Die Verwaltung administrativer Konten, das sogenannte Privilege Management, ist ein zentraler Aspekt bei der Administration und Überwachung sensibler Systeme. Für jegliche Art von Organisationen, von kommerziellen Unternehmen bis Behörden und Verwaltungen, ist ein strategischer Ansatz zur Verwaltung, Erteilung und Verfolgung von hochprivilegierten Berechtigungen ein ständig wichtig werdender Aspekt bei der Gewährleistung einer umfassenden Unternehmenssicherheit. Der Nachweis der Umsetzung angemessener Prozesse und des Einsatzes hierzu leistungsfähiger Technologien wird für eine steigende Anzahl von Organisationen Bestandteil der kontinuierlichen Erfüllung rechtlicher und regulatorischer Anforderungen.
Gleichzeitig ist das Privilege Management, wie viele andere Sicherheits- und Governance-relevante Konzepte und Technologien auch, Bestandteil einer sich sowohl technologisch wie auch strategisch kontinuierlich und essentiell verändernden IT- und Prozess-Landschaft: Geschäftsprozesse, Arbeitsprofile, rechtliche und regulatorische Anforderungen und die grundlegende IT-Infrastuktur verändern sich maßgeblich und tiefgreifend, während Organisationen in der Pflicht sind, die Einhaltung angemessener Maßnahmen durch belastbare Nachweise zu dokumentieren.
Neue Typen von Administratoren
Gerade im Privilege Management sind diese Veränderungen kontinuierlich auch in der Entwicklung der Lösungen und der implementierten Konzepte hautnah nachvollziehbar: Privilegierte Benutzer gehen heute weit über die klassischen Systemadministratoren zwischen root, SAP all, Domänen-Admin und DBA hinaus, auch wenn Steuerung, Einsicht und Kontrolle für deren Aktivitäten weiterhin ein zentraler Aspekt des Privilege Managements ist. Mit der Digitalisierung verändern sich Geschäftsprozesse und die Interaktion zwischen Unternehmen untereinander: Dies führt zu neuen Rollen in der Kommunikation und nicht zuletzt auch zu neuen administrativen Zugriffsprofilen auf Unternehmenssystemen. Die sich verändernden Deploymentprozesse für Infrastrukturen, weg vom klassischen Rechenzentrum und Outsourcing hin zu Virtualisierung, managed services, SaaS, Containern, Cloud und hybriden Umgebungen bringen eine Vielzahl neuer Typen von Administratoren und hoch-privilegierten Anwendern mit sich. Veränderte Nutzungskonzepte moderner Geschäftsprozess-unterstützender Software-Architekturen bilden Kompetenzen von qualifizierten Business Usern in entsprechenden, mit über übliche Berechtigungen hinausgehenden Nutzerprofilen ab, die auf Geschäftsprozessebene natürlich auch als administrative Accounts betrachtet werden müssen.
Neue Bedrohungen und Kontrollmöglichkeiten
Mit den sich so grundlegend verändernden Angriffsflächen entstehen neue Bedrohungen und Gefährdungssszenarien, die sich durch den erwartet höheren Wert möglicher Auswirkungen fast zwangsläufig auch auf die Erlangung erweiterter Berechtigungen konzentrieren. Dedizierte und mit einem hohen Maß an krimineller Professionalität erstellte Schadsoftware zielt heute auf die Erschleichung privilegierter Konten ab. Aber auch auf die breite Masse abzielende Bedrohungen wie Ransomware, die Daten dauerhaft oder bis zur Zahlung von „Lösegeld“ zerstören oder unbrauchbar machen, können bei Nutzung durch Inhaber privilegierter Konten substantielle bis unternehmensgefährdende Schäden verursachen.
Diese Beispiele zeigen, dass sich das Umfeld von Privilege Management zumindest evolutionär verändert. Unternehmen und Organisationen müssen auf diese neuen Herausforderungen durch veränderte und neue Sicherheits-Managementprozesse reagieren. Und natürlich spiegelt sich das auch in der Evolution der Privilege Management-Lösungen vieler relevanter Anbieter.
Evolution im Privilege Management Sektor
Viele etablierte Produkte entstanden auf der Basis von Lösungen, die sich mit der Herausforderungen der Verwaltung und Zuweisung von shared accounts, also nicht personalisierten, hoch privilegierten Konten, wie etwa dem klassischen UNIX-root-Account, zu identifizierbaren Anwendern auseinander setzten. Hinzu kamen schnell weitere Mechanismen, etwa zur Verwaltung von Beantragung-und Genehmigungsprozessen, begleitet durch die sichere und Audit-fähige Protokollierung von Sitzungen der Administratoren.
