Was ist verwaltung privilegierter zugriffsberechtigungen?
- IAM-Glossar
- Was ist verwaltung privilegierter zugriffsberechtigungen?
Die Verwaltung privilegierter Zugriffsberechtigungen (Privileged Access Management, PAM) bezieht sich auf die Verwaltung und den Schutz von Konten, die Zugangsberechtigungen für hochsensible Systeme und Daten haben, darunter IT-Administratorkonten, Lohnverwaltungssysteme oder Quellcodespeicher. Benutzer, die privilegierte Zugriffsberechtigungen benötigen, sind unter anderem Kontoadministratoren, leitende Angestellte, Sicherheitsfachkräfte, Personalverwaltungsmitarbeitende und Buchhalter.
Nicht alle privilegierten Benutzer sind Menschen. Privilegierte Zugangsdaten werden auch sehr oft von Systemen und Anwendungen genutzt, insbesondere in DevOps-Umgebungen. Die Zugangsdaten werden allgemein als IT-Geheimnisse bezeichnet.
Je größer Unternehmen werden, desto komplexer und zeitaufwendiger wird die Verwaltung privilegierter Benutzer. Konfigurationsfehler bei ihren Konten können gravierende Folgen haben. Privilegierte Benutzer haben Zugang zu den sensibelsten Systemen und Daten einer Organisation, weshalb ihre Zugangsdaten bei Cyberkriminellen extrem begehrt sind. Verizon schätzt, dass 49 % aller Sicherheitsvorfälle auf kompromittierte privilegierte Zugangsdaten zurückzuführen sind.
Wie kann die verwaltung privilegierter zugriffsberechtigungen ihr cybersicherheitsrisiko senken?
Verwaltungssysteme für privilegierte Zugriffsberechtigungen unterstützen IT-Administratoren und Sicherheitsfachkräfte bei der effektiven und präzisen Organisation, Verwaltung und Sicherung privilegierter Zugangsdaten, damit Konfigurationsfehler vermieden werden können, die sonst zu Datendiebstählen führen können.
Welchen unterschied gibt es zwischen IAM und PAM?
Identitätsmanagement (Identity and Access Management, IAM) und PAM sind ähnliche Konzepte, unterscheiden sich aber in wesentlichen Punkten. Beide behandeln die Benutzerverwaltung in der IT-Umgebung einer Organisation, aber IAM ist ein Überbegriff und PAM eine spezielle Anwendung davon.
IAM betrifft ganz grob die Verwaltung aller Benutzerkonten in einer Organisation. IAM-Lösungen stellen sicher, dass Benutzer eine einzigartige, vertrauenswürdige digitale Identität haben, die Systemadministratoren über den ganzen Lebenszyklus des Kontos hinweg überwachen und verwalten können. Zudem haben Systemadministratoren Steuerungsmöglichkeiten für die Durchsetzung von Richtlinien, bei der Passwortveraltung, Mehr-Faktor-Authentifizierung, Aktivitätenüberwachung und rollenbasierten Zugangsberechtigungen (RBAC).
PAM ist ein Unterbereich von IAM, der sich insbesondere auf die Zugangsverwaltung für kritische Infrastruktur einer Organisation bezieht, also hochsensible Daten und IT-Ressourcen. Der Missbrauch und die Kompromittierung von privilegierten Konten kann katastrophale Konsequenzen für eine Organisation nach sich ziehen. Deshalb werden die Aktivitäten privilegierte Benutzer strenger überwacht als die von normalen Systemnutzern. PAM umfasst in der Regel Kontrollmechanismen wie sehr detaillierte Authentifizierungen, Automatisierung und Autorisierung, Sitzungserfassung, Überprüfung und zeitlich begrenzter Zugriff.
Vorteile von verwaltungslösungen für privilegierte zugriffsberechtigungen
Eine dedizierte PAM-Lösung bietet viele Vorteile:
Einsichten in alle Netzwerk-, Anwendungs-, Server- und Gerätezugriffe PAM-Lösungen geben Administratoren umfassende Einblicke in die gesamte Datenumgebung, einschließlich von Cloud- und Vor-Ort-Systemen und -Infrastruktur. PAM ermöglicht auch die Nachverfolgung und Kontrolle aller Systeme und Geräte, die privilegierte Zugriffsberechtigungen für den optimalen Betrieb benötigen.
Verhinderung von Missbrauch oder Kompromittierung privilegierter Zugangsdaten PAM-Lösungen schützen privilegierte Konten und erschweren es für externe Angreifer, die Konten zu kompromittieren, und den Missbrauch der Konten durch interne böswillige Akteure.
