Passwortschutz nach PCI: Controlware realisiert Identity Management für die ReiseBank

Der IT-Dienstleister Controlware hat bei der ReiseBank eine zentrale Passwort-Management-Lösung für privilegierte Benutzer-Accounts implementiert. Die Management-Suite schützt die Administratoren-Accounts vor unerwünschten Zugriffen – und legt mit auditierbarem Reporting einen Grundstein für die anstehende PCI-DSS-Zertifizierung der ReiseBank.

Automatische Passwort-Aktualisierung

Die ReiseBank-Geschäftsstelle im Kieler Hautptbahnhof

Die Rechte-basierte Architektur der PIM-Suite macht es der ReiseBank leicht, das angestrebte hohe Sicherheitsniveau dauerhaft aufrechtzuerhalten: Wichtige Security-Parameter – zum Beispiel die Passwort-Stärke, automatisierte Abläufe oder vordefinierte Workflows – lassen sich damit zentral vorgeben und automatisch an allen Standorten durchsetzen. »Ein gutes Beispiel ist die turnusmäßige Aktualisierung privilegierter Passwörter«, erläutert Alexander Paul, Systemadministrator im IT-System Systembetrieb der ReiseBank: »Wir geben lediglich die von den PCI-Richtlinien geforderten Zeitabstände vor. Die PIM-Suite ändert die im Tresor gespeicherten Passwörter in regelmäßigen Intervallen, ohne dass die Mitarbeiter bei der OTP-Authentisierung etwas davon merken. Wir erreichen jetzt einen ganz neuen Sicherheitslevel, der manuell undenkbar wäre.«

Die zentrale Authentisierung mit Regel-basierter Rechte-Vergabe bietet zudem einen weiteren Vorteil: Die ReiseBank kann so auch Anwendungen und Systeme in die Access- Lösung einbeziehen, die standardmäßig nicht mit einem eigenen personifizierten Autorisierungsmechanismus ausgestattet sind. Damit erreicht die ReiseBank im gesamten Unternehmensnetz ein einheitlich hohes Sicherheitsniveau für alle privilegierten Zugänge.

Im Hinblick auf die PCI-Vorgaben werden sowohl automatische als auch manuelle Administratoren-Zugriffe Richtlinien-konform dokumentiert. Dabei unterscheidet die Lösung, ob ein Zugriff von internen Mitarbeitern oder von außerhalb, etwa bei einer Remote- Wartung durch einen Dienstleister, erfolgt. »Die PIM-Suite zeichnet externe Zugriffe vollständig auf«, erklärt Alexander Paul. »Bei internen Zugriffen genügen Eckdaten wie Personen-Kennung und Zeitraum. Das vermeidet unnötige Datenfluten im Speicher und erfüllt die PCIAnforderungen. Es geht uns ja nicht darum, Mitarbeiter zu kontrollieren, sondern um die lückenlose Absicherung unserer IT und den Schutz vor Regressforderungen.«

Um sicherzustellen, dass sich die PIM-Komponenten nahtlos in die bestehende Infrastruktur eingliedern, startete das Team 2011 ein Proof of Concept. Die Testphase überzeugte die IT-Verantwortlichen der ReiseBank von der Access-Management- und Authentifizierungslösung. Die PIM-Suite gliederte sich problemlos in die bestehende IT-Umgebung ein. Die zentrale Authentisierung sowie die Übertragung und Speicherung der privilegierten Passwörter funktionierten während des gesamten Proof of Concept zuverlässig.

Alle beteiligten Administratoren kamen – nach einer von Controlware organisierten Cyber-Ark Schulung – auf Anhieb mit der Lösung zurecht. Auch die Feinjustierung der PIM-Plattform verlief reibungslos, berichtet Patrick Kegel, Account Manager bei Controlware: »Wir testeten in einer kollegialen Atmosphäre gemeinsam verschiedene Regelwerke und passten sie dann sukzessive an. Die Zusammenarbeit mit der ReiseBank IT verlief wirklich hervorragend.«