Viele Unternehmen beschäftigen sich heute mit der Einführung einer zentralen Lösung zur automatischen Verwaltung privilegierter Accounts. Die Vorteile solcher Lösungen sind unbestritten, dennoch stehen am Anfang eines solchen Projekts viele Fragen. Cyber-Ark hat deshalb gemeinsam mit seinen Vertriebspartnern cirosec, Computacenter, Controlware und Integralis die acht häufigsten Fragen ermittelt und gibt dazu die Antworten.
Nach wie vor ist in vielen Unternehmen die „nicht-automatische“, das heißt manuelle Änderung von privilegierten Benutzerkonten gängige Praxis. Verschärfte regulatorische Anforderungen und Sicherheitsvorgaben zwingen Unternehmen aber zunehmend, die Einführung einer Lösung im Bereich Privileged Identity Management (PIM) in Betracht zu ziehen, mit der eine zentralisierte automatische Verwaltung und Überwachung von privilegierten Accounts erfolgen kann.
Jochen Koehler, Regional Director DACH von Cyber-Ark mit Sitz in Heilbronn, sagt: „Was den genauen Funktionsumfang und die technisch-organisatorischen Integrationsmöglichkeiten einer PIM-Lösung anbelangt, herrscht bei vielen Unternehmen immer noch eine gewisse Unsicherheit. Das wollten wir einmal näher unter die Lupe nehmen und haben deshalb mit unseren Partnern Computacenter, Controlware, Integralis und cirosec die acht häufigsten Fragen zusammengestellt, die potenzielle Neukunden stellen.“
Die acht meistgestellten Fragen beim Passwort-Management und die Cyber-Ark-Antworten im Überblick:
1. Ist eine zentrale Speicherung von Passwörtern nicht mit Risiken verbunden?
Nein, das ist nicht der Fall, wenn die eingesetzte PIM-Lösung mit mehreren unterschiedlichen Security-Layern versehen ist und damit zuverlässigen Schutz vor unbefugten Zugriffen bietet. Mit Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token oder Zertifikaten kann sichergestellt werden, dass nur autorisierte Anwender Zugang zu den Passwörtern haben, die natürlich zudem verschlüsselt gespeichert sein sollten.
2. Nach welchen Regeln kann die automatisierte Passwort-Änderung erfolgen?
Moderne PIM-Lösungen bieten die Möglichkeit, das Passwort-Management entsprechend den Vorgaben der jeweiligen Security-Policy individuell anzupassen. Der Anwender kann dabei die Komplexität, Passwortstärke und den Änderungszyklus frei definieren. Auch individuelle Workflows sind definierbar, um beispielsweise festzulegen, dass Benutzer bei Anforderung eines Passwortes ein offenes und gültiges Ticket eingeben müssen, dessen Kennung dann mit dem Ticketing-System abgeglichen wird.
3. Wie erreiche ich Hochverfügbarkeit?
Damit die zentral gespeicherten Passwörter jederzeit erreichbar bleiben, sollte eine redundant aufgesetzte, ausfallsichere Architektur implementiert werden. Die PIM-Lösung sollte in hochverfügbarer Ausbauweise betrieben werden. Damit wird sichergestellt, dass bei Ausfall des Masters auf eine einsatzbereite Backup-Version zurückgegriffen werden kann, die auch die aktuellsten Passwörter bereitstellt.
4. Kann ich mit einer PIM-Lösung das Problem der dezentralen Passwort-Verwaltung adressieren?
Mit einer umfassenden PIM-Lösung wird auch das Problem der dezentralen Passwort-Verwaltung abgedeckt. In vielen Unternehmen stellt heute gerade der lokale Administratoren-Account eine besondere Gefahr dar. So ist beispielsweise der „Local Admin“ auf jedem Windows-Rechner zu finden und oft unternehmensweit mit dem gleichen Passwort versehen. Mit einer PIM-Lösung können diese privilegierten Benutzerkonten vollautomatisch in das Passwort-Management integriert werden.
5. Wie sieht es mit der Integrationsfähigkeit von PIM-Lösungen aus?
Heutige PIM-Lösungen bieten eine hohe „Enterprise-Fähigkeit“ und Interoperabilität. Sie können problemlos in bestehende Infrastrukturen mit zentralen Benutzerverwaltungen und Verzeichnisdiensten wie Active Directory, eDirectory oder LDAP sowie Systemüberwachungen integriert werden. Eine Anbindung an SIEM (Security Information and Event Management)-Lösungen ist in der Regel einfach und schnell möglich. Unterstützt werden sollten stark verbreitete Lösungen wie HP ArcSight, LogLogic Security Event Manager, McAfee NitroSecurity, IBM Q1Labs oder RSA enVision.
6. Können bestehende Rollenmodelle übernommen werden?
Eindeutig ja. Im Hinblick auf privilegierte Administratoren-Accounts mit erweiterten Rechten sollte jedes Unternehmen bereits Prozesse für IT-Berechtigungsvergaben definiert haben. Damit kann sichergestellt werden, dass die Mitarbeiter nur die Rechte erhalten, die für ihren Tätigkeitsbereich erforderlich sind. Die PIM-Lösung unterstützt dann lediglich die technische Umsetzung. Hat ein Administrator beispielsweise heute einen Vollzugriff, gilt diese Berechtigungsstufe auch nach der Einführung der PIM-Lösung: mit dem Unterschied, dass dieser Zugriff nun nachgewiesen und nachvollzogen werden kann.
7. Können bei der Überwachung von privilegierten Aktivitäten bei bestimmten Ereignissen Alarme erzeugt und Gegenmaßnahmen ergriffen werden?
Ja, es gibt PIM-Lösungen, die ein zentrales Dashboard bieten, über das berechtigte Mitarbeiter stets die Übersicht über alle aktiven privilegierten Sitzungen haben. Bei Bedarf können sie sich live in diese einschalten und einzelne Sessions aus dem Dashboard heraus auch remote beenden. Wird die PIM-Lösung in Kombination mit SIEM-Tools für Echtzeitalarmierungen genutzt, können Unternehmen sich bei einem Alarm auch von dort aus sofort in die entsprechende Session einloggen, die Aktivität kontrollieren und diese gegebenenfalls unterbinden.
8. Welche Vorteile bieten PIM-Lösungen dem Unternehmen beziehungsweise den einzelnen Admins im Tagesgeschäft?
Für das Unternehmen reichen die Vorteile von der Prozessoptimierung über die Einhaltung von Compliance-Anforderungen bis hin zu einer generellen Erhöhung der Sicherheit. Der einzelne Administrator profitiert im Wesentlichen von einer deutlichen Reduzierung seines Verwaltungsaufwandes.
Jochen Koehler sagt: „Es zeigt sich, dass sich die Fragen bei PIM-Lösungen im Wesentlichen um technische und organisatorische Aspekte drehen und hier vielfach noch Unwissenheit beziehungsweise Bedenken vorherrschen. In unseren Augen ist das völlig unbegründet, da aktuelle PIM-Lösungen zum einen eine umfangreiche Plattformunterstützung bieten, mit der alle Kernbereiche moderner IT-Umgebungen abgedeckt werden. Zum anderen führen sie natürlich auch zu einer Veränderung betrieblicher Abläufe, aber nur im Hinblick auf eine hohe Prozess- und Workflow-Optimierung durch Automatisierung.“