Privilegierte Nutzerkonten als grosse Gefahr
Hohe Komplexität
PAM kann aber schnell komplex werden, wenn in einem Unternehmen beispielsweise mehrere Tausend privilegierte Konten unterschiedlichster Art existieren, sei es für Admins, Super User in Fachabteilungen, externe Dienstleister, System-Accounts oder IoT-Geräte. Dann geht es um Geschwindigkeit, wenn die Passwörter bei jeder Session neu generiert werden oder schnell rollieren sollen. Auch verschiedene Module für Privilegien in unterschiedlichen Bereichen etwa für Netzwerke, Datenbanken oder in der industriellen OT erhöhen die Komplexität weiter.
„Privileged Account Management ist mehr ein Prozess- als ein technologisches Thema. Firmen können hier viel falsch machen. Sie müssen wissen, welche privilegierten Accounts über welche Zugriffsrechte auf welche Systeme verfügen, und im Vorfeld definieren, was sie mit der PAM-Lösung erreichen wollen“, meint Matthias Zacher von IDC. „Zudem gilt es abzuwägen, wie eng sie die Schraube drehen wollen und inwieweit sie Tätigkeiten sowie Geschäfts- und IT-Prozesse mit PAM einschränken.“ Benutzerfreundlichkeit und Benutzerakzeptanz sind hier kritische Faktoren.
“"Manche IAM-Lösungen decken auch PAM-Funktionen ab, aber nicht in der Tiefe und Breite, die für den Schutz privilegierter Accounts wirklich notwendig wäre"„
Fazit & Ausblick
Laut Matthias Zacher sollte PAM gut mit anderen Security-Lösungen wie SIEM (Security Information & Event Management), DLP (Data Loss Prevention) oder IPS (Intrusion Prevention Systems) und Schwachstellen-Management integriert sein. „Firmen brauchen Regeln für eine schnelle und idealerweise automatisierte Reaktion, wenn externe oder unbefugte Personen auf ein privilegiertes Benutzerkonto zugreifen wollen. PAM konzentriert sich auf den Zugriff selbst, während SIEM, DLP und IPS die breite Sicht auf die Infrastruktur eines Unternehmens bieten. PAM ist ein fortlaufender Prozess.“
Weitere wichtige Trends beim Thema Privileged Account Management sind Künstliche Intelligenz (KI) beziehungsweise maschinelles Lernen (ML) und die Cloud. Alle von uns befragten Experten sind sich einig, dass KI und ML künftig insbesondere beim Monitoring, bei der Analyse und Korrelation der Daten der einzelnen privilegierten Sessions eine grosse Rolle spielen werden. PAM-Lösungen werden zudem überwiegend als SaaS-Lösung (Software as a Service) aus der Cloud erhältlich sein, und die Zahl der Maschinen-Accounts wird weiter zunehmen.
Privilegierte Benutzerkonten etwa von Administratoren oder maschinellen Accounts, die den Zugriff auf Datenbanken, Maschinen oder Cloud-Anwendungen ermöglichen, sind im Geschäftsalltag unerlässlich. Allerdings stellen sie wegen ihrer weitreichenden Befugnisse ein attraktives Ziel für Cyberkriminelle oder Hacker dar. Wer die Zugangsdaten eines privilegierten Accounts erbeutet, kann auf unternehmenskritische Daten zugreifen oder die IT-Infrastruktur manipulieren und kontrollieren. Daher sollten Firmen diese Konten besonders schützen.
Eine IAM-Lösung reicht dafür nicht aus. Firmen sollten dieses System für das Identitätsmanagement, falls vorhanden, um eine PAM-Lösung zum Schutz der privilegierten Benutzerkonten ergänzen. Diese bietet neben anderen Sicherheitsfunktionen eine automatisierte Übersicht über die Anzahl an privilegierten Accounts, dokumentiert und überwacht die Zugriffe oder sorgt für die effektive Verwaltung von Passwörtern.
