IT-Sicherheit: Administration & Authentifizierung

Privilege Management: Nachhaltig & sicher administrieren

22.06.2016
Von 


Matthias Reinwarth ist Senior Analyst bei KuppingerCole und steuert als Lead Advisor das Beratungsgeschäft. Als Director Practice für das Identity & Access Management koordiniert er dieses Thema für alle Tätigkeitsbereiche des Unternehmens. Er veröffentlicht regelmäßig Blogbeiträge und Researchpaper zu IAM, Governance, Cybersecurity, aber auch darüber hinaus.
Die konsequente und weitreichende Umsetzung von Maßnahmen zum Privilege Management erfordert eine strategische Herangehensweise von technischer und organisatorischer Seite.

In vielen Organisationen ist über die Jahre die Erkenntnis gewachsen, dass der Zugriff auf hoch privilegierte Konten innerhalb einer IT-Landschaft mit hohen Risiken verbunden ist. Gerade in Organisationen, die regulatorischen oder gesetzlichen Anforderungen unterworfen sind, zum Beispiel Unternehmen im Bereich der Finanzdienstleistungen, helfen bei dieser Erkenntnis auch gerne mal externe Auditoren und entsprechende Findings in Prüfberichten nach.

Privilege Management sorgt durch die Kombination einer Vielzahl von Funktionen für eine umfassende Administration und Überwachung privilegierter Konten. Diese Funktionalitäten umfassen beispielsweise die zentrale Verwaltung von Zugangsdaten wie Passwörtern und Schlüsseln, die Beantragung, Genehmigung und Überwachung/Protokollierung von administrativen Sitzungen und bilden damit eine wichtige Grundlage für die konsequente Umsetzung des Prinzips der minimalen Rechte auch im administrativen Umfeld.

Schutz administrativer Privilegien vor Missbrauch, Angriff und Fehler

Dabei liegt die Notwendigkeit für den besonderen Schutz administrativer Konten eigentlich auf der Hand. Sei es der Datenbank-Administrator, der Domänen-Administrator in einer Active-Directory-Domäne oder der sprichwörtliche root-Account auf einem Unix System: Allen diesen Konten ist gemeinsam, dass mit ihnen und mit nur wenigen Kommandos zentrale Infrastrukturen korrumpiert, Daten exfiltriert, Systeme abgeschaltet oder irreparabel zerstört werden können. Gleiches gilt für die Accounts von Administratoren von Netzwerkkomponenten wie Routern oder Switches, den Administratoren von Mainframe Systemen, Virtualisierungs-Plattformen, Web- und Application Servern oder storage devices.

Ganz neue Arten von Administratoren bringt die rapide steigende Nutzung von Cloud-Diensten im Spannungsfeld zwischen Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS) mit sich, die ganz ähnlichen Anforderungen für die Kontrolle dieser Konten stellt. Mit Blick auf die in diesen Umgebungen praktizierte geteilte Verantwortung zwischen den Administratoren des Cloud Service Providers und des Kundenunternehmens entstehen hier auch weitreichend unterschiedliche Anforderungen an die Wahrnehmung und die Dokumentation einer angemessenen Kontrolle des Einsatzes administrativer Accounts.

Gerne vergessen werden in diesem Zusammenhang die Administratoren von Operational Technology (OT), also von Systemen, wie sie beispielsweise beim Betrieb in der verarbeitenden oder produzierenden Industrie, aber auch in Kraftwerken oder weiteren Infrastrukturbetrieben eingesetzt werden.

Fokus auch auf Business-Administratoren

Denkt man üblicherweise nur an die technischen Administratoren von Infrastrukturen, so sind auch hoch privilegierte Businessanwender von Fachsystemen zwischen SAP und Siebel, zum Beispiel mit der Berechtigung zur Änderung von Stammdaten durchaus ebenfalls als administrative Konten zu betrachten. Der Paradigmenwechsel hin zu den so genannten connected enterprises sorgt hierbei dafür, dass diese hoch privilegierten Businessanwender im Einzelfall vielleicht nicht einmal mehr Mitarbeiter des eigenen Unternehmens/Konzerns sind, sondern bei Partnern unter Vertrag stehen.

Saßen Administratoren vor nicht allzu langer Zeit im eigenen Unternehmen in der IT Abteilung, so hat sich auch dieses Bild heute vollständig geändert: Der ungebremste Trend zum Outsourcing in vielerlei Szenarien zwischen near-shore und off-shore sorgt dafür, dass Administratoren nicht mal mehr im gleichen Land oder Wirtschaftsraum angesiedelt sind und je nach ausgewähltem Dienstleister auch durchaus die eingesetzten Administratoren einer hohen Fluktuation unterliegen.

Nur langsame Umsetzung in der Unternehmenspraxis

Auch wenn grundlegend die Zahl der Unternehmen, die Privilege Management als notwendige Aufgabe verstanden haben, immer noch um Dimensionen zu gering ist (womit sich zwangsläufig eine beunruhigend große Menge an Unternehmen ergibt, die keinerlei angemessener Handhabung administrativer Konten pflegen), so steigt der Umfang des Einsatzes entsprechender Werkzeuge doch langsam und kontinuierlich in den Unternehmen an.

