Passwortschutz nach PCI:
Controlware realisiert Identity Management für die ReiseBank

von Ulrike Garlet (ulrike.garlet@crn.de)

23.10.2012

Der IT-Dienstleister Controlware hat bei der ReiseBank eine zentrale Passwort-Management-Lösung für privilegierte Benutzer-Accounts implementiert. Die Management-Suite schützt die Administratoren-Accounts vor unerwünschten Zugriffen – und legt mit auditierbarem Reporting einen Grundstein für die anstehende PCI-DSS-Zertifizierung der ReiseBank.

(Fortsetzung des Artikels von Seite 1)

Keine Beiträge im Forum. » Diskussion starten!

Das Projektteam (v.l.n.r): Alexander Paul, Systemadministrator IT-Systembetrieb bei der ReiseBank, Patrick Kegel, Account Manager bei Controlware, Michael Moroschan, Teamleiter IT-Systembetrieb bei der ReiseBank, und Andreas Bunten, Senior Consultant Secrity bei Controlware

Administrator-Accounts verfügen zwar über umfangreiche Zugriffsrechte auf Systeme, Anwendungen, Datenbanken und Netzwerke, sind dennoch häufig aber nur unzureichend gesichert. In vielen Unternehmen werden administrative Passwörter selten oder gar nicht geändert. Die gleichen Zugangsdaten gelten oftmals für mehrere Systeme. Geraten diese ohnehin schon mehreren Personen bekannten Passwörter in die falschen Hände, ist das gesamte Netz in Gefahr.

Die ReiseBank entschied sich daher Ende 2010, eine unternehmensweite Management-Lösung für privilegierte Benutzer-Accounts einzuführen. Ziel war es, das IT-Sicherheitsniveau weiter anzuheben und gleichzeitig eine Voraussetzung für die angestrebte Zertifizierung nach PCI-DSS zu erfüllen. Der Security-Dienstleister Controlware unterstützte die ReiseBank von Anfang an als Systemintegrator bei dieser anspruchsvollen Security-Maßnahme. »Wir hatten auf einer Security-Messe 2010 bereits erste Kontakte geknüpft und auf Anhieb einen guten Draht zueinander«, berichtet Michael Moroschan, Teamleiter IT-Systembetrieb bei der ReiseBank. »Controlware überzeugte uns durch tiefes Verständnis der Security-Prozesse und punktete durch langjährige Projekterfahrung im Finanzwesen.«

Gemeinsam mit Controlware suchte die ReiseBank nach einem geeigneten System, um privilegierte Accounts zu schützen und revisionssicher zu managen – darunter fallen bei der ReiseBank neben den persönlichen Administrator-Konten auch Linux- Root-User, Shared Accounts für das Management von Bankautomaten sowie Application-Accounts. In einem ersten Team-Meeting definierten die Verantwortlichen die Rahmenbedingungen

sowie die Anforderungen an die zukünftige Lösung: Vorrangiges Ziel war es, die Passwörter für privilegierte Accounts in einem hochsicheren, zentralen Passwort-Tresor zu speichern und künftig mithilfe unternehmensweiter Richtlinien zu verwalten. Sämtliche Zugriffe auf privilegierte Accounts sollten durch eine starke, Token-basierte Authentifizierung mit One-Time-Passwords (OTP) geschützt sowie nachvollziehbar, auditierbar und revisionssicher protokolliert werden.

Insgesamt galt es, privilegierte Zugriffe auf rund 350 Windows- und Linux-Server, um die 350 Bankautomaten und rund 300 Clients abzusichern und zu überwachen. Um den administrativen Aufwand gering zu halten, musste das Passwort-Management einfach zu bedienen sein und ohne Client- Installation erfolgen.

Das Konzept orientierte sich an den PCI-DSS-Vorgaben und berücksichtigte zusätzlich eine Reihe weiterer Richtlinien von Wirtschaftsprüfern, der Bundesanstalt für Finanzaufsicht (BaFin) und des IT-Grundschutzes sowie die Grundsätze ordnungsgemäßer DV-gestützter Buchführung (GoBS).

