Benutzerkonten und Zugangsrechte im Griff: IAM und PAM als digitale Türsteher

Die Frage, welche Benutzer mit welchen Rechten in ihrer Infrastruktur unterwegs sind, stellt viele Firmen vor Herausforderungen. Lösungen für Identity und Access Management (IAM) sowie Privileged Access Management (PAM) können die Verwaltung von Accounts vereinfachen und helfen, Sicherheitsrichtlinien besser durchzusetzen.

Spezialschutz für Admin-Accounts

Die meisten IAM-Systeme bringen bereits Funktionen zum Schutz privilegierter Accounts mit, dennoch kann es sinnvoll sein, eine spezialisierte Lösung einzusetzen. Viele Kunden hätten etwa Bedarf an einem Session-Recording für die Aktivitäten externer Dienstleister und einer Verhaltenserkennung, die Anomalien durch Machine Learning aufspürt, erklärt Dietrich von Controlware. »In bestimmten Branchen verspüren wir darüber hinaus den verstärkten Wunsch nach einem Werkzeug, das automatisch und unabhängig vom existierenden IAM-Tool kontinuierlich einen Compliance Check durchführt und Alarm schlägt, sofern sich jemand mehr Rechte eingeräumt hat, als ihm in seiner Rollen-Beschreibung zusteht.«

Auch Albinger hebt die größere Funktionsbreite und Funktionstiefe dedizierter Tools für das Privileged Access Management (PAM) hervor und verweist etwa auf die leistungsstärkeren Discovery-Technologien, die in der Lage sind, hunderttausende Accounts aufzuspüren und deren Passwörter bei Bedarf mehrmals täglich zu wechseln. Dass diese Zahl nicht zu hoch gegriffen ist, belegen diverse Studien, denen zufolge die Zahl der privilegierten Accounts oft ein Vielfaches der Mitarbeiterzahl beträgt, weil Mitarbeiter mit mehreren Zugängen hantieren und auch Maschinen und Anwendungen auf bestimmte Daten und Systeme zugreifen müssen, für die sie eigene Zugangsdaten erhalten haben.

In informationsverarbeitenden Unternehmen sei es keine Seltenheit, dass 25 Prozent der Accounts über besondere Rechte verfügen, sagt Markus Westphal, Area Manager Central Europe bei Wallix. Er hat festgestellt, dass dedizierte PAM-Lösungen oft sehr spezifische Einsatzfelder haben, manche beispielsweise ausschließlich in der Industrie genutzt werden. Falle eine Maschine in der Produktion aus, müsse ein Wartungstechniker über eine Remote-Access-Lösung auf diese zugreifen. »PAM-Lösungen können dann externen Dienstleistern den Zugriff auf diese Systeme gewähren, inklusive Aufzeichnung der Aktivitäten, Passwort-Management und Audit-Funktionalität.«

Doch man muss nicht bis in die Fertigungshalle, um große Mengen privilegierter Accounts zu entdecken, denn in der Regel befindet sich auf jedem Rechner im Unternehmen ein lokales Administratorkonto. »Es wird als Risikoquelle für die IT-Sicherheit oftmals unterschätzt, denn es sieht zunächst so aus, als habe es nur lokal begrenzte Zugriffsrechte«, erklärt Stefan Volmari, Director Systems Engineering Central Europe bei Citrix, und mahnt: »Allerdings existiert dieses Konto auf jedem Computer in einem Unternehmen – meist neben deutlich wichtigeren Konten, die mit sensiblen Daten gespickt sind. Problematisch ist vor allem, dass diese Admin-Konten selten zentral verwaltet werden, aber dennoch häufig mit ein und demselben Passwort an jeder Maschine angemeldet werden können.« Westphal ergänzt: »Gerade in der Windows- beziehungsweise Microsoft-Welt hat man Berechtigungen ohne Absicherungsmechanismen. Ein starkes Passwort reicht in diesem Fall nicht aus, und auch der zusätzliche Schutz eines Einmalkennworts ist meistens eher hinderlich als hilfreich.«