Grenzen des Managements

«Identity and Access Management allein wird der Aufgabe nicht mehr gerecht», sagt auch Stefan Rabben, Area Director DACH & Eastern Europe bei Wallix. Der französische Anbieter von Security-Lösungen beschäftigt sich auch mit privilegierten Accounts und ihrem Schutz.

Genau diese Benutzerkonten benötigen nach Ansicht von Rabben einen höheren Sicherheitsstandard. Wenn ein Unternehmen sie nur genauso schütze wie normale Accounts, dann sei das, so Rabben, «als würde man einen Banktresor mit einem Fahrradschloss schützen». Ein Privileged Account Management könne für die Einhaltung der Vorgaben sorgen, die zum Beispiel das IAM macht. Ähnlich wie die Polizei über­wache es «Aktivitäten durch privilegierte Identitäten am Zielsystem, protokolliert sie und greift bei regelwidrigen Handlungen aktiv ein».

Rabben tritt zudem dafür ein, dass die Zugangsdaten für privilegierte Konten an kritischen Systemen dem Wartungspersonal und den Administratoren nicht mehr bekannt sein sollten. «So können die Auswirkungen eines Identitätsdiebstahls privilegierter Accounts minimiert werden.» Stattdessen sollten diese Zugangsdaten zentral in einem sicheren Passwort-Vault verwahrt werden. Das ermögliche komplexe, durch das System generierte, rotierende Passwörter. Die Massnahme habe den Vorteil, dass erweiterte Berechtigungen passend zur Aufgabe am Zielsystem vergeben werden könnten und nicht mehr generell einer Person zugeordnet werden müssten, wie es oft noch üblich sei.

IAM- und PAM-Lösungen sind auch nach Ansicht von Martin Grauel unverzichtbar. Grauel ist EMEA Technical Sales Manager bei One Identity, einem Spezialisten für Identity Governance, Zugriffssteuerung und die Verwaltung privilegierter Konten. Aktuelle IAM-Lösungen müssten ihre Funktionen innerhalb der gesamten Infrastruktur bereitstellen, die ein modernes Unternehmen heute nutzt, also sowohl On-Premise als auch in der Cloud und in hybriden Umgebungen. Systeme zum Schutz privilegierter Accounts seien dabei «ein wichtiger Baustein eines IAM-Gesamtkonzepts und nicht davon losgelöst».

Privilegierte Konten sind im Geschäftsalltag unbedingt erforderlich. Aber sie bergen auch erhebliche Risiken, wenn sie nicht ausreichend geschützt werden. Sie sind der Schlüssel zu wertvollen Unternehmensdaten, der auf keinen Fall in die falschen Hände geraten darf.

Unternehmen können sich jedoch wappnen. Ein IAM-System reicht für die Aufgabe, diese Art Identitätsdiebstahl zu verhindern, allein nicht aus. Besser ist es, die meist bereits genutzte Lösung für das Identitätsmanagement um ein PAM-System zum Schutz der privilegierten Accounts zu erweitern. Da­mit werden alle Administrator-Sitzungen aufgezeichnet, gespeichert und auf potenziell verdächtige Aktivitäten untersucht.