Sichere Komplettlösung

Die Hauptniederlassung von Controlware ist in Dietzenbach

Die ReiseBank entschied sich auf Empfehlung von Controlware für die PIM-Suite (Privileged Identity Management) von Cyber-Ark, die alle geforderten Funktionalitäten in einer flexiblen Komplettlösung vereint. »Die PIM-Suite überzeugt durch ein durchdachtes Key-Management und starken Zugriffsschutz – und ist als Client-lose Lösung äußerst bedienfreundlich«, erläutert Andreas Bunten, Senior Consultant Security bei Controlware. »Hinzu kommt, dass Cyber-Ark die Anbindung verschiedenster Ziel-Systeme unterstützt. Angesichts der heterogenen und komplexen Infrastruktur der Reise-Bank ist das ein wichtiger Faktor.«

Die PIM-Suite ermöglicht der ReiseBank eine zentrale Kontoverwaltung mit höchstem Sicherheitsstandard. Sie umfasst einer Reihe verschiedener Komponenten. Der Enterprise Password Vault (EPV) ist ein zentraler Passwort-Tresor, in dem die Passwörter der privilegierten Accounts hochsicher gespeichert werden. Der EPV schützt die Passwörter vor unberechtigten Zugriffen, übernimmt die Versionsverwaltung und sorgt für eine auditierbare Protokollierung der Zugriffe in revisionssicheren Log-Dateien.

Der Privileged Session Manager (PSM) steuert und überwacht die Administrator-Zugriffe auf die geschützten Systeme. Um auf privilegierte Accounts zuzugreifen, loggen sich die Administratoren mit ihrer PIN und einem am SafeNet Token generierten OTP am Web-Portal »Password Vault Web Access« (PVWA) ein. Nach erfolgreicher Authentisierung können sie über den PSM auf alle Systeme zugreifen, für die sie autorisiert sind. Die Nutzer kommen dabei nicht mit den eigentlichen System-Passwörtern in Berührung, können diese also nicht verlieren, vergessen oder an Unbefugte weitergeben.

Der Central Policy Manager (CPM) setzt im jeweiligen Netzwerkabschnitt automatisch die vorgegebenen Richtlinien durch – etwa wenn es darum geht, die Administrator-Passwörter regelmäßig zu aktualisieren.

Automatische Passwort-Aktualisierung

Die ReiseBank-Geschäftsstelle im Kieler Hautptbahnhof

Die Rechte-basierte Architektur der PIM-Suite macht es der ReiseBank leicht, das angestrebte hohe Sicherheitsniveau dauerhaft aufrechtzuerhalten: Wichtige Security-Parameter – zum Beispiel die Passwort-Stärke, automatisierte Abläufe oder vordefinierte Workflows – lassen sich damit zentral vorgeben und automatisch an allen Standorten durchsetzen. »Ein gutes Beispiel ist die turnusmäßige Aktualisierung privilegierter Passwörter«, erläutert Alexander Paul, Systemadministrator im IT-System Systembetrieb der ReiseBank: »Wir geben lediglich die von den PCI-Richtlinien geforderten Zeitabstände vor. Die PIM-Suite ändert die im Tresor gespeicherten Passwörter in regelmäßigen Intervallen, ohne dass die Mitarbeiter bei der OTP-Authentisierung etwas davon merken. Wir erreichen jetzt einen ganz neuen Sicherheitslevel, der manuell undenkbar wäre.«

Die zentrale Authentisierung mit Regel-basierter Rechte-Vergabe bietet zudem einen weiteren Vorteil: Die ReiseBank kann so auch Anwendungen und Systeme in die Access- Lösung einbeziehen, die standardmäßig nicht mit einem eigenen personifizierten Autorisierungsmechanismus ausgestattet sind. Damit erreicht die ReiseBank im gesamten Unternehmensnetz ein einheitlich hohes Sicherheitsniveau für alle privilegierten Zugänge.

