Was ist Privileged-Access-Management (PAM)?

Die privilegierte Zugriffsverwaltung gehört zu den obersten Prioritäten in Unternehmen. Laut Gartner ist „fast jeder erfolgreiche Sicherheitsverstoß auf ein Versagen der privilegierten Zugriffsverwaltung (Privileged-Access-Management, PAM) zurückzuführen“. Auch wenn wir bei Ping kein PAM anbieten, ist es unserer Ansicht ein wichtiger Bestandteil jeder Sicherheitsstrategie. Daher kooperieren wir mit mehreren Partnern, um diese kritischen Kontrollen einzubinden. Lesen Sie weiter, um mehr über das PAM und seine Bedeutung zu erfahren.

Als privilegierter Zugriff wird der Zugriff bzw. die Berechtigung bezeichnet, die über eine standardmäßige Nutzung hinausgeht, um den Zugang zu Systemen und sensiblen Daten zu schützen. Mit einem privilegierten Zugriff können Unternehmen ihre Infrastruktur und ihre Anwendungen absichern, erfolgreich ihren Geschäften nachgehen und für die Vertraulichkeit von empfindlichen Daten und einer kritischen Infrastruktur sorgen. Privilegierter Zugriff kann für menschliche Benutzer, aber auch für Software-Anwendungen eingerichtet werden. Dabei gibt es folgende Arten von privilegierten Konten:

• Administrative Konten, beispielsweise für Administratoren von Systemen, Standorten und Domänen

• Notfallkonten (auch als „Break Glass“- oder „Firecall“-Konten bezeichnet)

• Servicekonten

• Anwendungskonten

• Konten für Domänendienste und Verzeichnisse

Privilegierte Konten mit breitgefächerten Möglichkeiten werden als Superuser-Konten bezeichnet. Ihre Funktionalitäten sind unbegrenzt und beinhalten auch Optionen für Systemänderungen, Zugriff auf alle Dateien und Verzeichnisse, das Installieren von Software und das Löschen von Daten.

Im Folgenden werden diese Begriffe, die Ihnen möglicherweise begegnen werden, kurz erläutert, und es wird erklärt, wie sie mit der privilegierten Zugriffsverwaltung in Verbindung stehen.

• Privileged-Access-Management (privilegierte Zugriffsverwaltung) bezieht sich auf die Prozesse und Tools für das Sichern, Steuern und Überwachen eines privilegierten Zugriffs auf die geschäftskritischen Ressourcen und Daten eines Unternehmens.

   

• Privileged-Account-Management (privilegierte Kontenverwaltung) bezieht sich auf das Verwalten und Überprüfen des Konto- und Datenzugriffs durch privilegierte Benutzer.

   

• Privileged-Session-Management (privilegierte Sitzungsverwaltung) wird verwendet, um die Sitzung eines privilegierten Benutzers während ihrer gesamten Dauer zu beobachten, zu verwalten, zu dokumentieren und zu überwachen.

Privilegierte Konten sind ein wertvolles Ziel für Cyberkriminelle. „In 85% der Fälle ermöglichte der Diebstahl von Zugangsdaten zu privilegierten Konten den Zugriff der Cyberkriminellen auf kritische Systeme und/oder Daten“, berichtet eine aktuelle Studie von ThycoticCentrify. Der Diebstahl von Zugangsdaten erfolgte nicht nur durch externe Übeltäter, sondern auch durch Insider im Unternehmen, die ihre administrativen Berechtigungen für den unrechtmäßigen Zugriff auf kritische Ressourcen missbrauchten.

Wenn Zugriffskontrollen vorhanden sind, ist der Zugang von Standard-Benutzerkonten eingeschränkt. Privilegierte Konten ermöglichen den Zugriff auf die sensibelsten und geschäftskritischsten Bereiche des Unternehmens. Deshalb ist die Verwaltung privilegierter Konten so wichtig, um eine Gefährdung Ihres Unternehmens durch interne und externe Angreifer zu verhindern. Das PAM kann dazu verwendet werden, mehrere Angriffsvektoren auszuschalten und schützt gegen interne und externe Attacken.

