Passwort-Management sollte auf der IT-Agenda ganz oben stehen Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


08.02.2011 Rudolf Felser

Passwort-Management sollte auf der IT-Agenda ganz oben stehen

Compliance und Sicherheit gehören heute zu den drängendsten Herausforderungen des CIO. Das Passwort-Management wird dabei aber laut dem IT-Sicherheitsexperte Cyber-Ark in der Regel vernachlässigt.

Eine typische IT-Umgebung besteht aus zahlreichen Servern, Datenbanken oder Netzwerkgeräten, die alle über privilegierte, standardmäßig in den Systemen verfügbare Accounts mit weitreichenden Rechten gesteuert und verwaltet werden. Grundproblem dabei ist, dass sich auf den Systemen identische, oftmals leicht zu entschlüsselnde Passwörter befinden, die nur selten oder überhaupt nicht geändert werden. Die Gefahren, die aus dieser Situation resultieren: Über privilegierte Benutzerkonten ist ein unbeschränkter Zugriff auf nachgelagerte Systeme möglich. Wenn Unberechtigte Zugang zu solchen Bereichen haben, können sie unkontrolliert agieren und auf sensitive Informationen wie Personal-, Kunden- oder Finanzdaten zugreifen. Ein Unberechtigter muss hier nicht der externe Hacker sein, es kann auch der Kollege sein, der vor sechs Monaten die Abteilung gewechselt hat. Erschwerend kommt hinzu, dass bei von mehreren Personen genutzten Shared Accounts keine Nachvollziehbarkeit gegeben ist. Denn wenn eine größere Gruppe von Administratoren Zugriff auf Passwörter hat, kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat, das heißt, eine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene ist nicht möglich.

Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: "Die Gefahren liegen auf der Hand. Doch wie wird diesen Herausforderungen heute in der Regel begegnet? Entweder es gibt überhaupt kein Passwort-Management oder man versucht sich an einer manuellen Änderung der Passwörter. Bei der normalerweise sehr großen Anzahl an unterschiedlichen Systemen ist dies allerdings ein extrem zeitaufwändiger und außerdem extrem fehleranfälliger Vorgang. Deshalb sollte man auf jeden Fall eine Lösung implementieren, mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können."

Um die Gefahren des Datenmissbrauchs oder -diebstahls zuverlässig auszuschließen, empfiehlt Cyber-Ark die Implementierung einer Privileged-Identity-Management (PIM)-Lösung, mit der die privilegierten Accounts, also Benutzerkonten mit erweiterten Rechten, zuverlässig verwaltet werden können. PIM kontrolliert, wer Änderungen vornehmen darf, überwacht, wer welche vorgenommen hat und protokolliert die Inhalte der Admin-Sessions. Dabei gibt es verschiedene Lösungsansätze: von der Hardware-Appliance über eine Software-basierende Virtual Appliance bis hin zu einer reinen Software-Lösung. Gemeinsam ist den Lösungen, dass die Passwörter in einem gesicherten Bereich vor den Zugriffen unberechtigter Personen geschützt werden. Gleichgültig für welches Angebot sich der Anwender entscheidet, wichtig ist, dass die Lösung einerseits eine sichere, zentrale Verwahrung und anderseits aber unbedingt eine regelmäßige automatische Änderung der Passwörter bietet – bis hin zu individuellen Passwörtern auf allen Systemen. Zudem muss eine Zugriffskontrolle und vollständige Überwachung beziehungsweise Protokollierung aller Aktivitäten vorhanden sein.

Abgesehen von der Reduzierung potentieller Sicherheitsrisiken können mit einer solchen PIM-Lösung auch die Anforderungen gängiger Compliance-Richtlinien und gesetzlicher sowie aufsichtsrechtlicher Bestimmungen erfüllt werden. Compliance-Vorschriften aus dem Sarbanes Oxley Act, PCI-DSS, ISO 27001 oder Basel II erfordern zum Beispiel einen Nachweis, wer Zugriff auf privilegierte Benutzerkonten hat, welche Veränderungen vorgenommen wurden und ob die Passwörter ordnungsgemäß geschützt und geändert wurden. Auch in nationalen Gesetzestexten wie KWG, StGB, GoBS oder BDSG finden sich entsprechende Regelungen für IT-Verantwortliche.

Jochen Koehler erklärt: "Man sollte in diesem Zusammenhang auch nicht vergessen, dass Wirtschaftsprüfungsgesellschaften in letzter Zeit verstärkt die Thematik Passwort-Management aufgreifen und bemängeln, dass zu viele Mitarbeiter im Unternehmen umfangreiche Privilegien besitzen – Privilegien, die sie nicht oder nur selten benötigen. Auch das zeigt, dass Unternehmen das Thema PIM nicht mehr ignorieren können." (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Service

Acceptance Testing: Trotz knapper Ressourcen

Zum Thema


Hosted by:    Security Monitoring by: