Revisionssichere Protokollierung: Sicherheitslücke beim Passwort-Management von Hosting-Providern

Hosting-Provider können dem nur durch ein konsistentes Management privilegierter Accounts begegnen

(30.09.11) - Hosting-Provider müssen ihren Kunden ein Höchstmaß an Sicherheit bieten. Dazu gehört auch ein professionelles Passwort-Management. In der Praxis wird jedoch insbesondere bei Administratoren-Accounts und -Passwörtern mit unzureichenden Verfahren gearbeitet. Cyber-Ark weist darauf hin, dass umfassender Schutz mit revisionssicherer Protokollierung nur Privileged-Identity-Management bietet.

Mehr und mehr lagern Unternehmen und private Nutzer Daten zu Hosting-Providern aus, sei es für einfache E-Mail-Services oder für umfangreiche E-Commerce-Plattformen. Hosting-Provider stellen für solche Aufgaben schnell skalierbare Ressourcen zu planbaren und überschaubaren Kosten bereit und bieten daher eine attraktive Alternative zum Betrieb eigener Systeme. Zentrale Anforderung ist dabei allerdings die Sicherheit der dem Provider anvertrauten Daten - der Anwender muss sich hundertprozentig darauf verlassen können, dass sein Provider das höchstmögliche Sicherheitsniveau realisiert.

In der Praxis setzen Hosting-Provider allerdings immer wieder Verfahren ein, die keinen optimalen Schutz bieten. Häufiger Schwachpunkt ist dabei das herkömmliche Account-Procedere für die Administratoren der Provider. Hier wird zur Vereinfachung beispielsweise mit gemeinsamen Administratoren-Accounts oder -Passwörtern gearbeitet, was nicht den aktuellen Datenschutz-bestimmungen entspricht und auch nicht durch die gängigen Zertifizierungen wie etwa SAS70 abgedeckt wird. Meist verfügt eine größere Gruppe von Administratoren über Shared-Account-Passwörter, so dass nicht nachvollzogen werden kann, wer zu welcher Zeit ein solches Passwort verwendet hat. Wenn ein Administrator das Unternehmen verlässt, sind aufwändige Änderungs-maßnahmen erforderlich; unterbleiben diese, was in der Praxis häufig der Fall ist, entstehen gefährliche Sicherheitslücken. Dabei haften die Hosting-Provider für die Daten ihrer Kunden.

Hosting-Provider können dem nur durch ein konsistentes Management privilegierter Accounts begegnen. Dazu gehört eine vollständige Zugriffskontrolle und Protokollierung von Administratoren-Accounts.

Mit durchgängigen Lösungen wie zum Beispiel dem "Enterprise Password Vault" (EPV) von Cyber-Ark werden die administrativen Zugänge zu IT-Systemen entsprechend der jeweiligen Security-Policy definiert. Durch eine starke Authentisierung und eindeutige Berechtigungsstrukturen können nur berechtigte Administratoren auf die Zielsysteme gelangen. Die dabei verwendeten One-Time-Passwörter personalisieren den sonst anonymen Zugriff über einen Shared Account.

Lesen Sie zum Thema "Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de)

Da alle Aktivitäten durch den Privileged Session Manager aufgezeichnet werden, ist eine revisionssichere Protokollierung der privilegierten Sitzungen - entsprechend gängiger Compliance-Vorgaben - sichergestellt. Dieser "Sprungbrett-Server" befindet sich zwischen Administrator und Zielsystem und kann sämtliche Schritte des Administrators an Servern oder Datenbanken detailliert protokollieren. Zusätzlich entfällt durch Privileged-Single-Sign-On-Mechanismen die Notwendigkeit der Herausgabe des Passworts an den Administrator. (Cyber-Ark: ra)