Die privilegierte Zugriffsverwaltung wird in Verbindung mit Lösungen für das Identitäts- und Access-Management (IAM) verwendet, das im weiteren Verlauf ausführlicher erläutert wird. Das IAM verlangt von den Benutzern, sich zu authentifizieren und nachzuweisen, dass sie wirklich diejenigen Personen sind, für die sie sich ausgeben. Die Multi-Faktor-Authentifizierung ergänzt hierbei zusätzliche Sicherheitsebenen.

Lösungen für die Verwaltung privilegierter Zugriffe verringern das Risiko und das Ausmaß von Sicherheitsverletzungen. Mit privilegierten Benutzerkonten laufen die Dinge in Ihrem Unternehmen reibungsloser – von der Aktualisierung von Diensten über die Überwachung von IAM-Lösungen bis hin zum Schutz von Domänen vor DDoS-Attacken. Diese Art des Zugriffs und der Handlungsspielraum im Ihrem Netzwerk sind der Grund, warum diese Benutzerkonten für Cyberkriminelle so attraktiv sind. Die Übernahme von Superuser-Konten mit uneingeschränkten Berechtigungen für das Ausführen von Befehlen und Systemänderungen hat das maximale Potenzial für Ausbeutung und Missbrauch.

Dies sind einige der wichtigsten Vorteile eines PAM:

Verbesserung von Sicherheit, operative Performance und Zuverlässigkeit

Das PAM soll Cyberkriminelle abschrecken und kann den Überblick über Schwachstellen, das Inventar des Netzwerks und die Identitäts-Governance verbessern. Wenn der Zugang zu kritischen Ressourcen, Systemen und Prozessen auf privilegierte Konten beschränkt wird, erhöht dies die Verantwortlichkeit und verringert das Risiko von Ausfallzeiten.

Weniger Angriffsvektoren und eine schnellere Schadensbewertung

Bei einer Beschränkung der Privilegien auf eine minimale Anzahl von Personen, Prozessen und Anwendungen bleiben böswilligen Akteuren nur noch wenige Angriffsvektoren zur Auswahl. Das Installieren und Ausführen von Malware setzt beispielsweise häufig einen privilegierten Zugriff voraus. Sollte es dann zu einem Angriff kommen, können Sie mit einer PAM-Lösung umgehend privilegierte Konten überprüfen. Sie sehen, an welchen Stellen Änderungen vorgenommen wurden und erkennen gefährdete Anwendungen und Prozesse.

Einhaltung von Datenschutzvorschriften

Eine privilegierte Zugriffsverwaltung erleichtert die Gestaltung einer regelkonformen und revisionsfreundlichen Umgebung. Viele Bestimmungen, darunter auch der Health Insurance Portability and Accountability Act von 1996 (HIPAA), fordern Richtlinien für minimale Zugriffsrechte, die eine ordnungsgemäße Datenverwaltung und Systemsicherheit gewährleisten.

Unkomplizierte Verwaltung der Lebenszyklen von privilegierten Konten

Eine regelmäßige Überprüfung aller Benutzer und Konten mit privilegiertem Zugriff, wie unter anderem auch die von Drittanbietern, verringert das Risiko von Sicherheitsverletzungen. Wenn Sie eine rollenbasierte Zugriffskontrolle verwenden, sollten Sie sicherstellen, dass neue Benutzer zu privilegierten Konten hinzugefügt und ehemalige Mitarbeiter und/oder Auftragnehmer umgehend entfernt werden.

Lösungen für die privilegierte Zugriffsverwaltung ermöglichen es, Aktivitäten über diese Art von Zugriffen zu überwachen, zu berichten und aufzuzeichnen. Auf diese Weise können Administratoren den Überblick über den privilegierten Zugriff behalten und feststellen, wo er möglicherweise missbraucht wird. Administratoren müssen Anomalien und potenzielle Bedrohungen leicht erkennen können, wenn sie sofort Maßnahmen zur Schadensbegrenzung ergreifen sollen. Im Idealfall verfügt die PAM-Lösung über ein integriertes Warnsystem, um den Administrator auf unerwartete Aktivitäten aufmerksam zu machen.

Die privilegierte Zugriffsverwaltung arbeitet nach dem Least-Privilege-Prinzip (Prinzip minimaler Berechtigungen), so dass selbst privilegierte Benutzer nur auf das zugreifen dürfen, was sie benötigen. Die für diese Art von Verwaltung erforderlichen Tools sind in einer umfassenderen PAM-Lösung enthalten und für die verschiedenen Herausforderungen bei der Überwachung, dem Schutz und der Verwaltung von privilegierten Konten konzipiert.

PAM-Tools bieten folgende Anwendungsmöglichkeiten:

• Identifizierung, Verwaltung und Überwachung privilegierter Konten in verschiedenen Systemen und Anwendungen.

• Kontrolle des Zugriffs auf privilegierte Konten, einschließlich des Zugangs, der in Notfällen gemeinsam genutzt werden kann oder verfügbar gemacht wird.

• Generieren von zufälligen, sicheren Zugangsdaten (z. B. Passwörter, Benutzernamen und Schlüssel) für privilegierte Konten.

• Anbieten einer Zwei-Faktor- und einer Multi-Faktor-Authentifizierung.

• Einschränkung und Kontrolle von privilegierten Befehlen, Aufgaben und Aktivitäten.

• Verwalten der gemeinsamen Nutzung von Zugangsdaten für verschiedene Dienste, um die Offenlegung einzudämmen.

Beginnen wir mit den Gemeinsamkeiten ... Das Identitäts- und Access-Management (IAM) und das Privileged-Access-Management (PAM) greifen ineinander, um die Ressourcen eines Unternehmens zu sichern. Sowohl das PAM als auch das IAM beschränken den Zugriff auf Ressourcen nach dem Prinzip minimaler Berechtigungen, d. h. die Berechtigung ist auf die vom Benutzer benötigten Ressourcen beschränkt. So können IAM-Zugriffskontrollen beispielsweise sicherstellen, dass Vertriebsteams auf CRM-Systeme zugreifen können, nicht aber auf die vertraulichen Mitarbeiterdateien der Personalabteilung. PAM-Kontrollen sorgen dafür, dass ein lokaler Administrator nicht auf dieselben Ressourcen zugreifen kann wie ein Superuser-Konto. Sowohl das IAM als auch das PAM machen das manuelle On- und Offboarding von Benutzern mithilfe von automatisierter Provisionierung überflüssig. Just-in-Time-Privilegien (JIT) dienen als zusätzliche Sicherheitsebene, indem sie den Zugriff nur für einen bestimmten Zweck und/oder für einen begrenzten Zeitraum gestatten.

Der Bericht über Kosten einer Datenschutzverletzung 2021 von IBM gibt an, dass „kompromittierte Zugangsdaten (anfänglich der häufigste Angriffsvektor) für 20 % der Sicherheitsverletzungen verantwortlich sind und durchschnittliche Kosten von 4,37 Millionen US-Dollar erzeugten.“ Unternehmen benötigen Lösungen, die alle Benutzer vor dem Missbrauch ihrer kompromittierten Zugangsdaten schützen, zu denen auch die privilegierten Konten von Administratoren kritischer Infrastrukturen, Daten und Anwendungen gehören. Unternehmen verlassen sich zunehmend auf die Sicherheit eines Zero-Trust-Ansatzes, bei dem es kein Vertrauen gibt und jeder überprüft wird – vor allem Benutzer mit privilegiertem Zugriff. Sowohl IAM als auch PAM sind Bestandteil des Zero-Trust-Sicherheitskonzepts.

Identitäts- und Access-Management (IAM)

Das Identitäts- und Access-Management (IAM) ist ein Sicherheits-Framework, das Unternehmen die Authentifizierung und Kontrolle der Zugriffsberechtigungen von Benutzern ermöglicht. Unternehmen können IAM-Lösungen für ihre Kunden, Mitarbeiter und Partner wählen. Obwohl das Funktionsspektrum breit gefächert ist, wird ein IAM normalerweise für die Autorisierung und Authentifizierung genutzt, wie unter anderem mit:

• Single Sign-on (SSO) Die Benutzer erhalten Zugriff auf mehrere Dienste und Ressourcen mit nur einer einzigen Anmeldung und einem einzigen Satz an Zugangsdaten

   

• Multi-Faktor-Authentifizierung (MFA) Sie fordert Benutzer auf, zwei oder mehr Faktoren als Identitätsnachweis anzugeben, um höhere Gewissheit über die Identität eines Benutzers zu erhalten

   

• Zugriffsmanagement Es sorgt dafür, dass die richtigen Personen ausschließlich auf die für sie vorgesehenen Ressourcen zugreifen können.

