Passwortschutz nach PCI: Controlware realisiert Identity Management für die ReiseBank

Der IT-Dienstleister Controlware hat bei der ReiseBank eine zentrale Passwort-Management-Lösung für privilegierte Benutzer-Accounts implementiert. Die Management-Suite schützt die Administratoren-Accounts vor unerwünschten Zugriffen – und legt mit auditierbarem Reporting einen Grundstein für die anstehende PCI-DSS-Zertifizierung der ReiseBank.

Das Projektteam (v.l.n.r): Alexander Paul, Systemadministrator IT-Systembetrieb bei der ReiseBank, Patrick Kegel, Account Manager bei Controlware, Michael Moroschan, Teamleiter IT-Systembetrieb bei der ReiseBank, und Andreas Bunten, Senior Consultant Secrity bei Controlware

Administrator-Accounts verfügen zwar über umfangreiche Zugriffsrechte auf Systeme, Anwendungen, Datenbanken und Netzwerke, sind dennoch häufig aber nur unzureichend gesichert. In vielen Unternehmen werden administrative Passwörter selten oder gar nicht geändert. Die gleichen Zugangsdaten gelten oftmals für mehrere Systeme. Geraten diese ohnehin schon mehreren Personen bekannten Passwörter in die falschen Hände, ist das gesamte Netz in Gefahr.

Die ReiseBank entschied sich daher Ende 2010, eine unternehmensweite Management-Lösung für privilegierte Benutzer-Accounts einzuführen. Ziel war es, das IT-Sicherheitsniveau weiter anzuheben und gleichzeitig eine Voraussetzung für die angestrebte Zertifizierung nach PCI-DSS zu erfüllen. Der Security-Dienstleister Controlware unterstützte die ReiseBank von Anfang an als Systemintegrator bei dieser anspruchsvollen Security-Maßnahme. »Wir hatten auf einer Security-Messe 2010 bereits erste Kontakte geknüpft und auf Anhieb einen guten Draht zueinander«, berichtet Michael Moroschan, Teamleiter IT-Systembetrieb bei der ReiseBank. »Controlware überzeugte uns durch tiefes Verständnis der Security-Prozesse und punktete durch langjährige Projekterfahrung im Finanzwesen.«

Gemeinsam mit Controlware suchte die ReiseBank nach einem geeigneten System, um privilegierte Accounts zu schützen und revisionssicher zu managen – darunter fallen bei der ReiseBank neben den persönlichen Administrator-Konten auch Linux- Root-User, Shared Accounts für das Management von Bankautomaten sowie Application-Accounts. In einem ersten Team-Meeting definierten die Verantwortlichen die Rahmenbedingungen

sowie die Anforderungen an die zukünftige Lösung: Vorrangiges Ziel war es, die Passwörter für privilegierte Accounts in einem hochsicheren, zentralen Passwort-Tresor zu speichern und künftig mithilfe unternehmensweiter Richtlinien zu verwalten. Sämtliche Zugriffe auf privilegierte Accounts sollten durch eine starke, Token-basierte Authentifizierung mit One-Time-Passwords (OTP) geschützt sowie nachvollziehbar, auditierbar und revisionssicher protokolliert werden.

Insgesamt galt es, privilegierte Zugriffe auf rund 350 Windows- und Linux-Server, um die 350 Bankautomaten und rund 300 Clients abzusichern und zu überwachen. Um den administrativen Aufwand gering zu halten, musste das Passwort-Management einfach zu bedienen sein und ohne Client- Installation erfolgen.

Das Konzept orientierte sich an den PCI-DSS-Vorgaben und berücksichtigte zusätzlich eine Reihe weiterer Richtlinien von Wirtschaftsprüfern, der Bundesanstalt für Finanzaufsicht (BaFin) und des IT-Grundschutzes sowie die Grundsätze ordnungsgemäßer DV-gestützter Buchführung (GoBS).

Übersicht