Privilegierte Nutzerkonten als grosse Gefahr
Im Gespräch mit David Mayrr von KPMG Österreich
David Mayer ist Spezialist im Bereich IT-Advisory / Cyber Security bei dem österreichischen Ableger der Unternehmensberatung KPMG. Im Interview mit com! professional erklärt er, warum Unternehmen eine Lösung für Privileged Account Management (PAM) brauchen und worauf sie bei der Implementierung achten sollten.
com! professional: Herr Mayer, für die Verwaltung von Identitäten und deren Zugriffsrechten gibt es viele Produkte für Identity und Access Management (IAM). Warum reicht eine IAM-Lösung nicht für die Verwaltung privilegierter Benutzerkonten aus?
David Mayer: Die Grenzen zwischen IAM und Privileged Account Management (PAM) sind fliessend. IAM verwaltet alle Business-Nutzer auf hoher Ebene und weist ihnen entsprechend ihrer Rolle im Unternehmen spezifische Zugriffsrechte zu. Das Thema privilegierte Accounts decken manche IAM-Lösungen derzeit nur teilweise ab. Privilegierte Konten müssen besonders gesichert werden, da Unbefugte auf die wertvollsten Daten im Unternehmen zugreifen können, wenn sie an administrative Zugangsdaten gelangen.
PAM-Lösungen gehen viel tiefer und bieten etwa Funktionen für das Management privilegierter Sessions oder die Freischaltung und Überwachung von Konten bei der dynamischen Passwort-Freigabe für privilegierte Zugriffe. Privileged Account Management funktioniert aber nur im Rahmen einer umfassenden Sicherheitsstrategie, die umfangreiche technische Massnahmen und auch Themen wie Security Awareness umfasst.
com! professional: Welche Firmen brauchen eine PAM-Lösung? Hängt das von der Grösse ab?
David Mayer: Ein Admin-Konto ist wegen seiner tiefen Zugriffsrechte grundsätzlich für jeden Angreifer attraktiv, unabhängig von der Branche oder Grösse des Unternehmens. Die erste Frage lautet: Wie definieren Sie privilegiert? Das bedeutet für jeden etwas anderes. Bei IT- oder zum Beispiel Industrie-Unternehmen kann das der Administrator der Windows-Domäne sein, der über das Active Directory auf alle Geräte und Konten im Unternehmen zugreifen kann. Andere Firmen verstehen darunter jedes Admin-Konto, über das sie interaktiv einen Server betreuen können, sei es Windows, Linux oder Unix. In den Fachabteilungen gibt es auch den SAP-Admin, einen Key User mit vielen Berechtigungen, der nicht der IT zugeordnet ist und daher in vielen PAM-Konzepten nicht mitgedacht wird.
com! professional: Wie sieht es mit externen IT-Dienstleistern oder technischen Accounts wie Maschinen oder IoT-Geräten aus?
David Mayer: Natürlich haben auch IT-Dienstleister oder Servicetechniker meist aus der Ferne Zugriff auf privilegierte Konten. Firmen sollten diesen Remote-Zugang nur auf Anfrage freigeben und nicht permanent aktiv halten. Über eine PAM-Lösung lässt sich immer nachvollziehen, wer für das Konto verantwortlich ist, wann es freigeschaltet wurde und wer unter diesem Konto was gemacht hat. Dank dieser Informationen bestehen Firmen auch Compliance-Audits.
Mit einer PAM-Software lassen sich auch privilegierte Benutzer von Maschinen oder IoT-Geräten verwalten. Diese sind über Schnittstellen mit verschiedenen Systemen verbunden und laufen oft im privilegierten Umfeld. Dazu gehören beispielsweise technische Service-Accounts für Datenbanken oder automatisierte Service-Accounts, die Daten-Updates oder Batch-Jobs durchführen. Hier werden Passwörter oft jahrelang nicht verändert.
com! professional: Wie viele privilegierte Accounts gibt es erfahrungsgemäss in Unternehmen?
David Mayer: Das hängt von der Definition der privilegierten Accounts ab, von der Branche und zum Teil auch von der Unternehmensgrösse. Der Anteil der privilegierten Nutzer liegt häufig bei etwa bis zu zehn Prozent und ist immer im Verhältnis zu anderen Variablen zu sehen, etwa zur gesamten IT-Abteilung oder den Applikationsbetreuern in den Fachabteilungen. Letztere agieren oft seit Jahren mit privilegierten Rechten im System und bewegen sich in der Schatten-IT. Mit einer PAM-Lösung fallen sie nicht mehr durch das Raster.
com! professional: Worauf müssen Firmen bei der Auswahl oder Implementierung einer PAM-Lösung besonders achten?
