Americas

Asia

Europe

Oceania

Populäre Themen

Themen

About

Policies

Our Network

More

von
Editor in Chief B2B COMPUTERWOCHE, CIO, CSO in Germany

Was ist Privileged Access Management?

Analyse
12 Juli 20236 Minuten
Identity and Access Management

Gelingt es Hackern, einen der privilegierten Zugriffe zu den IT-Systemen ihrer Opfer zu kapern, ist der Schaden meist besonders groß. Privileged Access Management (PAM) hilft vorzubeugen.

Du kommst hier nicht rein! Das Rechtemanagement, gerade wenn es um weitreichende privilegierte Zugriffe geht, wird für Unternehmen immer wichtiger

Du kommst hier nicht rein! Das Rechtemanagement, gerade wenn es um weitreichende privilegierte Zugriffe geht, wird für Unternehmen immer wichtiger

Foto: Dave Clark Digital Photo – shutterstock.com

Privileged Access Management (PAM), manchmal auch als Privileged Identity Management (PIM) oder Privileged Access Security (PAS) bezeichnet, ist ein Teilbereich des Identity & Access Management (IAM).

Definition von Privileged Access Management

Bei Privileged Access Management geht es darum, administrative beziehungsweise hoch privilegierte Benutzerkonten inklusive der damit verbundenen Berechtigungen in IT-Systemen sicher zu organisieren und zu verwalten. Das betrifft insbesondere Konten von Administratoren, deren Befugnisse über die von regulären Standardnutzern weit hinausgehen.

Gartner zufolge gibt es rund um PAM verschiedene Unterdisziplinen:

  • Privileged Account and Session Management (PASM) für das granulare Steuern und Verwalten von Konten und Sitzungen. Es beinhaltet auch eine sichere Aufbewahrung von Anmeldeinformationen inklusive des Handlings dieser Daten wie zum Beispiel der regelmäßigen Änderung von Passwörtern.

  • Privilege Elevation and Delegation Management (PEDM) kontrolliert, welche Befehle ausgeführt werden. Außerdem lässt sich hinterlegen, was priorisiert ausgeführt beziehungsweise geblockt werden soll.

  • Secrets Management beinhaltet das Verwalten und Absichern von Objekten wie Passwörtern, Tokens, SSH-Schlüsseln und anderen Berechtigungsnachweisen.

Wer hat privilegierte Rechte?

Privileged Access kann menschliche wie auch maschinelle beziehungsweise softwarebezogene Identitäten betreffen. Anbieter Cyberark listet einige Beispiele auf:

  • Superuser-Konto: Ein leistungsfähiges Konto, mit dem IT-Systemadministratoren Konfigurationen an einem System oder einer Anwendung vornehmen, Benutzer hinzufügen und entfernen sowie Daten löschen können.

  • Domänenadministrator-Konto: Ein Konto, das privilegierten administrativen Zugriff auf alle Workstations und Server innerhalb einer Netzwerkdomäne ermöglicht. In der Regel gibt es nicht viele solcher Konten, aber sie bieten den umfassendsten und stabilsten Zugriff im gesamten Netzwerk. Oft ist auch vom “Schlüssel zur IT-Festung” die Rede, wenn es um die Privilegien von Administratorkonten und -systeme geht.

  • Lokales Administratorkonto: Dieses Konto befindet sich auf einem Endpunkt oder einer Workstation und nutzt eine Kombination aus User Name und Passwort. Benutzer können damit auf lokale Rechner und Geräte zugreifen und Änderungen daran vornehmen.

  • Secure-Socket-Shell(SSH)-Schlüssel: SSH-Schlüssel sind häufig genutzte Zugriffsprotokolle, die direkten Root-Zugriff auf kritische Systeme ermöglichen. Roots sind Benutzernamen oder Konten, die standardmäßig Zugriff auf alle Befehle und Dateien auf einem Linux- oder einem anderen Unix-ähnlichen Betriebssystem haben.

