Mangelndes Vertrauen in Privileged Access ManagementBessere Methoden für IAM und PAM sind gefragt
27. November 2018Cyber-Sicherheit als solche und insbesondere der Schutz von vertraulichen Daten waren vielleicht nie wichtiger als gerade jetzt. Die allgemeine Aufmerksamkeit richtet sich inzwischen sehr viel stärker auf das Thema. Das gilt gleichermaßen für Regierungen und Aufsichtsbehörden. Die Risiken sind höher denn je. Kein Unternehmen, keine Organisation kann sich mehr hinter einer magischen „BlackBox“ verschanzen, die im Hintergrund sämtliche Sicherheitsvorkehrungen übernimmt. Ohne konzertierte Aktion wird es nicht gehen, und die betrifft Menschen, Prozesse und Technologien zu gleichen Teilen.
Tatsächlich haben Identity und Access Management sowie das Privileged Access Management (abgekürzt IAM und PAM) einen großen Anteil an den Sicherheitsbemühungen eines Unternehmens. Das hat einen Grund. Privilegierte Konten betreffen die wichtigsten Daten einer Firma, Benutzer dieser Konten können auf höchst vertrauliche Informationen zugreifen. Es ist also entscheidend, dass wirklich nur die Nutzer auf genau die Daten zugreifen, die sie brauchen, um die mit ihrem Job verbundenen Aufgaben zu erledigen. Und nur auf diese Daten und nicht etwa auf sämtliche sensiblen Informationen eines Unternehmens. Erst das Zusammenspiel von übergreifender Governance, dementsprechenden Praktiken und Richtlinien, gewährleistet überhaupt mit Cyberangriffen Schritt halten zu können.
Eine erst kürzlich durchgeführte Befragung von über 1.000 mittelständischen und großen Unternehmen liefert allerdings eher alarmierende Befunde. Beinahe ein Drittel der befragten Organisationen verlässt sich beispielsweise bei der Passwortverwaltung auf inzwischen völlig überholte manuelle Ansätze wie etwa Excel-Tabellen. Weitere 75 Prozent der IT-Sicherheitsexperten räumen ein, Passwörter zumindest ab und zu mit Kollegen zu teilen, und ein Viertel der Befragten tut dies üblicherweise oder sogar immer.
Auch was das Vergeben und Entziehen von Zugriffberechtigungen angeht, stimmen die Studienergebnisse nicht gerade optimistisch. Firmen brauchen für die komplette Provisionierung beziehungsweise Deprovisionierung eines Benutzers Zeiträume von mehreren Tagen (44 Prozent) bis in einigen Fällen hin zu mehreren Wochen (32 Prozent). Die erschreckende Zahl von 77 Prozent von IT-Sicherheitsexperten gab zu, dass es für sie vergleichsweise einfach wäre sensible Daten zu stehlen, sollten sie die Firma verlassen. Vor dem Hintergrund dieser Ergebnisse betrachtet überrascht es dann schon weit weniger, dass stolze 87 Prozent der im Rahmen der Studie Befragten den PAM-Programmen ihres eigenen Unternehmens nicht vollständig vertrauen.
Identity und Access Management – oder im Licht der Studienergebnisse betrachtet wohl eher Missmanagement – kann in Kombination mit nicht ausreichenden Sicherheitspraktiken zu schwerwiegenden Unterbrechungen der Geschäftsabläufe und Datenschutzvorfällen gleichzeitig führen. Kein Unternehmen kann sich heutzutage Sicherheitsschwachstellen leisten. Ebenso wenig wie einen Serviceausfall.
Effektive IAM- und PAM-Programme sind eine wichtige Komponente, wenn man Cyberrisiken minimieren will. Genauso tragen IAM und PAM dazu bei, die Sicherheitsbelange anderer Unternehmen zu verbessern. Die Studienergebnisse enthüllen, dass etliche Unternehmen weltweit aber genau daran scheitern. Selbst wenn es um grundlegende Best Practices und Sicherheitsmaßnahmen sowohl beim Identity und Access Management, als auch bei der Verwaltung privilegierter Konten geht.
