Privilegierte Nutzerkonten als grosse Gefahr
PAM-Lösung schafft Abhilfe
Eine derartige Software für Privileged Account Management bietet umfangreiche Funktionen zum Schutz von privilegierten Benutzerkonten und Zugangsdaten. Der Bedarf ist da, der Markt wächst. Laut IDC betrug das Marktvolumen für PAM-Lösungen im Jahr 2019 weltweit rund 810 Millionen US-Dollar. Bis 2023 sollen die Umsätze jährlich im Durchschnitt um 13,2 Prozent steigen.
„Eine PAM-Lösung liefert das zentrale Interface für alle Benutzer, die auditiert mit privilegierten Accounts auf kritischen Systemen mit einheitlichen Workflows und einem hohen Automatisierungsgrad arbeiten müssen“, erläutert Roland Schäfer, Regional Manager beim PAM-Anbieter BeyondTrust. Er unterteilt PAM in folgende drei Komponenten mit unterschiedlichem Schwerpunkt:
“"Eine PAM-Lösung liefert das zentrale Interface für alle Benutzer, die auditiert mit privilegierten Accounts auf kritischen Systemen mit einheitlichem Workflow und hohem Automatisierungsgrad arbeiten müssen"„
Privileged Session Management (PSM): Darüber werden die einzelnen Sessions mit privilegierten Accounts freigegeben, durchgeführt und überwacht. Wer hat was wann wo gemacht? „Der Remote-Zugriff auf das Zielsystem muss nicht mit Hilfe eines VPN erfolgen, es kann ebenso über einen verschlüsselten https-Tunnel gearbeitet werden. Das Passwort wird nach jeder Session neu generiert und ist dem privilegierten Nutzer unbekannt“, so Schäfer. Zentral ist hier auch eine Multifaktor-Authentifizierung.
Privileged Identity Management (PIM): Dieses Modul weist regulären Usern automatisiert den privilegierten Account zur Nutzung zu, der für sie basierend auf einer Policy freigegeben wurde. Das gewährleistet, dass nur tatsächlich befugte Personen oder System-Accounts bestimmte Aktionen ausführen.
Privileged Elevation and Delegation Management (PEDM): Mit PEDM lassen sich Policies und Sicherheitsregeln einrichten, die den Aktionsradius von normalen Benutzern, Admins und anderen Super-Usern deutlich einschränken ohne die Produktivität zu beeinflussen. So ist es damit möglich, lokale Administratoren-Rechte im gesamten Unternehmen zu eliminieren. „Über Agenten auf seinem PC erhält der Benutzer dann seine Rechte isoliert nur für die Applikation, die er gerade für seine Arbeit gerade benötigt“, erläutert Roland Schäfer.
PAM-Lösungen begleiten grundsätzlich den kompletten Aktionsradius einer privilegierten Identität in jedem Einsatzbereich. Die einzelnen Schritte sind Identifikation, Authentifizierung, Autorisierung, der Zugriff selbst und anschliessend Reporting für Transparenz, Auditierung und Governance.