Konformität vereinfachen Die meisten gesetzlichen und Industrie-Konformitätsrahmenwerke erfordern die gesonderte Verwaltung und Überprüfung privilegierter Benutzerkonten. PAM-Lösungen verfügen über Überprüfungsfunktionen, die Benutzersitzungen erfassen und Organisationen nachverfolgbare Aktivitätenerfassung ermöglichen. PAM-Lösungen unterstützen Standardkonformität für PCI DSS, HIPAA, FDDC, SOX Government Connect und FISMA, bei denen Organisationen unter anderem das Least-Privilege-Zugang für Benutzerberechtigungen einsetzen müssen.
Verbesserte Produktivität Leistungsstarke PAM-Lösungen erlauben Systemadministratoren die Verwaltung privilegierter Benutzerkonten über eine zentrale Übersicht und machen so die Notwendigkeit des individuellen Zugriffs auf Systeme und Anwendungen für die Konfiguration überflüssig. Das spart Zeit und verbessert die Produktivität für IT-Mitarbeitende und Endbenutzer.
Weniger Konfigurationsfehler Gut 49 % aller Organisationen haben Benutzer mit mehr Zugriffsberechtigungen, als diese für die Ausführung ihrer Arbeit benötigen. Das ist ein enormes Sicherheitsrisiko. PAM vereinfacht die Zugriffsverwaltungsprozesse, minimiert das Potenzial für Konfigurationsfehler und stellt sicher, dass das Mindestzugriffsrechteprinzip eingehalten wird.
Bewähre praktiken bei der verwaltung privilegierter zugriffsberechtigungen
Wie beim gesamten IAM-Prozess ist die Sicherheit privilegierter Zugriffsberechtigung keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Hier finden Sie einige bewährte Praktiken für den besseren Schutz der Kronjuwelen Ihrer Organisation.
Nutzen Sie Automatisierung für privilegierte Aufgaben (Privileged Tast Automation, PTA). PTA umfasst die Automatisierung von Prozessen, bei denen privilegierte Zugangsdaten oder erhöhte Zugangsberechtigungen zum Einsatz kommen. So wird die reibungslose Einbindung und Verwaltung von Benutzern ermöglicht.
Umsetzung dynamischer, kontextabhängiger Zugangsbeschränkungen Auch als Just-in-time-Zugriff bezeichnet. Dabei handelt es sich um ein Zero-Trust-Prinzip, bei dem nur die Berechtigungen erhalten, die sie für ihre Arbeit benötigen, und das auch nur dann, wenn es nötig ist. Das hilft, die Kompromittierung von Zugangsdaten zu verhindern, und ermöglicht Sicherheitsteams die automatische Beschränkung von Privilegien, wenn bekannte Bedrohungen für Systeme oder Benutzer bestehen.
Überprüfung privilegierter Aktivitäten Robuste PAM-Lösungen bieten Überprüfungsfunktionen wie die Erfassung von Tastatureingaben und Bildschirmaufnahmen. Mit solchen Funktionen können Sicherheitsrisiken erkannt und untersucht werden, was essenziell für die Bewältigung von Bedrohungen ist. Administratorkonten können die Verwaltung privilegierter Sitzungen nutzen, um verdächtige Aktivitäten zu erkennen.
Beschränkung der Verwendung privilegierter Konten auf bestimmte privilegierte Aktivitäten Neben ihren privilegierten Konten sollten privilegierte Benutzer auch normale Benutzerkonten haben, bei denen sie sich anmelden müssen, wenn sie andere Aktivitäten als privilegierte Aktivitäten ausführen wollen.
Einsatz bewährter Praktiken bei der Passwortsicherheit Bewährte Praktiken für die Passwortsicherheit, die für normale Benutzer gelten, sind bei privilegierten Benutzerkonten noch wichtiger. Zum Beispiel sollten alle privilegierten Konten einzigartige, komplexe Passwörter nutzen und mit Mehr-Faktor-Authentifizierung zusätzlich abgesichert sein.
Segmentierung von Systemen und Netzwerken Durch eine Segmentierung des Netzwerks kann die horizontale Ausbreitung von Angreifern verhindert werden, sollte ihnen doch mal das Eindringen in ihre Systeme gelingen. Sie verhindert auch den unbeabsichtigten Zugriff von Benutzern auf Systeme und Daten, die für die Ausübung ihrer Arbeiten nicht erforderlich sind.
Viele Organisationen setzen das Mindestzugriffsrechteprinzip nach und nach um, indem sie die sichtbarsten Sicherheitsrisiken zuerst angehen, etwa das Entfernen von Adminberechtigungen und Einführung von Benutzerüberwachung, und Sicherheitspraktiken nach und nach verfeinern. Die schwerwiegendsten Sicherheitsrisiken sind aber nicht unbedingt die sichtbarsten Probleme. Aus dem Grund ist der ideale Ansatz, eine umfassende Überprüfung aller bestehenden Privilegienrisiken durchzuführen und die Probleme nach Schweregrad zu kategorisieren.