Derzeit beschäftigen sich viele Unternehmen mit der Einführung einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts. Die Vorteile solcher Lösungen sind unbestritten, dennoch stehen am Anfang eines solchen Projekts viele Fragen. Security-Anbieter Cyber-Ark hat deshalb gemeinsam mit seinen Vertriebspartnern Cirosec, Computacenter, Controlware und Integralis die acht häufigsten Fragen zum Management von User-Accounts und Passwörtern ermittelt und gibt dazu die Antworten.
Nach den Erfahrungen von Cyber-Ark und der oben erwähnten Security-Dienstleister ist nach wie vor in vielen Unternehmen die "nicht-automatische", das heißt die manuelle Änderung von privilegierten Benutzerkonten gängige Praxis. Verschärfte gesetzliche Vorgaben zwingen viele Kunden Unternehmen aber zunehmend, sich über eine automatisiertes Passwort-Vergabe-System Gedanken zu machen. Mit einer derartigen PIM-Lösung (Privileged Identity Management; Administrator-Zugänge) ist es möglich, User-Accounts amt Passwörtern zentral und automatisch zu verwalten und zu kontrollieren.
"Was den genauen Funktionsumfang und die technisch-organisatorischen Integrationsmöglichkeiten einer PIM-Lösung anbelangt, da herrscht bei vielen Unternehmen immer noch eine gewisse Unsicherheit", meint Jochen Koehler, Regional Director DACH bei Cyber-Ark. Gemeinsam mit seinen Partnern Computacenter, Controlware, Integralis und Cirosec hat er nun die häufigsten Fragen der Kunden zum Thema Passwort-Management eruiert und passender Weise gleich die Antworten geliefert.
Die 8 Fragen zu Passwort-Management
1. Ist eine zentrale Speicherung von Passwörtern nicht mit Risiken verbunden?
Nein, das ist nicht der Fall, wenn die eingesetzte PIM-Lösung mit mehreren unterschiedlichen Security-Layern versehen ist und damit zuverlässigen Schutz vor unbefugten Zugriffen bietet. Mit Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token oder Zertifikaten kann sichergestellt werden, dass nur autorisierte Anwender Zugang zu den Passwörtern haben, die natürlich zudem verschlüsselt gespeichert sein sollten.
2. Nach welchen Regeln kann die automatisierte Passwort-Änderung erfolgen?
Moderne PIM-Lösungen bieten die Möglichkeit, das Passwort-Management entsprechend den Vorgaben der jeweiligen Security-Richtlinie individuell anzupassen. Der Anwender kann dabei die Komplexität, Passwortstärke und den Änderungszyklus frei definieren. Auch individuelle Workflows sind definierbar, um beispielsweise festzulegen, dass Benutzer bei Anforderung eines Passwortes ein offenes und gültiges Ticket eingeben müssen, dessen Kennung dann mit dem Ticketing-System abgeglichen wird.
3. Wie erreiche ich Hochverfügbarkeit?
Damit die zentral gespeicherten Passwörter jederzeit erreichbar bleiben, sollte eine redundant aufgesetzte, ausfallsichere Architektur implementiert werden. Die PIM-Lösung sollte in hochverfügbarer Ausbauweise betrieben werden. Damit wird sichergestellt, dass bei Ausfall des Masters auf eine einsatzbereite Backup-Version zurückgegriffen werden kann, die auch die aktuellsten Passwörter bereitstellt.
4. Kann ich mit einer PIM-Lösung das Problem der dezentralen Passwort-Verwaltung adressieren?
Mit einer umfassenden PIM-Lösung wird auch das Problem der dezentralen Passwort-Verwaltung abgedeckt. In vielen Unternehmen stellt heute gerade der lokale Administratoren-Account eine besondere Gefahr dar. So ist beispielsweise der "Local Admin" auf jedem Windows-Rechner zu finden und oft unternehmensweit mit dem gleichen Passwort versehen. Mit einer PIM-Lösung können diese privilegierten Benutzerkonten vollautomatisch in das Passwort-Management integriert werden.
5. Wie sieht es mit der Integrationsfähigkeit von PIM-Lösungen aus?
Heutige PIM-Lösungen bieten eine hohe "Enterprise-Fähigkeit" und Interoperabilität. Sie können problemlos in bestehende Infrastrukturen mit zentralen Benutzerverwaltungen und Verzeichnisdiensten wie Active Directory, eDirectory oder LDAP sowie Systemüberwachungen integriert werden. Eine Anbindung an SIEM (Security Information and Event Management)-Lösungen ist in der Regel einfach und schnell möglich. Unterstützt werden sollten stark verbreitete Lösungen wie HP ArcSight, LogLogic Security Event Manager, McAfee NitroSecurity, IBM Q1Labs oder RSA enVision.
6. Können bestehende Rollenmodelle übernommen werden?
Eindeutig ja. Im Hinblick auf privilegierte Administratoren-Accounts mit erweiterten Rechten sollte jedes Unternehmen bereits Prozesse für IT-Berechtigungsvergaben definiert haben. Damit kann sichergestellt werden, dass die Mitarbeiter nur die Rechte erhalten, die für ihren Tätigkeitsbereich erforderlich sind. Die PIM-Lösung unterstützt dann lediglich die technische Umsetzung. Hat ein Administrator beispielsweise heute einen Vollzugriff, gilt diese Berechtigungsstufe auch nach der Einführung der PIM-Lösung: mit dem Unterschied, dass dieser Zugriff nun nachgewiesen und nachvollzogen werden kann.
7. Können bei der Überwachung von privilegierten Aktivitäten bei bestimmten Ereignissen Alarme erzeugt und Gegenmaßnahmen ergriffen werden?
Ja, es gibt PIM-Lösungen, die ein zentrales Dashboard bieten, über das berechtigte Mitarbeiter stets die Übersicht über alle aktiven privilegierten Sitzungen haben. Bei Bedarf können sie sich live in diese einschalten und einzelne Sessions aus dem Dashboard heraus auch remote beenden. Wird die PIM-Lösung in Kombination mit SIEM-Tools für Echtzeitalarmierungen genutzt, können Unternehmen sich bei einem Alarm auch von dort aus sofort in die entsprechende Session einloggen, die Aktivität kontrollieren und diese gegebenenfalls unterbinden.
8. Welche Vorteile bieten PIM-Lösungen dem Unternehmen beziehungsweise den einzelnen Admins im Tagesgeschäft?
Für das Unternehmen reichen die Vorteile von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Der einzelne Administrator profitiert im Wesentlichen von einer deutlichen Reduzierung seines Verwaltungsaufwandes.
"Es zeigt sich, dass sich die Fragen bei PIM-Lösungen im Wesentlichen um technische und organisatorische Aspekte drehen und hier vielfach noch Unwissenheit beziehungsweise Bedenken vorherrschen. In unseren Augen ist das völlig unbegründet, da aktuelle PIM-Lösungen zum einen eine umfangreiche Plattformunterstützung bieten, mit der alle Kernbereiche moderner IT-Umgebungen abgedeckt werden. Zum anderen führen sie natürlich auch zu einer Veränderung betrieblicher Abläufe, aber nur im Hinblick auf eine hohe Prozess- und Workflow-Optimierung durch Automatisierung", so Jochen Koehler von Cyber-Ark. (rw):