Bessere Methoden gefragter denn je
Anmeldeinformationen zu stehlen ist für böswillige Akteure einer der simpelsten Wege sich Zugang zu einem Unternehmensnetzwerk zu verschaffen. Am begehrtesten ist der Zugriff auf privilegierte (administrative) Konten. Diese Konten verschaffen einem Eindringling nahezu unbegrenzten Zugriff auf die Infrastruktur eines Unternehmens, eingeschlossen die wichtigsten und vertraulichsten Systeme und Daten. Je mehr Konten für einen Angreifer verfügbar sind, desto größer der potenzielle Schaden. Dazu gehören Datenschutzverletzungen und das Offenlegen von Daten, der Verstoß gegen Compliance-Richtlinien, Strafen sowie Vertrauensverlust des Unternehmens bei seinen Kunden und Rufschädigung. Wirksame IAM- und PAM-Programme sind einer der wichtigsten Bausteine für die Sicherheitsstrategie eines jeden Unternehmens.
Unternehmen sollten die folgenden grundlegenden Empfehlungen deshalb dringend beherzigen:
- Passwörter für privilegierte Konten nach jedem Kontozugriff zurücksetzen: Damit begrenzen Sie das gemeinschaftliche Nutzen von administrativen Anmeldeinformationen. So sind vertrauliche Unternehmensdaten um sein Vielfaches besser geschützt als über statische und wieder verwendbare Passwörter.
- Nicht mehr aktive Benutzerkonten sofort deprovisionieren: Mitarbeiter wechseln die Firma, werden entlassen oder Stellen anderweitig besetzt – als ganz natürlicher Teil unternehmerischer Lebenszyklen. Es sollte ein ebenso natürlicher Bestandteil dieser Lebenszyklen sein, nicht mehr gültige Zugriffsberechtigungen auf das Firmennetzwerk unverzüglich zurückzurufen. Selbst, wenn Mitarbeitende sich im Guten von ihrer Firma getrennt haben, ist es das Risiko nicht wert schlummernde Konten über einen langen Zeitraum hinweg beizubehalten. Nicht zuletzt können sich auch Hacker solcher nicht mehr aktiv genutzter Konten bemächtigen.
- Benutzerpasswörter schnell zurücksetzen. Sicherheitsmaßnahmen, die für die Benutzer sperrig und komplex in der Anwendung sind, führen schnell zu Frustration. Der unerwünschte Nebeneffekt: Sicherheitsmaßnahmen werden als Zeitverschwendung betrachtet. Probleme mit dem Vergeben und Verwalten von Passwörtern zu lösen ist ein unternehmerischer Imperativ. Einerseits, um zu gewährleisten, dass Mitarbeitende produktiv arbeiten, andererseits, um zu verhindern, dass sie selbst Mittel und Wege finden, Sicherheitsmaßnahmen zu umgehen (etwa in dem sie Passwörter teilen).
- Sämtliche Aktivitäten rund um eine Identität überwachen und protokollieren. Bei vertraulichen Informationen ist es wichtig zu wissen, wer auf welche Dateien zugreifen kann. Insbesondere dann, wenn die Daten gefährdet sind. Für Auditoren sind die diesbezüglichen Protokolldaten ausnehmend wichtig. Sie helfen bei der Ursachenforschung und Analyse sollte es bereits zum Schlimmsten gekommen sein. Sie fungieren aber auch als Frühwarnsystem und weisen auf potenziell schädliche Aktivitäten eines Benutzers hin.
Dies sind neben vielen weiteren mehr grundlegende Best Practices beim Identity und Access Management, respektive dem Privileged Access Management, die dazu beitragen, das Risiko von Datenschutzverletzungen zu senken. Aber auch Risiken, die mit nicht erlaubten Aktivitäten eines Benutzers zusammenhängen, einzugrenzen. Natürlich haben Technologien einen nicht ganz unerheblichen Anteil daran, hier Hilfestellung zu leisten. Etwa indem sie Prozesse automatisieren sowie Lücken bei der Verwaltung privilegierter Konten aufdecken und zu schließen.
Je größer die Zahl schlecht verwalteter Benutzerkonten und privilegierter Konten ist, desto größer der potenzielle Schaden. Er reicht von Datenschutzverletzungen und Datendiebstahl, über mangelnde Compliance und Strafen bis zum Vertrauensverlust bei Kunden und schwerwiegenden Schäden an Marke und Ruf. Es bleibt also zu hoffen, dass Unternehmen in den kommenden Jahren etwas mehr Vertrauen in ihre Prozesse zum Identity und Access Management und das Management privilegierter Konten haben. Weil Firmen die dazu notwendigen Maßnahmen ergreifen.
Martin Grauel, One Identity
Hier geht es zu One Identity