Sicherheitslücke beim Passwort-Management von Hosting-Providern Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


28.09.2011 Oliver Weiss

Sicherheitslücke beim Passwort-Management von Hosting-Providern

Hosting-Provider müssen ihren Kunden ein Höchstmaß an Sicherheit bieten. Dazu gehört auch ein professionelles Passwort-Management. In der Praxis wird jedoch insbesondere bei Administratoren-Accounts und -Passwörtern mit unzureichenden Verfahren gearbeitet.

Hosting-Provider müssen ihren Kunden ein Höchstmaß an Sicherheit bieten. Dazu gehört auch ein professionelles Passwort-Management. In der Praxis wird jedoch insbesondere bei Administratoren-Accounts und -Passwörtern mit unzureichenden Verfahren gearbeitet. Sicherheitsexperte Cyber-Ark weist darauf hin, dass umfassender Schutz mit revisionssicherer Protokollierung nur Privileged-Identity-Management bietet.

Mehr und mehr lagern Unternehmen und private Nutzer Daten zu Hosting-Providern aus, sei es für einfache E-Mail-Services oder für umfangreiche E-Commerce-Plattformen. Hosting-Provider stellen für solche Aufgaben schnell skalierbare Ressourcen zu planbaren und überschaubaren Kosten bereit und bieten daher eine attraktive Alternative zum Betrieb eigener Systeme. Zentrale Anforderung ist dabei allerdings die Sicherheit der dem Provider anvertrauten Daten – der Anwender muss sich hundertprozentig darauf verlassen können, dass sein Provider das höchstmögliche Sicherheitsniveau realisiert.

In der Praxis setzen Hosting-Provider allerdings immer wieder Verfahren ein, die keinen optimalen Schutz bieten. Häufiger Schwachpunkt ist dabei das herkömmliche Account-Procedere für die Administratoren der Provider. Hier wird zur Vereinfachung beispielsweise mit gemeinsamen Administratoren-Accounts oder -Passwörtern gearbeitet, was nicht den aktuellen Datenschutzbestimmungen entspricht und auch nicht durch die gängigen Zertifizierungen wie etwa SAS70 abgedeckt wird. Meist verfügt eine größere Gruppe von Administratoren über Shared-Account-Passwörter, so dass nicht nachvollzogen werden kann, wer zu welcher Zeit ein solches Passwort verwendet hat. Wenn ein Administrator das Unternehmen verlässt, sind aufwändige Änderungsmaßnahmen erforderlich; unterbleiben diese, was in der Praxis häufig der Fall ist, entstehen gefährliche Sicherheitslücken. Dabei haften die Hosting-Provider für die Daten ihrer Kunden.

Hosting-Provider können dem nur durch ein konsistentes Management privilegierter Accounts begegnen. Dazu gehört eine vollständige Zugriffskontrolle und Protokollierung von Administratoren-Accounts. Mit durchgängigen Lösungen werden die administrativen Zugänge zu IT-Systemen entsprechend der jeweiligen Security-Policy definiert. Durch eine starke Authentisierung und eindeutige Berechtigungsstrukturen können nur berechtigte Administratoren auf die Zielsysteme gelangen. Die dabei verwendeten One-Time-Passwörter personalisieren den sonst anonymen Zugriff über einen Shared Account.

Wenn alle Aktivitäten durch einen Privileged Session Manager aufgezeichnet werden, ist eine revisionssichere Protokollierung der privilegierten Sitzungen - entsprechend gängiger Compliance-Vorgaben - sichergestellt. Dieser "Sprungbrett-Server" befindet sich zwischen Administrator und Zielsystem und kann sämtliche Schritte des Administrators an Servern oder Datenbanken detailliert protokollieren. Zusätzlich entfällt durch Privileged-Single-Sign-On-Mechanismen die Notwendigkeit der Herausgabe des Passworts an den Administrator.

"Der Passwortschutz ist auch bei Hosting-Providern der Dreh- und Angelpunkt eines Sicherheitskonzepts. Gerät ein Passwort in die falschen Hände, kann ein verheerender Schaden entstehen", erklärt Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn. "Umso erstaunlicher ist, dass die meisten Hosting-Provider keine entsprechenden Lösungen einsetzen und so beispielsweise auch keine revisionssichere Protokollierung der Zugriffe gewährleisten können, wie das in den gängigen Zertifizierungen verlangt wird. Sie gefährden damit ungewollt die Daten ihrer Kunden. Gerade vor dem Hintergrund des wachsenden Cloud Computing müssen Provider daher dringend über moderne Sicherheitsverfahren nachdenken, insbesondere über das Privileged Identity Management (PIM), mit dem privilegierte Accounts zuverlässig verwaltet werden können."

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • free-com solutions gmbh

    free-com solutions gmbh Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • NAVAX Unternehmensgruppe

    NAVAX Unternehmensgruppe Wasser- und Energieversorgung, Vereine und Verbände, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Konsumgüterindustrie, Immobilien,... mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr
  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr

Hosted by:    Security Monitoring by: