|
|
it.sec und Cloakware empfehlen Richtlinien zum Management privilegierter Passworte Immer häufiger kommt es zu Sicherheitspannen bei Großunternehmen (23.09.09) - Konzerne sollten ihre bisherige Sicherheitspolitik für privilegierte Accounts überdenken. Wie erst kürzlich ein Vorfall bei einer US-Hypothekenbank zeigte, sind vor allem die Kontrollen von Passwörtern und damit verbundenen Privilegien häufig verbesserungswürdig.
Anzeige
Die aktuell angespannte wirtschaftliche Lage führt dazu, dass die Daten von Firmen wachsenden Gefahren ausgesetzt sind. "Durch Stellenabbau, Umstrukturierungen und Übernahmen entstehen Lücken in der IT-Security, welche von unzufriedenen Mitarbeitern, Geschäftspartnern oder externen Saboteuren gezielt gesucht und ausgenutzt werden", erklärt André Frehse, Manager Business Development bei it.sec. Firmen droht der Verlust wertvoller Daten und daraus resultieren negative juristische Folgen, finanzieller Schaden und ein beschädigtes Image. "Gerade in der derzeitig wirtschaftlich angespannten Situation kann dies weitaus gravierendere Folgen verursachen als üblich", fügt Frehse hinzu. In den USA ist bei einem amerikanischen Finanzdienstleister erst kürzlich ein derartiger Vorfall eingetreten: Durch Zufall hatte das interne IT-Team einen Wurm entdeckt, der Millionen von Hypothekeneintragungen gelöscht und den Zugriff auf das System für eine Woche unterbunden hätte. Ein früherer Mitarbeiter hatte den Wurm eingeschleust. Solche Vorfälle lassen sich jedoch leicht vermeiden. So empfiehlt Cloakware, Hersteller von Sicherheitslösungen, Firmen drei Maßnahmen, um die internen Daten besser abzuschirmen und die Kontrolle über die Zugriffe auf wichtige Datenbestände zu verbessern: · IT-Verantwortliche sollten zuerst dokumentieren, wer auf privilegierte Informationen und Systeme zugreifen darf. · In einem zweiten Schritt sollten angemessene Regelungen erlassen und umgesetzt werden, die sensible Daten vor unautorisiertem Zugriff schützen. · Schließlich sollten sie die Zugriffs- und Sicherheitsregeln regelmäßig an die aktuelle Situation angepasst und ihre Wirksamkeit überwacht werden. Insbesondere der Payment Card Industry Data Security Standard (PCI DSS) stellt hier zum Schutz Kreditkarten basierender Transaktionen klare Anforderungen an Unternehmen: · "Ändern von Kennwörtern und anderen Sicherheitseinstellungen nach der Werksauslieferung" · "Zuteilen einer eindeutigen Benutzerkennung für jede Person mit Rechnerzugang" "Gerade privilegierte Zugangskonten werden jedoch oft von mehreren Verantwortlichen geteilt", sagt Frehse. "Eine klare Verantwortungszuordnung ist häufig gar nicht möglich, eine Kontrolle der Einhaltung von Passwort-Policies zu aufwändig oder aus zeitlichen Gründen nicht machbar. Aus diesem Grund bieten wir nun auch die "Cloakware Password Authority" in unserem Portfolio an." Lesen sie zum Thema "Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de) Passwort Management im Rechenzentrum Cloakware Password Authority ist ein Produkt, das diese Herausforderungen umfassend adressiert. Es erneuert und aktualisiert automatisch und regelbasiert IDs und Passwörter, um den gesamten Prozess des Password Managements im Rechenzentrum zu unterstützen. Dies beinhaltet sowohl Server- und Datenbanksysteme, als auch Infrastrukturkomponenten wie Firewalls, Router oder Switches. Cloakware Password Authority ist als reine Softwarelösung und als Appliance erhältlich. Cloakware stärkt durch die Zusammenarbeit mit it.sec ihre Präsenz im europäischen Markt, während it.sec ihr Portfolio an Security-Lösungen für Governance, Risk und Compliance Management mit einer Lösung für Shared Account Password Management (SAPM) abrundet. IT-Manager sehen sich mit der Herausforderung konfrontiert, den Zugriff auf hartkodierte oder privilegierte Admin-Passwörter in Applikationen (A2A=Application to Application) zu kontrollieren. Gesetzliche Bestimmungen wie PCI, Sarbanes-Oxley Act SOX u. a machen ein Handeln unabdingbar. (it.sec: Cloakware: ma) |
||
|
