Schritt für Schritt zur sicheren Verwaltung privilegierter Benutzerkonten Schritt für Schritt zur sicheren Verwaltung privilegierter Benutzerkonten - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


01.08.2012 Wolfgang Franz

Schritt für Schritt zur sicheren Verwaltung privilegierter Benutzerkonten

Eine umfassende Lösung zur Verwaltung privilegierter Benutzerkonten und Aktivitäten reicht von der automatischen Passwort-Verwaltung über die Protokollierung von Admin-Sessions bis hin zur Eliminierung von Application Accounts.

© Cyber-Ark

Die Verwaltung privilegierter Benutzerkonten gehört heute zu den größten Herausforderungen, denen sich die IT zu stellen hat. Die in letzter Zeit zunehmende Anzahl von Cyber- und Insider-Attacken, bei denen privilegierte Accounts missbräuchlich genutzt wurden, zeigt die Gefahr für Unternehmen deutlich. Die Einführung einer umfassenden Lösung für das Privileged Identity Management (PIM), mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können, ist deshalb unverzichtbar. Die Implementierung kann dabei auch schrittweise durchgeführt werden. Die folgende Vorgehensweise hat sich dabei laut Cyber-Ark bewährt:

1. Rechtemanagement und Entwicklung von Rollenmodellen
In einem ersten Schritt muss – falls noch nicht geschehen – für privilegierte Administratoren-Accounts ein Berechtigungskonzept mit klar definierten Rollenmodellen erstellt werden. Durch das Rechtemanagement wird sichergestellt, dass die Administratoren nur Zugriff auf Daten inklusive Metadaten erhalten, die sie für die Durchführung ihrer Aufgaben benötigen. Dieses Rechtemanagement ist die Grundvoraussetzung für die Umsetzung einer rollenbasierten Zugriffskontrolle.

2. Zentrale Speicherung der Passwörter
Der nächste Schritt sollte die Implementierung einer Lösung zur zentralen Speicherung aller Passwörter sein. Dabei ist darauf zu achten, dass die eingesetzte Lösung mit mehreren unterschiedlichen Security-Layern versehen ist und zuverlässigen Schutz vor unbefugten Zugriffen bietet. Dazu zählen zum Beispiel Authentifizierungs- und Zugriffskontroll-Features wie One-Time-Password-Token, Zertifikat, Radius, Passwort oder LDAP. Außerdem muss für jeden Benutzer und jede Benutzergruppe eine individuelle Berechtigungsvergabe erfolgen. So können User immer nur auf die für sie bestimmten Passwörter zugreifen. Für besonders kritische Daten oder Notfall-Passwörter sollte auch eine Autorisierung mittels Vier-Augen-Prinzip zwingend vorgeschrieben sein. Professionelle Lösungen bieten bereits in diesem Projektstadium ein Single-Sign-On-Verfahren an. Damit wird es möglich, eine direkte Verbindung zum Zielsystem – zum Beispiel zu Servern, Datenbanken oder Webanwendungen – aufzubauen, ohne dass ein Passwort einzugeben ist. Das bedeutet neben dem Mehr an Sicherheit eine deutliche Effizienzsteigerung bei der Administration.

3. Einführung eines automatischen Passwort-Managements
In einem nächsten Schritt sollte eine Automatisierung des Passwort-Managements erfolgen, das heißt eine automatische Verwaltung und Änderung privilegierter Accounts. Wichtig ist, dass die eingesetzte Lösung zur Passwort-Verwaltung es den Unternehmen ermöglicht, zu den eigenen Workflows und Anforderungen passende Richtlinien aufzustellen, die die Freigabe und Verwaltung der privilegierten Accounts regeln. Zu nennen sind hier zum Beispiel die flexible Festlegung des Passwort-Änderungsintervalls oder der Einsatz von Einmalpasswörtern. Auch individuelle Workflows sollten definierbar sein, um beispielsweise festzulegen, dass Benutzer bei Anforderung eines Passworts ein offenes und gültiges Ticket eingeben müssen, dessen Kennung dann mit dem Ticketing-System abgeglichen wird.

4. Protokollierung privilegierter Sessions
In einem weiteren Schritt sollte man die Möglichkeit ins Auge fassen, Admin-Sessions komplett zu protokollieren, das heißt, dass man privilegierte Zugänge nicht nur im Hinblick auf das "Wer", sondern auch auf das "Was" überwacht. Damit lässt sich jederzeit nachvollziehen, wer wann was getan hat. Ein zentraler Vorteil einer solchen Protokollierung ist die vereinfachte Fehlersuche. Außerdem ist eine solche Lösung insbesondere dann empfehlenswert, wenn auch externe Dienstleister und Administratoren Zugriff auf unternehmensinterne geschäftskritische Systeme haben.

5. Sukzessive Implementierung
IT-Umgebungen bestehen in der Regel aus Hunderten oder sogar Tausenden von Servern, Datenbanken, Netzwerkgeräten und Anwendungen, die alle über verschiedene privilegierte und von mehreren Mitarbeitern genutzte Konten mit weitreichenden Berechtigungen verwaltet werden. PIM-Lösungen sollten deshalb schrittweise eingeführt werden. Empfehlenswert ist es, zum Beispiel zunächst flächendeckend die Unix- und Windows-Server an die Lösung anzubinden und anschließend eine sukzessive Ausweitung auf Clients, Datenbanken und zentrale Netzwerkkomponenten vorzunehmen.

6. Beseitigung von Application Accounts

In einem letzten Schritt sollten neben den Passwörtern von Administratoren auch die Software oder Application Accounts, das heißt die in Anwendungen, Skripten oder Konfigurationsdateien gespeicherten Passwörter, in das Sicherheitskonzept einbezogen werden. Sie liegen meistens im Klartext vor und ermöglichen einen automatischen Zugriff auf Backend-Systeme. Da diese Passwörter in der Regel zahlreichen Anwendern wie Systemadministratoren oder Entwicklern zugänglich sind, sollten sie aus den Applikationen und Skripten entfernt werden. Auch hier bietet sich als Alternative eine zentrale Ablage, Überprüfung und regelmäßige Änderung der Zugangsdaten an.


Jochen Koehler, Regional Director DACH von Cyber-Ark, erklärt: "Prinzipiell ist die Einführung einer umfassenden Privileged-Identity-Management-Lösung kein Hexenwerk. Sie kann in der Regel einfach und schnell erfolgen. Andererseits ist es nicht notwendig, sofort eine komplette Umstellung vorhandener Prozesse vorzunehmen. Man kann hier durchaus Schritt für Schritt vorgehen und sukzessive eine durchgängige PIM-Lösung implementieren, die alle Anforderungen für die Verwaltung und Überwachung privilegierter Konten und Aktivitäten abdeckt."

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Dimension Data Austria GmbH

    Dimension Data Austria GmbH Call Center, IKT-Consulting, Migrations-Management, Outsourcing, Systemintegration und Systemmanagement, Systempflege- und Wartung mehr
  • Matrix42 AG

    Matrix42 AG Mobile Lösungen und Applikationen, Zugangs- und Zutrittskontrolle, Security Audits, Übernahme von Softwareprojekten, Programmierung, IT-Asset- und Lizenzmanagement, IKT-Consulting,... mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr

Hosted by:    Security Monitoring by: