Planvoll vorgehen bei privilegierten Benutzerkonten:
In sechs Schritten zur sicheren Verwaltung

von Elke von Rekowski (rekowski@tellyou.de)

03.08.2012

Die zunehmende Anzahl von Cyber- und Insider-Attacken über privilegierte Accounts zeigt: Der Missbrauch dieser Konten kann für Unternehmen gefährlich werden. Abhilfe schafft eine umfassende Lösung zur Verwaltung privilegierter Benutzerkonten und Aktivitäten.

Unternehmen sollten ihre Daten gut vor unberechtigten Zugriffen schützen (Foto: jamdesign - Fotolia.com).

Eine solche Lösung reicht von der automatischen Passwort-Verwaltung über die Protokollierung von Admin-Sessions bis hin zur Eliminierung von Application Accounts. Die Einführung kann laut Cyber Ark aber auch schrittweise erfolgen und rät zu einer Vorgehensweise in sechs Schritten:

1. Admin-Rechte festlegen

In einem ersten Schritt sollte für privilegierte Administratoren-Accounts ein Berechtigungskonzept mit klar definierten Rollenmodellen erstellt werden. Durch das Rechtemanagement wird sichergestellt, dass die Administratoren nur Zugriff auf Daten inklusive Metadaten erhalten, die sie für die Durchführung ihrer Aufgaben benötigen. Dieses Rechtemanagement ist die Grundvoraussetzung für die Umsetzung einer rollenbasierten Zugriffskontrolle.

2. Passwörter zentral speichern

Als nächster Schritt empfiehlt sich die Implementierung einer Lösung zur zentralen Speicherung aller Passwörter. Dabei sollte darauf geachtet werden, dass die eingesetzte Lösung mit mehreren unterschiedlichen Security-Layern versehen ist und zuverlässigen Schutz vor unbefugten Zugriffen bietet. Dazu zählen zum Beispiel Authentifizierungs- und Zugriffskontroll-Features wie One-Time-Password-Token, Zertifikat, Radius, Passwort oder LDAP. Außerdem muss für jeden Benutzer und jede Benutzergruppe eine individuelle Berechtigungsvergabe erfolgen. So können User immer nur auf die für sie bestimmten Passwörter zugreifen. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein. Sicherheit eine deutliche Effizienzsteigerung bei der Administration.

3. Automatisches Passwort-Management einführen

In einem nächsten Schritt sollte dann eine Automatisierung des Passwort-Managements erfolgen, das heißt eine automatische Verwaltung und Änderung privilegierter Accounts. Wichtig ist, dass die eingesetzte Lösung zur Passwort-Verwaltung es den Unternehmen ermöglicht, zu den eigenen Workflows und Anforderungen passende Richtlinien aufzustellen, um damit die Freigabe und Verwaltung der privilegierten Accounts zu regeln. Auch individuelle Workflows sollten definierbar sein, damit beispielsweise festgelegt werden kann, dass Benutzer bei Anforderung eines Passworts ein offenes und gültiges Ticket eingeben müssen, dessen Kennung dann mit dem Ticketing-System abgeglichen wird.

Cyber Ark empfiehlt zudem Admin-Sessions komplett zu protokollieren und nicht nur aufzuzeichnen, wer sich einloggt, sondern auch was dabei geschieht. Damit lässt sich jederzeit nachvollziehen, wer wann was getan hat. Ein zentraler Vorteil einer solchen Protokollierung ist die vereinfachte Fehlersuche. Außerdem ist eine solche Lösung insbesondere dann empfehlenswert, wenn auch externe Dienstleister und Administratoren Zugriff auf unternehmensinterne geschäftskritische Systeme haben.

5. Nichts überstürzen

IT-Umgebungen bestehen in der Regel aus Hunderten oder sogar Tausenden von Servern, Datenbanken, Netzwerkgeräten und Anwendungen, die alle über verschiedene privilegierte und von mehreren Mitarbeitern genutzte Konten mit weitreichenden Berechtigungen verwaltet werden. PIM-Lösungen daher Schritt für Schritt eingeführt werden. Empfehlenswert ist es, zum Beispiel zunächst flächendeckend die Unix- und Windows-Server an die Lösung anzubinden und anschließend eine sukzessive Ausweitung auf Clients, Datenbanken und zentrale Netzwerkkomponenten vorzunehmen.

6. Application Accounts beseitigen

Im letzten Schritt sollten auch die Software oder Application Accounts, das heißt die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter, in das Sicherheitskonzept einbezogen werden. Sie liegen meistens im Klartext vor und ermöglichen einen automatischen Zugriff auf Backend-Systeme. Da diese Passwörter in der Regel zahlreichen Anwendern wie Systemadministratoren oder Entwicklern zugänglich sind, sollten sie aus den Applikationen und Skripten entfernt werden. Auch hier empfiehlt sich eine zentrale Ablage, Überprüfung und regelmäßige Änderung der Zugangsdaten.

Verwandte Artikel