Die oben beschriebenen geänderten Anforderungen erfordern neue und veränderte Lösungsansätze, die mit den sich wandelnden Rahmenbedingungen sinnvoll umgehen können müssen und hier haben sich neue Konzepte bereits am Markt etabliert: Leistungsfähige Lösungen stellen die Überwachung von Sitzungen in Echtzeit und deren Protokollierung als Videos zur Verfügung. Auch die direkte Eingriffnahme in laufende Sitzungen und das Teilen von einzelnen Administrationssitzungen durch mehrere Administratoren als Real-Time Vieraugenprinzip steht heute schon in einigen Produkten zur Verfügung. Einige dieser Lösungen erlauben es darüber hinaus schon heute, die Aktionen innerhalb einer privilegierten Administratoren-Sitzung automatisiert zu überwachen und kritische Operationen zu kontrollieren, einzuschränken oder ganz zu verhindern. Dies gilt sowohl für klassische, textbasierte Administratorensitzungen, wie auch für grafische Sitzungen auf Windows-Servern oder im UNIX- X11-Umfeld. Ganz im Sinne der Umsetzung aktueller Konzepte aus BigData und Machine Learning finden im Rahmen der User Behaviour Analytics Lösungen Algorithmen ihren Einsatz, die die Identifikation von erwartetem Verhalten von Administratoren ermöglichen und auf dieser Basis wiederum mögliche als unerwünscht zu betrachtende Abweichungen identifizieren können. So kann weitgehend ohne menschliche Interaktion eine Analyse vorbereitet und durchgeführt werden und dann geschultes Personal, etwa in einem Security Operations Centre (SOC) entsprechend alarmiert werden.
Aber auch neue, fokussiertere Lösungsansätze suchen und finden ihre Einsatzbereiche. Schlanke Lösungen wie das unlängst neu entstandene Bomgar Privilege Management und andere Appliances trennen zuerst einmal den direkten Zugangsweg zu den zu schützenden System für interne wie externe Nutzer. Quasi als Broker dienen diese Systeme sowohl der Verbindungsherstellung als auch ihrer Überwachung und ermöglichen sichere Alternativen zu VPNs oder SSH-Tunneln. So können Anwenderunternehmen auf Basis der durch das Kappen des historisch gewachsener Zugangsweg-Wildwuchses neu gewonnen Sicherheit sukzessive das Privileged Account Management und das Password- und Schlüsselverwaltung im Folgeschritt umsetzen.
Endpoint Security im Einklang mit Privilege Management
Eine weitere, interessante Entwicklung ist die derzeitige Tendenz, Komponenten für Application Control in das Privilege Management zu integrieren. Dies lässt sich etwa an der Übernahme von Viewfinity durch CyberArk ablesen. Diese üblicherweise als Application White- oder Blacklisting bezeichneten Lösungen sind traditionell Bestandteile der Endpoint-Security, schützen aber insbesondere auch die Nutzer hochprivilegierter Accounts, sowohl die der technischen Administratoren auf Servern als auch solche von Business Usern.
Von der Punktlösung zur Sicherheitsinfrastruktur
Allen diesen Lösungen ist darüber hinaus der Trend gemein, dass sie sich mehr und mehr als integraler Bestandteil einer umfassenden Sicherheit-Infrastruktur begreifen, und damit in Verbindung zu anderen, unternehmenskritischen Sicherheitssystemen zu betrachten sind: Dies umfasst Produkte für die Access Governance und die User Behaviour Analytics im klassischen IAM-Umfeld, aber auch die Integration in das Incident Management und in unternehmensweite SIEM-(Security and Event Management) und RTSI (Real-Time Security Intelligence)-Konzepte. Dies stellt die Grundlage dafür bereit, dass langlaufende Angriffe oder umfassend orchestrierte Bedrohungen, die auf Netzwerkseite erkannt werden können, auch mit unerwünschten Zugriffsmustern im Privilege Management korelliert werden können. Dies ermöglicht es, Informationen aus unterschiedlichen Bereichen der Unternehmenssicherheit an zentraler Stelle zusammenzuführen und konsolidiert auszuwerten.
Der Markt für Privilege Management-Lösungen, aber nicht zuletzt auch die Umsetzung der hierfür notwendigen Prozesse in den Anwenderunternehmen verdeutlichen die veränderte Landschaft von Administrationsprozessen und der Verwendung privilegierte Konten in heutigen modernen Unternehmen. Positiv für die Anwender-Organisationen ist es aber, dass diese neuen Konzepte auch kontinuierlich in bereits bestehende Privilege Management-Infrastrukturen und -Verfahren integriert werden können. Solchen Lösung, denn die grundlegende Notwendigkeit der Verwaltung auch von geteilten Accounts ist weiterhin ein zentraler Aspekt für das Privilege Management.
Matthias Reinwarth ...
... ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Basierend auf einer kombinierten Ausbildung in Wirtschaft und IT, entwickelte Matthias Reinwarth einen starken Hintergrund in Identity und Access Management sowie Identity und Access Governance und Compliance. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Seine praktische Erfahrung als IAM-Berater reicht über 25 Jahre hinaus. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.