Die Praxis zeigt, dass Projekte im Bereich der Überwachung und Administration privilegierter Konten nach einiger Zeit die notwendige Umsetzungsgeschwindigkeit verlieren. Oft aus der Not heraus geboren, konkrete Audit-Moniten für bestimmte Systeme zu beheben, wird leistungsfähige und oft auch kostenintensive Privilege-Management-Software beschafft, um aber dann nur Punktlösungen bereitzustellen. Und ist der Makel im Auditbericht dann behoben, so sinkt oft das Interesse an einer weiteren, strategischen Umsetzung einer solchen Lösung über alle relevanten System hinweg.

Gründe für Scheitern und Stagnieren

Doch darüber hinaus sind viele weitere Gründe für das Scheitern oder Stagnieren von solchen Projekten denkbar: Diese reichen von konkreten Budget-Problemen und Problemen bei der Bereitstellung des für die Umsetzung benötigten Personals oder anderer Ressourcen bis hin zum aktiven oder passiven Widerstand der betroffenen Administratoren. Aber auch bei der Konzeption eines solchen Projektes können viele wichtige Aspekte übersehen werden: Die Komplexität einer zu integrierenden, technischen Lösung wird insbesondere dann gerne unterschätzt, wenn sie schon lange etabliert ist und die notwendige Expertise vielleicht nicht mehr im Unternehmen vorhanden ist. Viele Unternehmen sind überrascht, wenn sie die schiere Anzahl der anzubindenden Endsysteme ermittelt haben, im Einzelfall kann es sich auch durchaus um mangelnde Fähigkeiten der eingesetzten Privilege-Management-Software bei der Handhabung exotischerer Zielsysteme handeln. Übertriebene Sicherheitsanforderungen, unrealistische Zeitpläne und das immer noch tief in vielen Unternehmen verwurzelte Silodenken, das eine übergreifende Kommunikation zwischen unterschiedlichen IT-Teams nachhaltig verhindert, bewirken ein Übriges.

Sicherheit als Herausforderung an das Management

Die Notwendigkeit eines angemessenen Managements privilegierte Konten ist unbestritten und ist eine zentrale Herausforderung für praktisch jedes Unternehmen jetzt und in der Zukunft. Die Definition, Umsetzung und kontinuierliche Weiterentwicklung dieser essentiellen Sicherheits-Funktionen kann deshalb nur unternehmensweit und als strategische Managementaufgabe begriffen werden.

Grundlage hierfür ist, dass Sicherheit, Governance und damit auch das Privilege Management als strategische Unternehmensziele begriffen werden. Unabhängig von den Notwendigkeiten, die durch externe Regulatoren und die gesetzlichen Rahmenbedingungen definiert werden, kann kein Unternehmen die Auswirkungen ignorieren, die durch den unsachgemäßen und ungewollten Gebrauch administrativer Berechtigungen durch eigene und externe Administratoren, aber auch Angreifer von innen wie außen hervorgerufen werden können. Reputationsverlust, Haftungs- und Imageschäden bei Kunden wie Mitarbeitern, der Verlust von Kundendaten oder die umfassende Beeinträchtigung der Existenzgrundlage eines Unternehmens sind hierbei durchaus realistische Szenarien, deren Eintreten auch einem ansonsten nicht IT-affinen Management vermittelt werden können.

Goldene Regeln für ein erfolgreiches Privilege Management

Eine erste Basis an goldenen Regeln für eine erfolgreiche Umsetzung der Handhabung administrativer Konten lässt sich beispielhaft wie folgt umreißen: Ein angemessen implementiertes Privilege Management hat starken Support durch das Management des Unternehmens und ist langfristig und nachhaltig mit Budget versehen. Es ist nicht als reine IT-Aufgabe verstanden, sondern wird in einer Projekt-/Programm-Organisation repräsentiert, in der alle relevanten Ansprechpartner im Unternehmen, von der Business Seite bis hin zum Administrator selbst, involviert sind. Diese Organisation sorgt dafür, dass Privilege Management als eingebettete, begleitende Sicherheitsfunktion implementiert und qualitativ (konsequente Verbesserung der Prozesse) wie quantitativ (Menge der angebundenen Zielsysteme) kontinuierlich weiterentwickelt wird. Dies bedingt eine sinnvolle, phasenorientierte Umsetzung, die im Idealfall auch risikoorientiert ist. Damit ist gewährleistet, dass klar definierte, erreichbare Ziele umgesetzt und kommuniziert werden können. Natürlich ist ein Privilege Management immer auch als Teil einer ganzheitlichen Sicherheits-Infrastruktur zu verstehen, das heißt, es ist wohl-integriert etwa in Systeme für Identity und Access Management, in Access Governance und Analytics, aber auch in Systeme für das Security Information und Event Management (SIEM), Real Time Security Intelligence (RTSI) und damit als Bestandteil einer Architektur für ein Security Operations Center (SOC).

Für viele Unternehmen kann und darf sich nicht mehr die Frage stellen, ob man ein Privilege Management umsetzen muss, die Frage kann (neben der Frage, warum es nicht schon lange implementiert ist) nur noch lauten, wie man zu einem nachhaltigen, wohl-integrierten, Business-orientierten und nicht zuletzt auch Audit-sicheren Privilege Management kommt. (fm)