  • Notfallkonto: Dieses Konto bietet Benutzern im Notfall administrativen Zugriff auf sichere Systeme. Es wird manchmal auch als Firecall oder Break Glass Account bezeichnet.

  • Privilegierter Business-User: Ein Benutzer, der außerhalb der IT arbeitet, aber Zugriff auf sensible Systeme hat. Das kann zum Beispiel ein Mitarbeiter sein, der Zugriff auf Finanz-, Personal- oder Marketingsysteme braucht.

Beispiele für privilegierte Software-basierte oder Maschinen-Zugriffe:

  • Anwendungskonto: Ein privilegierter Account für eine bestimmte Anwendungssoftware, mit dem in der Regel der Zugriff auf die Anwendungssoftware verwaltet, konfiguriert oder gesteuert wird.

  • Service-Konto: Ein Konto, das von einer Anwendung oder einem Dienst für die Interaktion mit dem Betriebssystem genutzt wird. Dienste nutzen solche Konten, um auf das Betriebssystem oder eine Konfiguration zuzugreifen und Änderungen daran vorzunehmen.

  • SSH-Schlüssel: SSH-Schlüssel werden auch von automatisieren Prozessen genutzt.

  • Secret: Ein Sammelbegriff, den das Entwicklungs- und Betriebsteam (DevOps) oft für SSH-Schlüssel, API-Schlüssel und andere Anmeldedaten für privilegierten Zugriff verwendet.

Wie groß ist die Gefahr?

Kaum ein Unternehmen wird behaupten können, es gäbe innerhalb der eigenen IT-Systeme keine privilegierten Konten. Expertenschätzungen zufolge nimmt die Angriffsfläche, die weitreichende Berechtigungen bieten, signifikant zu. Das liegt unter anderem daran, dass die zunehmend heterogen und hybrid zusammengesetzten Landschaften in den Anwenderunternehmen immer komplexer werden. Verschiedenste Systeme, Anwendungen, Maschine-zu-Maschine-Konten, Cloud- und Hybridumgebungen, DevOps, robotergesteuerte Prozessautomatisierung und IoT-Geräte bilden ein weit verzweigtes Netz, in dem es schwerfällt zu kontrollieren, wer welche Rechte besitzt. Das gilt vor allem, weil sich die Umgebungen ständig verändern, neue Mitglieder und Objekte dazukommen oder andere abgeschaltet werden.

Hackern bleibt diese Situation nicht verborgen. Komplexe Angriffe basieren heute oft darauf, dass privilegierte Anmeldedaten missbraucht werden, damit sich Eindringlinge Zugang zu den Systemen verschaffen können. Da Privileged Access weit in die Systeme hineinreicht und Zugang zu sensiblen Daten, Anwendungen und Infrastrukturen erlaubt, kann der Schaden beträchtlich sein.

Wie funktioniert PAM?

PAM soll verhindern, dass Anmeldedaten gestohlen und privilegierte Rechte missbraucht werden. Dabei handelt es sich um einen umfassend angelegten Cyber-Security-Ansatz, der Mitarbeiter, Prozesse und Technologie mit einbezieht. Es geht darum, alle menschlichen und nicht menschlichen privilegierten Identitäten und Aktivitäten in einer IT-Umgebung zu kontrollieren, laufend zu überwachen, abzusichern und zu prüfen.

PAM beruht auf dem Least-Privilege-Prinzip, wonach Benutzer nur die für ihre jeweiligen Aufgaben erforderliche Rechte erhalten sollen. Das Least-Privilege-Prinzip gilt als Best Practice und ist Experten zufolge ein wesentlicher Schritt zum Schutz privilegierter Zugriffe auf sensible Daten und Ressourcen. Setzen die Unternehmen dieses Prinzip konsequent durch, lasse sich die Angriffsfläche verringern. Die Gefahr von internen Datenschutzverletzungen und externen Cyber-Angriffe könnte gesenkt werden.

Zu den Kernfunktionen von PAM gehören Gartner zufolge:

  • Erkennung von privilegierten Konten über mehrere Systeme, Infrastrukturen und Anwendungen hinweg,

  • Verwaltung von Berechtigungsnachweisen für privilegierte Konten,

  • Delegation des Zugriffs auf privilegierte Konten,

  • Aufbauen, Verwalten, Überwachen und Aufzeichnen von Sitzungen für interaktiven privilegierten Zugriff,

  • Kontrolle über die Reichweite von Eingaben und Befehlen.

Zu den optionalen Funktionen von PAM gehören:

  • Verwalten von Zugriffsrechten für Anwendungen, Dienste und Geräte,

  • Privilegierte Aufgabenautomatisierung (PTA),

  • Privilegierter Fernzugriff für Mitarbeiter und externe Benutzer.

Was sind die zentralen Herausforderungen beim PAM?

Cyberark zufolge gibt es eine Reihe von Herausforderungen rund um den Schutz, die Kontrolle und die Überwachung privilegierter Zugriffe:

  • Verwaltung von Anmeldedaten: Viele Unternehmen vertrauen auf aufwendige, fehleranfällige Prozesse für die Rotation und Aktualisierung privilegierter Anmeldedaten. Das kann ineffizient und letztendlich teuer sein.

  • Verfolgung privilegierter Aktivitäten: Manche Betriebe können privilegierte Sessions nicht zentral überwachen und steuern, wodurch sie verstärkt Cyber-Sicherheitsbedrohungen und Compliance-Verstößen ausgesetzt sind.

  • Überwachung und Analyse von Bedrohungen: Wenn Firmen nicht über geeignete Tools zur Gefahrenanalyse verfügen und nicht in der Lage sind, verdächtige Aktivitäten proaktiv zu erkennen und angemessen darauf zu reagieren, wachsen die Risiken.

  • Steuerung und Kontrolle privilegierter Benutzerzugriffe: Oft haben Unternehmen Schwierigkeiten, privilegierte Benutzerzugriffe auf Cloud-Plattformen (Infrastructure-as-a-Service und Platform-as-a-Service), Software-as-a-Service(SaaS)-Anwendungen, Social Media usw. wirksam zu kontrollieren, was zu Compliance-Risiken führt und den Betrieb komplexer macht.

  • Schutz von Windows-Domänencontrollern: Cyber-Angreifer können Schwachstellen im Kerberos-Authentifizierungsprotokoll ausnutzen, um sich als autorisierte Benutzer auszugeben und so Zugang zu kritischen IT-Ressourcen und vertraulichen Daten zu erhalten.

Wer bietet PAM an?

Werkzeuge für das Privileged Access Management gibt es als Einzellösung beziehungsweise als Bestandteil von weiter gefassten Identity & Access Management (IAM-)Suiten. Die Tools werden als physische oder virtuelle Appliance, als Software as a Service in der Cloud beziehungsweise als klassische lokal installierte Softwarelösung angeboten.

Zu den wichtigsten Anbietern zählen:

vgwort
von
Editor in Chief B2B COMPUTERWOCHE, CIO, CSO in Germany

Martin Bayer is Editor in Chief B2B COMPUTERWOCHE, CIO, CSO in Germany. He specializes in business software: Business Intelligence, Big Data, CRM, ECM and ERP.

Mehr von diesem Autor

Mehr anzeigen

News-Analyse

Mangelhafte Cybersicherheit im Gesundheitswesen

Von Julia Mutzbauer
07 März 20253 Minuten
CyberangriffeGesundheitswesen
Bild
News

BSI veröffentlicht neue Sicherheitsanforderungen für Datenbanksysteme

Von Tristan Fincken
07 März 20252 Minuten
Sicherheit
Bild
Feature

11 ruinöse Ransomware-Bedrohungen

Von John Leyden
06 März 20259 Minuten
CyberkriminalitätRansomware
Bild