Management, Überwachung und Kontrolle administrativer Konten

Die Handhabung von hochkritischen Konten in Unternehmensnetzwerken und -systemen unterliegt auch heute schon einer kritischen Begutachtung durch interne Auditoren, beauftragte Wirtschaftsprüfer oder öffentliche Regulatoren. Und dies geschieht zu Recht, denn nach den Ergebnissen des von Verizon publizierten „2015 Data Breach Investigations Report (DBIR)“ basieren 11,4 Prozent aller in 2014 betrachteten Sicherheitsvorfälle auf dem Missbrauch legitim zugeordneter Zugriffsrechte.

Kontinuierlich steigende regulatorischen Anforderungen beeinflussen die Kriterien auch für bereits bestehende Infrastrukturen: Beispielsweise können im Einzelfall durch das Anbieten der Zahlung per Kreditkarte in einem Shop-System die Anforderungsdefinitionen des durch die Kreditkarten-Provider definierten Standards PCI-DSS (Payment Card Industry Data Security Standard) eine zwingende Voraussetzung für den Betrieb der Plattform werden. Hierdurch werden strikte Regelungen für die Kontrolle und Überwachungen jeglichen Zugriffs auf die betroffenen Systeme erforderlich.

Doch schon aus unternehmensstrategischen Überlegungen ist eine stringente Überwachung, Protokollierung und Kontrolle der administrativen Vorgänge in hohem Maße geboten: Der Schutz von geistigem Eigentum, von Kundendaten, aber auch einfach der Unternehmens-Reputation machen dies notwendig.

Klar ist: Die gemeinschaftlich genutzte Liste aller Passwörter für alle administrativen Zugänge, sei sie in Papier, als geteiltes Dokument oder im Kopf der Administratoren, muss der Vergangenheit angehören.

Aktuelle Werkzeuge zur Verwaltung von administrativen Accounts (Privilege Management Systems) stellen heute Funktionen zur Verfügung, die einen Administrator im Idealfall vollständig durch seinen Admin-Alltag begleiten. Zentrale Prämisse ist, dass alle Zugänge zu den kontrollierten Systemen nur über eine einheitliche Privilege Management Plattform erfolgen kann. Diese verwaltet alle Zugangsdaten, von Accounts bis zu den zugehörigen Passwörtern oder SSH-Schlüsseln.

Legitime Administratoren sind dem System als Personen bekannt und werden über ihren Lebenszyklus im unternehmensweiten Identity und Access Management verwaltet und provisioniert. Sie können benötigte Administrationsrechte für einen definierten Zeitpunkt mit zugehöriger Laufzeit beantragen. Im Vieraugenprinzip kann dann durch hierfür berechtigte Manager die Genehmigung erfolgen, im Einzelfall auch schon durch Vorabgenehmigung. Der dadurch persönlich identifizierbare Administrator bekommt zur Laufzeit den technischen Administrator-Account (Root, DBA, Administrator, et cetera) zugeordnet und wird sicher und transparent über die Privilege Management Plattform angemeldet, ohne jemals das eigentliche System-Passwort gekannt oder den SSH-Schlüssel besessen zu haben.

Die hierdurch initiierte Administrationssitzung wird dann vollständig protokolliert, unabhängig davon ob es sich um eine grafische oder eine textbasierte Terminalsitzung handelt. In beiden Fällen sind heutige Lösungen in der Lage, diese angemessen zu protokollieren. Ein vollständiges Audit-Log kann dem Schutz aller Beteiligten, also des Unternehmens und des Administrators gleichermaßen dienen.

Darüber hinaus bieten viele Anbieter von Privilege Management Systemen heute Mechanismen, die Aktionen in einer aktiven Administratoren-Sitzung in Echtzeit zu überwachen können. Hierdurch können unerwünschte Administrationsvorgänge regelbasiert erkannt und bei Bedarf auch unterbunden werden. Dies ist insbesondere bei einer Vielzahl kontinuierlich wechselnder Administratoren eine sinnvolle Maßnahme.

Die Ermittlung der notwendigen Anforderungen, die Auswahl einer angemessenen Software-Plattform und die Integration dieser in ein sicherheitstechnisches Gesamtkonzept sind strategische Aufgaben, die sinnvoll bei der Unternehmenssicherheit, etwa beim CISO (Chief Information Security Officer) angesiedelt sind. Der Nachweis der Existenz eines effizienten Privilege Management Systems ist heute ein kritischer Erfolgsfaktor für praktisch jedes Unternehmen.

Doch es sollte neben den technischen Administratoren auch Anwendungsbenutzer mit kritischen Berechtigungen umfassen. Damit ist offensichtlich, dass ein wohldefiniertes Privilege Management sinnvoll in ein Gesamtkonzept für Access Governance integriert ist. Der Übergang hin zur allgemeinen Betrachtung von Funktionstrennungskonflikten (Segregation of Duties) ist fließend, auf der anderen Seite ist das User Activity Monitoring schon heute Bestandteil moderner Access Governance/Access Intelligence-Lösungen.

AUTOR

Matthias Reinwarth ...

... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

36 Minuten ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

16 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

21 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

21 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

22 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

22 Stunden ago