifen können. Mittels Multi-Faktor-Authentifizierung (MFA) werden mindestens zwei unabhängige Komponenten zur Authentifizierung herangezogen. Neben einer Wissenskomponente (z.B. Passwort), empfiehlt sich der stärkere Einsatz von Besitzkomponenten (z.B. Token) oder biometrische Komponenten (z.B. Fingerabdruck). Starke MFA-Verfahren sind entsprechend in die PAM-Lösung einzubinden. Dies gilt insbesondere bei Systemen mit hohem Schutzbedarf.
Eine weitere Maßnahme zur Steigerung der IT-Sicherheitsanforderungen ist die Implementierung eines Zero-Trust-Modells (ZTM). Der Leitgedanke von Zero Trust ist „never trust, always verify“, was bedeutet, dass Benutzerkonten standardmäßig nicht vertraut werden sollte. Das ZTM gewinnt insbesondere für hochkritische IT-Assets zunehmend an Popularität. Es ist ein Modell, welches die maximale Gefährdung, ausgehend von der Benutzeraktion, impliziert und daher jede Aktion vor diesem Hintergrund bewertet. Zu diesem Zweck wird der Ressourcenzugriff grundsätzlich verweigert, bis Benutzer und Geräte überprüft und zweifelsfrei authentifiziert wurden.
Baustein 3: Zugriffskontrolle/-steuerung
Zur Etablierung einer systematischen Zugriffs- und Kontroll-Governance über die privilegierten Benutzerkonten ist ein Benutzer-Lebenszyklus Management notwendig. Das bedeutet, dass von der initialen Anlage eines neuen Nutzers bis zu seinem Ausscheiden aus dem Unternehmen alle berechtigungsrelevanten Schritte und zugehörigen Prozesse genau definiert sind. Nur damit kann sichergestellt werden, dass die Neuanlage, Änderung und Deaktivierung von privilegierten Benutzerkonten kontrolliert und nachvollziehbar erfolgen.
Eine weitere Möglichkeit zur Zugriffbeschränkung ist der Just-in-Time-Access, welcher privilegierte Zugriffe nur im Bedarfsfall für kurzen Zeitraum gewährt und dann entfernt. Entscheidend ist neben der Vergabe des Zugriffs auch die Kontrolle der Verwendung der privilegierten Berechtigungen.
Baustein 4: Aktivitätenmonitoring
Eine bewährte Methode zur Überwachung privilegierter Benutzerkonten besteht darin, kritische Benutzeraktivitäten systematisch aufzuzeichnen (Session Management). Es sind geeignete Prüfprozesse durch die Integration einer SIEM-Lösung zu implementieren, die eine missbräuchliche Nutzung der Privilegien identifizieren. Hierbei werden Zugriffsdatensätze regelmäßig überprüft und akut mit Maßnahmen auf Handlungen über die zugewiesenen Berechtigungsstufen hinaus reagiert.
Baustein 5: Automatisierung
Besonders vorhersagbare, repetitive oder fehleranfällige Aufgaben, wie einfache Konfigurationsänderungen, Dienstneustarts oder Protokollverwaltung, können meist automatisiert werden. Eine effektive Automatisierung hat das Ziel, die Zuverlässigkeit, Sicherheit und Effizienz der Systeme zu erhöhen. Aus diesem Grund sollten DevOps-Automatisierung oder Robotic Process Automation (RPA) bei der Implementierung einer PAM-Lösung mitdiskutiert werden. Softwareroboter bringen neben wesentlich höherer Datensicherheit auch eine Erhöhung der Geschwindigkeit der Prozesse sowie Qualität der Aufgabenergebnisse mit sich.
Abb. 2: Schützen Sie Ihre sensiblen Unternehmensdaten mit einem ganzheitlichen PAM-Konzept und den darauf aufbauenden fünf zentralen Bausteinen
Das ganzheitlichen PAM-Konzept und die darauf aufbauenden fünf zentralen Bausteine sind unabdingbar für die Gewährleistung eines erfolgreichen Aufbaus und Umbaus einer PAM-Lösung. Dieses systematische Vorgehen hat sich durch jahrelange Horváth Expertise besonders bewährt. Damit ist sowohl der Schutz sensibler Unternehmensdaten und -infrastrukturen als auch das effektive Management der privilegierten Benutzerkonten sichergestellt.
Über die Autoren:
Dennis Müllerschön ist als Senior Project Manager bei Horváth im Bereich Risk und Compliance Excellence tätig. In dieser Funktion berät er unter anderem Unternehmen als Projektleiter bei der Einführung von Identity & Access Management- und Privileged Access Management-Lösungen und zu weitergehenden Fragestellungen der IT- und Informationssicherheit.
Mario Grau ist als Managing Consultant bei Horváth tätig. Er berät international agierende Kunden in den Bereichen Compliance und Enterprise Risk Management. Insbesondere entwickelt er Lösungen bei der Umsetzung regulatorischer Anforderungen durch den Einsatz von Identity and Access Management Systemen, von der Konzeption bis zur Implementierung, zu sämtlichen Fragestellungen wie PAM, SoD, und dergleichen.