Rubrik: Produkte/System-, Netzwerk-, Datenbank- und Softwaremanagement

"Privileged Identity Management Suite" stellt Zugriffskontrolle für privilegierte Accounts durch Einweg-IDs sicher

Missbrauch von Superuser-Accounts bedroht Unternehmens-IT

(08.07.11) - Administratoren-Accounts bergen bei Missbrauch durch ihre weit reichenden Rechte eine große Bedrohung für Unternehmen. Aus diesem Grund befassen sich neben der internen IT-Revision auch verschiedene Compliance-Richtlinien mit solchen Accounts. Unternehmen werden gemäß Basel II, SAS70, ISO 27001, PCI-DSS und dem Sarbanes-Oxley-Act dazu angehalten, den Zugriff auf solche Nutzerkennungen genau zu überwachen. Kontrollorgane wie Wirtschaftsprüfer oder BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) überprüfen, ob ausreichende Maßnahmen dafür getroffen werden. Dieses unnötige Risiko soll die "Privileged Identity Management Suite" (PIM) von Cyber-Ark vermeiden.

Die Überwachung wird aber durch die schiere Menge an Superuser-Accounts erschwert. Jede Anwendung und jedes System verfügt über Admin-Accounts - davon kann ein einzelner kompromittierter Account als Einfallstor in die Unternehmens-IT dienen. Begünstigt wird das, wenn die Aktivitäten von Superusern nicht dokumentiert werden oder wenn die Accounts gleich mehreren Personen zur Verfügung stehen. Zudem führt der regelmäßige Wechsel der Passwörter bei vielen zu überwachenden Superuser-Accounts zu einem erheblichen administrativen Aufwand und unterbleibt daher häufig ganz.

Verschiedene Situationen begünstigen die missbräuchliche Nutzung von privilegierten Accounts. Vor allem in wirtschaftlich flauen Zeiten versuchen skrupellose Unternehmen, Kosten etwa in der Produktentwicklung einzusparen, und sich durch Wirtschaftsspionage einen Wettbewerbsvorteil zu verschaffen. Beliebt ist dann die Ausspähung von Mitarbeiterpasswörtern durch Social Engineering. Hier nutzt ein Angreifer Informationen über sein Opfer und manipuliert es, um an Geschäfts-geheimnisse zu gelangen.

Die Gefahr geht aber nicht nur von proaktiven Versuchen des Wettbewerbs aus: Bei einer schlechten Motivationslage der Mitarbeiter oder einer daraus resultierenden verstärkten Mitarbeiterfluktuation - ob aus Sorge um die finanzielle Zukunft oder auch aus Rache - werden Angestellte vor allem bei Kündigungen empfänglich für Wirtschaftsspionage. Manche Experten schätzen, dass über die Hälfte der scheidenden Angestellten vertrauliche Daten ihres Arbeitgebers mitgehen lassen. Hinzu kommt, dass ein Großteil auch nach Verlassen des Unternehmens immer noch Zugang zu internen Daten hat - damit ist dem Missbrauch Tür und Tor geöffnet. Meistens geschieht das unbemerkt, wenn keine Tracking-Software zur Überwachung von Dateizugriffen im Einsatz ist. Bemerkbar hingegen sind Sabotage-Akte, die neben der reinen Datenspionage auftreten können. In diesem Fall sind ungewöhnliche Veränderungen am Datenbestand ein Indiz für unbefugten Zugriff.

Neben den eigenen Mitarbeitern sollten externe Administratoren bei der Risikoabschätzung nicht vergessen werden. Wenn eine Beratungsfirma die Administration übernimmt, ist die Gefahr dort zwar geringer, doch kann bei Beschäftigung vieler unabhängiger externer Administratoren ohne Festsetzung von Kontrollmechanismen oder strikten Regeln zum Datenschutz ein potentieller Missbrauch von Account-Informationen nicht ausgeschlossen werden.

Um IT-Verantwortlichen die sichere Verwendung von Superuser-Kennungen zu erleichtern, bietet Cyber-Ark die Privileged Identity Management Suite (PIM) an. Die Suite wird zwischen Anwender und Account geschaltet und stellt die Zugriffskontrolle für privilegierte Accounts durch Einweg-IDs sicher, überwacht die Aktivitäten und verwaltet die Zugriffsdaten von Administratoren.

Die Lösung deckt außer dem Shared Account/Software Account Password Management (SAPM) auch das "Superuser Privilege Management" (SUPM) ab und eignet sich damit als zentrales Tool für die Verwaltung sämtlicher privilegierter User-Accounts eines Unternehmens. PIM besteht aus vier Komponenten:

·         Der Enterprise Password Vault fungiert als "Tresor für Passwörter", in dem Zugriffskennungen sicher hinterlegt und einem policy-gesteuerten, permanenten Wechsel unterzogen werden.

·         Der Privileged Session Manager steuert und überwacht sämtliche Zugriffe und Vorgänge von privilegierten Usern.

·         Mit dem On-Demand Privileges Manager ist die Überwachung und individuelle, granulare Steuerung der Rechte von Superusern auf Unix-Systemen möglich.

·         Der Application Identity Manager übernimmt bei automatisierten Zugriffen durch Anwendungen die Aufgabe, Anwendungen den Umgang mit dynamischen Passwörtern, beispielsweise in Datenbanken, zu ermöglichen.

(Cyber-Ark: ma)