David Mayer: Vor jedem technischen PAM-Konzept und der Auswahl der Hersteller sollten Unternehmen auf Basis der folgenden fünf W-Fragen vorgehen: Wer ist der Administrator mit privilegierten Zugriffsrechten? Wann benötigt die Person Zugriff? Wo befindet sich die Person beim Zugriff? Erfolgt die Einwahl in das System etwa vom Ausland aus oder von einem anderen Ort als üblich, sollten bei der Authentifizierung zusätzliche Faktoren zum Einsatz kommen, weil das Verhalten vom üblichen Muster abweicht. Warum oder zu welchem Zweck greift die Person auf das Konto zu? Worauf oder auf welche Ressourcen erfolgt der Zugriff?
com! professional: Wo liegen die Grenzen? Welche Herausforderungen gibt es?
David Mayer: Das PAM-Konzept muss grundsätzlich zur gesamten Sicherheitsstrategie und sicherheitstechnischen Architektur des Unternehmens passen. Und Firmen sollten die gerade erwähnten W-Fragen beantworten und die Zugriffsrechte definieren. Bei komplexen Cloud-Infrastrukturen und Wachstum kann es hier durchaus schwierig sein, am Ball zu bleiben. Zudem sollten Firmen sich mit ihrer PAM-Lösung tatsächlich auf den Schutz ihrer Kronjuwelen konzentrieren, also ihr geistiges Eigentum, Finanzdaten oder Kundendaten. Über eine Business-Impact-Analyse finden sie die wirklich wertvollen Daten heraus und vermeiden, „unnötige“ Anwendungen an das PAM anzubinden.
com! professional: Das heisst: Man sollte die PAM-Lösung nicht zu sehr ausdehnen?
David Mayer: Firmen sollten den Prozess klar definieren und sich beim Proof of Concept zunächst auf einige wichtige Funktionen fokussieren, die technisch gut überlegt sind. Dazu gehören beispielsweise der Schutz der Service-Accounts durch rollierende Passwörter oder die Überwachung von interaktiven privilegierten Sessions etwa beim Remote-Zugriff auf Server für das Einspielen von Patches. Sind diese grundlegenden Funktionen implementiert, kann die IT das PAM-System entsprechend der Risiken weiter ausbauen und eher fortgeschrittene Funktionen wie die verhaltensbasierte Analyse ergänzen. Bei guter Vorbereitung dauert es etwa zwei bis drei Monate, bis ein PoC läuft, die Anwendungen angebunden und getestet sind. Die Komplexität ergibt sich aus der Anzahl der privilegierten Accounts und Anwendungen, dem Einsatz von Cloud-Systemen oder der Vielfalt an heterogenen Systemen mit Windows-Geräten, Linux-Servern oder Mainframes.
com! professional: Mit welchen Massnahmen lassen sich privilegierte Konten schützen?
David Mayer: Das beste Admin-Konto ist per default deaktiviert und wird nur dann aktiviert, wenn man es wirklich braucht. Auch die Passwörter werden bei jeder Aktivierung neu vergeben und verschlüsselt verwaltet. Die Administratoren brauchen die sensiblen Passwörter nicht zu kennen. Auch dem externen Dienstleister sind die entsprechenden Passwörter nicht bekannt, wenn er sich über die Fernwartung einwählt und per PAM-Lösung den Benutzer freischaltet. Da er damit keine Passwörter von privilegierten Accounts weitergeben kann, sinkt das Risiko von Missbrauchsfällen deutlich. Weitere Massnahmen sind Multi-Faktor-Authentifizierung und Single-Sign-On.
Ein zentrales Feature ist das Session Management mit Überwachung und Monitoring aller Aktivitäten, die über die PAM-Lösung erfolgen: Wer macht was wann, warum und wie? Beim Erkennen von Verhaltensmustern und Abweichungen kommt mittlerweile maschinelles Lernen zum Einsatz. Ein wichtiger Grund für das Monitoring sind Compliance-Vorschriften wie die Datenschutzgrundverordnung oder Audits gemäss der ISO 27001 zum Aufbau eines Management-Systems für Informationssicherheit. Sie erfordern die Dokumentation von Aktivitäten.
com! professional: Welche weiteren Trends ausser dem Einsatz von maschinellem Lernen sehen Sie beim Thema PAM?
David Mayer: Der Markt für Privileged Account Management konsolidiert sich und ist in Bewegung. Ich denke, dass auch künftig die Anbieter von IAM-Lösungen und von PAM-Systemen wegen der jeweils hohen Komplexität auf beiden Feldern parallel nebeneinander existieren werden. Möglicherweise werden grössere IAM-Hersteller künftig auch PAM-Module in ihre Produkte integrieren. Für das Thema Verwaltung der privilegierten Benutzerkonten ist aber ein noch umfassenderes Know-how erforderlich.
Ein wichtiges Thema ist Cloud Computing. Die meisten PAM-Lösungen sind mittlerweile als On-Premise- und als Cloud-Lösung erhältlich. Zudem ist davon auszugehen, dass viele Provider von Cloud-Services künftig selbst Schnittstellen für die Integration in PAM-Lösungen anbieten. Aktuell verfügen viele PAM-Produkte über Schnittstellen, allerdings ist dafür zusätzliche Programmierarbeit notwendig. Wenn die Cloud Provider aber mittelfristig Standard-Schnittstellen für PAM bieten, entfällt künftig der Aufwand für den Bau von Konnektoren.