Wichtige Anbieter von PAM-Lösungen (Auswahl)
Anbieter | Produkt | Beschreibung |
BeyondTrust | BeyondTrust Privilege Management | Modulare Plattform mit allen möglichen PAM-Funktionen (Passwortverwaltung, Multifaktor-Authentifizierung etc.); Session Management ersetzt VPN durch https-Tunnel |
Broadcom | Layer7 Privileged Access Management (Vorher CA PAM) | Modulare PAM-Lösung, die alle Administrator-Sitzungen aufzeichnet und auf potenziell verdächtige Aktivitäten überwacht. |
Centrify | Zero Trust Privilege | Modulare Plattform mit Komponenten für Passwort-Verwaltung, Authentifizierung, Monitoring, Session Management oder Threat Analytics. |
CyberArk | Verschiedene Lösungen für PAM | Der PAM-Marktführer bietet ein umfangreiches Portfolio an Lösungen für die Verwaltung und das Monitoring von privilegierten Benutzerkonten an, sowohl aus der Cloud als auch On-Premise. Auch maschinelle Accounts, DevOps-Umgebungen oder Container werden erfasst. |
Micro Focus | NetIQ Privileged Account Manager | Zu den Funktionen der PAM-Lösung gehören gesicherte Passwortarchivierung, privilegierte Kontenüberwachung von Datenbanken, die risikobasierte Kontrolle von Sitzungen privilegierter Konten sowie Audits und Berichte. |
One Identity | Verschiedene Lösungen für Privileged Access Management | Deckt alle PAM-Facetten ab, von Passwort- und Zugangsverwaltung und Threat Analytics über Multi-Faktor-Authentifizierung und Unix Server Security bis hin zu umfangreichen Reporting-Funktionen |
Thycotic | Tycotic Privileged Access & Password Management | Modulare PAM-Lösung aus der Cloud oder On-Premise mit Komponenten wie Secret Server, Privileged Behavior Analytics, Password Reset Server oder DevOps Secrets Vault. |
Wallix | Wallix Bastion | PAM-Lösung aus verschiedenen Modulen, darunter ein Access und Session Manager, ein Passwort-Manager oder ein PEDM-Tool für Least-Privilege-Sicherheit zum Schutz von PCs und Servern. |
Wichtige Anbieter von PAM-Lösungen (Auswahl)
Anbieter | Produkt | Beschreibung |
BeyondTrust | BeyondTrust Privilege Management | Modulare Plattform mit allen möglichen PAM-Funktionen (Passwortverwaltung, Multifaktor-Authentifizierung etc.); Session Management ersetzt VPN durch https-Tunnel |
Broadcom | Layer7 Privileged Access Management (Vorher CA PAM) | Modulare PAM-Lösung, die alle Administrator-Sitzungen aufzeichnet und auf potenziell verdächtige Aktivitäten überwacht. |
Centrify | Zero Trust Privilege | Modulare Plattform mit Komponenten für Passwort-Verwaltung, Authentifizierung, Monitoring, Session Management oder Threat Analytics. |
CyberArk | Verschiedene Lösungen für PAM | Der PAM-Marktführer bietet ein umfangreiches Portfolio an Lösungen für die Verwaltung und das Monitoring von privilegierten Benutzerkonten an, sowohl aus der Cloud als auch On-Premise. Auch maschinelle Accounts, DevOps-Umgebungen oder Container werden erfasst. |
Micro Focus | NetIQ Privileged Account Manager | Zu den Funktionen der PAM-Lösung gehören gesicherte Passwortarchivierung, privilegierte Kontenüberwachung von Datenbanken, die risikobasierte Kontrolle von Sitzungen privilegierter Konten sowie Audits und Berichte. |
One Identity | Verschiedene Lösungen für Privileged Access Management | Deckt alle PAM-Facetten ab, von Passwort- und Zugangsverwaltung und Threat Analytics über Multi-Faktor-Authentifizierung und Unix Server Security bis hin zu umfangreichen Reporting-Funktionen |
Thycotic | Tycotic Privileged Access & Password Management | Modulare PAM-Lösung aus der Cloud oder On-Premise mit Komponenten wie Secret Server, Privileged Behavior Analytics, Password Reset Server oder DevOps Secrets Vault. |
Wallix | Wallix Bastion | PAM-Lösung aus verschiedenen Modulen, darunter ein Access und Session Manager, ein Passwort-Manager oder ein PEDM-Tool für Least-Privilege-Sicherheit zum Schutz von PCs und Servern. |