Privileged-Access-Management (PAM)

Das Privileged-Access-Management (PAM) konzentriert sich auf privilegierte Benutzer, um deren Zugriff auf Server, Cloud-Anwendungen und APIs, DevOps, Datenbanken, Verzeichnisse und andere Ressourcen zu überwachen und zu kontrollieren.

Die Kombination aus privilegierter Zugriffsverwaltung und der Verwaltung von Identität und Zugriff verbessert die Sicherheitslage Ihres Unternehmens. PAM und IAM haben die Aufgabe, sich gegenseitig zu unterstützen und abzuschirmen. Das IAM sorgt für einen reibungslosen und sicheren Zugriff für privilegierte Benutzer. PAM-Lösungen verstärken den Schutz der Zugangsdaten für IAM-Administratoren und privilegierte Benutzer. Die Benutzer werden zunächst mit Single Sign-on authentifiziert und durchlaufen anschließend aufgrund des heiklen Charakters dieser Zugriffsanfrage eine Multi-Faktor-Authentifizierung, um die privilegierten Konten zu schützen.

Die Einhaltung der Best Practices ermöglicht Ihnen den Schutz Ihrer Systeme und den optimalen Nutzen Ihrer PAM-Lösung. Gartner nennt folgende vier Pfeiler für das PAM:

1. Verfolgen und Absichern aller privilegierten Konten

2. Regelung und Kontrolle des Zugriffs

3. Protokollieren und Prüfen privilegierter Aktivitäten

4. Operationalisieren privilegierter Aufgaben

Diese Pfeiler lassen sich in die folgenden PAM-Best-Practices unterteilen:

• Authentifizierung aller Benutzer ohne Ausnahme. Verhindern Sie mit Identitätsverifizierung, Zwei-Faktor-Authentifizierung, Multi-Faktor-Authentifizierung oder andere Tools, dass Cyberkriminelle mit kompromittierten Zugangsdaten auf Konten zugreifen, bevor sie in Ihr Netzwerk einzudringen können. 

   

• Einhaltung des Least-Privilege-Prinzips. Sorgen Sie dafür, dass alle Konten nur für den Zugriff auf Ressourcen berechtigt sind, die sie tatsächlich benötigen und nicht mehr. Das gilt auch für privilegierte Konten.

   

• Halten Sie PAM-Lösungen auf dem neuesten Stand. Achten Sie auf die Vollständigkeit und Aktualität ihrer Listen mit privilegierten Konten. Erwägen Sie bei Bedarf einen zeitlich begrenzten anstelle eines ständigen Zugangs. Stellen Sie außerdem sicher, dass die PAM-Anwendungen immer auf dem neuesten Stand sind.

   

• Automatisierung nach Möglichkeit. Rationalisieren Sie Abläufe und automatisieren Sie Aufgaben, wo immer dies möglich ist. Dies verringert das Risiko menschlichen Versagens und kann verhindern, dass böswillige Akteure in die Abläufe eingreifen.

   

• Monitoring, Protokollierung und Prüfung aller privilegierten Konten. Privilegierte Konten können über den Erfolg oder Misserfolg Ihres Unternehmens entscheiden. Überwachen und protokollieren Sie die Aktivitäten privilegierten Konten kontinuierlich und prüfen Sie die Protokolle auf Erkenntnisse, potenzielle Risiken und Anomalien.

   

• Informieren Sie privilegierte Benutzer mithilfe von Dokumentationen über Richtlinien und Verfahren. Privilegierte Benutzer müssen über Richtlinien, Verfahren und Systeme Bescheid wissen. Bieten Sie laufende Schulungen zu Anwendungen, Verfahren, Bedrohungen und Trends an.

Weitere Informationen über die Lösungen von Ping für das Identitäts- und Access-Management (IAM) und wie sie in Verbindung mit den Privileged-Account-Management-Lösungen (PAM) unserer Partner eingesetzt werden können, finden Sie unter Was ist Identitäts- und Access-Management (IAM)?