Im Hinblick auf die PCI-Vorgaben werden sowohl automatische als auch manuelle Administratoren-Zugriffe Richtlinien-konform dokumentiert. Dabei unterscheidet die Lösung, ob ein Zugriff von internen Mitarbeitern oder von außerhalb, etwa bei einer Remote- Wartung durch einen Dienstleister, erfolgt. »Die PIM-Suite zeichnet externe Zugriffe vollständig auf«, erklärt Alexander Paul. »Bei internen Zugriffen genügen Eckdaten wie Personen-Kennung und Zeitraum. Das vermeidet unnötige Datenfluten im Speicher und erfüllt die PCIAnforderungen. Es geht uns ja nicht darum, Mitarbeiter zu kontrollieren, sondern um die lückenlose Absicherung unserer IT und den Schutz vor Regressforderungen.«

Um sicherzustellen, dass sich die PIM-Komponenten nahtlos in die bestehende Infrastruktur eingliedern, startete das Team 2011 ein Proof of Concept. Die Testphase überzeugte die IT-Verantwortlichen der ReiseBank von der Access-Management- und Authentifizierungslösung. Die PIM-Suite gliederte sich problemlos in die bestehende IT-Umgebung ein. Die zentrale Authentisierung sowie die Übertragung und Speicherung der privilegierten Passwörter funktionierten während des gesamten Proof of Concept zuverlässig.

Alle beteiligten Administratoren kamen – nach einer von Controlware organisierten Cyber-Ark Schulung – auf Anhieb mit der Lösung zurecht. Auch die Feinjustierung der PIM-Plattform verlief reibungslos, berichtet Patrick Kegel, Account Manager bei Controlware: »Wir testeten in einer kollegialen Atmosphäre gemeinsam verschiedene Regelwerke und passten sie dann sukzessive an. Die Zusammenarbeit mit der ReiseBank IT verlief wirklich hervorragend.«

Intelligentes Vertretungs- und Notfallkonzept

2012 gaben die ReiseBank und Controlware den Startschuss für den deutschlandweiten Roll-out der PIM-Suite. Seither hat sich die Lösung auch im Echtbetrieb bewährt: »Die Automatisierung der Prozesse erleichtert die Durchsetzung der Richtlinien in unserem komplexen Netzwerk enorm«, resümiert Michael Moroschan. »Die Lösung ist zudem äußerst transparent, weil durch die persönliche Authentisierung jeder Zugriff nachvollziehbar protokolliert wird – und macht es uns durch das automatisierte Reporting leicht, alle sicherheitsrelevanten Prozesse im Blick zu behalten.« Als weiteres Plus hat sich im Alltag das komfortable Handling von Krankheits- und Urlaubsvertretungen erwiesen: Fällt ein Administrator aus, müssen für seinen Stellvertreter lediglich kurzfristig die zentral hinterlegten Zugriffsrechte angepasst werden – und schon kann er über das Web-Portal die Aufgaben seines Kollegen übernehmen.

Um sicherzustellen, dass der zentrale Passwort-Tresor jederzeit erreichbar bleibt, hat sich die ReiseBank für eine redundant aufgesetzte, ausfallsichere Architektur entschieden. Im Backup- Rechenzentrum wird eine exakte Kopie der bestehenden PIM-Suite einsatzbereit vorgehalten. Bei einem Ausfall greift das Netzwerk auf diese Fall-Back-Installation zurück.

Die Implementierung des zentralen Passwort-Managements für privilegierte Accounts läuft derzeit auf Hochtouren. Die Umsetzung soll bis Ende 2012 abgeschlossen werden. Doch mit der Implementierung des Privileged Identity Managements ist das Potenzial des zentralen Passwort-Tresors noch lange nicht ausgeschöpft. Die ReiseBank plant, nach den PCI-DSS-relevanten Accounts und Passwörtern weitere sensitive Zutrittsdaten in die Management- Lösung zu integrieren. Durch die Ausweitung des Access Managements erfüllt die ReiseBank zudem die im IT-Grundschutzkatalog spezifizierte Forderung nach Nachvollziehbarkeit der administrativen Prozesse – die ersten Weichen für eine BSI-Zertifizierung sind also ebenfalls bereits gestellt.

Verwandte Artikel