Privileged Account Management (PAM)
03.01.2020, 07:37 Uhr
Privilegierte Nutzerkonten als grosse Gefahr
Je weitreichender die Rechte eines Nutzers sind, desto attraktiver ist sein Konto als Angriffsziel. Das höchste Risiko besteht für Domain-Administratoren.
Privilegierte Konten etwa von Administratoren sind für Angreifer attraktiv, da sie direkten Zugriff auf vertrauliche Daten und kritische Systeme bieten. Umfassenden Schutz bieten hier Lösungen für Privileged Account Management (PAM).
Es war der Super-GAU für die Hotelkette Marriott: Der Konzern musste Ende 2018 bekannt geben, dass ihm Daten von bis zu einer halben Milliarde Gäste gestohlen wurden. Im Fall von 327 Millionen Hotelgästen ging es um Informationen wie Namen, E-Mail-Adressen, Anschriften, Passnummern, Geburtsdatum sowie den Aufenthaltszeitraum. Bei weiteren Gästen konnten Hacker auch verschlüsselte Kreditkartendaten erbeuten, zum Teil wohl auch inklusive der Dateien zur Entschlüsselung.
Betroffen war die Tochtermarke Starwood, zu der unter anderem Westin, Sheraton und Le Méridien gehören. Marriott hatte Starwood im Jahr 2016 gekauft, und damit auch die seit 2014 infiltrierte Datenbank des Unternehmens übernommen. Da nach der Übernahme die Datenbanken von Marriott und Starwood miteinander verknüpft wurden, konnten sich die Hacker zumindest teilweise auch in den Systemen von Marriott einnisten. An die sensiblen Kundendaten gelangten sie über gekaperte privilegierte Accounts, die ihnen dank ihrer weitreichenden Rechte den Zugriff auf vertrauliche Informationen erlaubten.
Mit einer Lösung für Privileged Account Management (PAM) wäre das nicht passiert. Sie zeichnet alle Administrator-Sitzungen auf, speichert sie und untersucht sie auf potenziell verdächtige Aktivitäten. Als zentrales Zugangsportal für sämtliche privilegierte Zugriffe bietet PAM einen hohen Automatisierungsgrad beim Session und Passwort Management. Zudem sorgt es für die Überwachung und aktive Kontrolle während des Zugriffs auf das Zielsystem selbst, sei es On-Premise oder in der Cloud.
Besonderer Schutz notwendig
Privilegierte Benutzer-Accounts wie „Administrator“ oder „root“ weisen grundsätzlich den direkten Weg zu wertvollen Daten und zu den Kronjuwelen eines Unternehmens. IT-Teams geben über diese Zugänge Daten im Netzwerk frei, installieren Software oder überwachen wichtige Netzwerkgeräte zum Schutz vor Bedrohungen. „Privilegierte Nutzer bewegen sich im Inneren der IT-Systeme. Sie haben praktisch den Schlüssel zum Königreich, können auf sämtliche Kundendaten zugreifen oder Funktionen beeinflussen“, erläutert Pascal Jacober, Sales Manager für die DACH-Region bei Ping Identity, einem auf Identitätslösungen spezialisierten Unternehmen. „Das Problem: Diese Super-User oder Admins können auch Logs löschen und damit ihre Spuren verwischen.“
“"Privilegierte Nutzer bewegen sich im Inneren der IT-Systeme. Sie haben praktisch den Schlüssel zum Königreich, können auf sämtliche Kundendaten zugreifen"„
Sales Manager DACH bei Ping Identity
Die Schäden sind also gross, wenn Unbefugte in den Besitz von administrativen Zugangsdaten gelangen. Denn dann können sie sich in unternehmenskritischen Systemen, Applikationen und Daten frei bewegen und nach Belieben schalten und walten. Deshalb müssen Unternehmen privilegierte Konten besonders sichern. Die aktuelle Relevanz des Themas bestätigen auch die Marktforscher von Gartner. Sie haben Privileged Access Management bereits im zweiten Jahr in Folge als das wichtigste Sicherheitsprojekt für Unternehmen eingestuft.
IAM reicht nicht aus
Doch warum ist es eigentlich notwendig, die privilegierten Benutzerkonten mit einer speziellen Lösung zu schützen? Reicht eine klassische Lösung für Identity und Access Management (IAM) zur Verwaltung von Identitäten und deren Zugriffsrechten nicht aus?
„Die Grenzen zwischen IAM und PAM sind fliessend. Manche IAM-Lösungen decken zwar auch PAM-Funktionen ab, aber nicht in der Tiefe und Breite, die für den Schutz privilegierter Accounts wirklich notwendig wäre“, sagt Matthias Zacher, Senior Consulting Manager bei IDC. IAM-Lösungen decken laut Zacher den Basis-User im Business-Kontext (Wer darf was?) ab und weisen den Mitarbeitern Rechte gemäss ihrer Rolle und Position im Unternehmen zu - über den gesamten Lebenszyklus hinweg (Joiner - Mover - Leaver). „Das bleibt an der Oberfläche, da sich die normalen Nutzer auf dem System bewegen und nicht in den inneren Kern gelangen“, so Zacher weiter.
Pascal Jacober von Ping Identity bestätigt diese Sichtweise. „IAM und PAM sind zwei verschiedene Welten. IAM berechtigt Personen auf hoher Ebene ausschliesslich zu den ihnen zugewiesenen Tätigkeiten und stellt die Beweisbarkeit von digitalen Identitäten sicher. PAM geht tiefer und verhindert, dass Administratoren und andere privilegierte Accounts ihre Rechte nicht missbrauchen.“