Was ist Privileged-Access-Management (PAM)?

06.01.2022
-Minuten Lesezeit
Matt Bates
Director of Tech Alliances

Einführung

Die privilegierte Zugriffsverwaltung gehört zu den obersten Prioritäten in Unternehmen. Laut Gartner ist „fast jeder erfolgreiche Sicherheitsverstoß auf ein Versagen der privilegierten Zugriffsverwaltung (Privileged-Access-Management, PAM) zurückzuführen“. Auch wenn wir bei Ping kein PAM anbieten, ist es unserer Ansicht ein wichtiger Bestandteil jeder Sicherheitsstrategie. Daher kooperieren wir mit mehreren Partnern, um diese kritischen Kontrollen einzubinden. Lesen Sie weiter, um mehr über das PAM und seine Bedeutung zu erfahren.

 

Als privilegierter Zugriff wird der Zugriff bzw. die Berechtigung bezeichnet, die über eine standardmäßige Nutzung hinausgeht, um den Zugang zu Systemen und sensiblen Daten zu schützen. Mit einem privilegierten Zugriff können Unternehmen ihre Infrastruktur und ihre Anwendungen absichern, erfolgreich ihren Geschäften nachgehen und für die Vertraulichkeit von empfindlichen Daten und einer kritischen Infrastruktur sorgen. Privilegierter Zugriff kann für menschliche Benutzer, aber auch für Software-Anwendungen eingerichtet werden. Dabei gibt es folgende Arten von privilegierten Konten:

 

  • Administrative Konten, beispielsweise für Administratoren von Systemen, Standorten und Domänen

  • Notfallkonten (auch als „Break Glass“- oder „Firecall“-Konten bezeichnet)

  • Servicekonten

  • Anwendungskonten

  • Konten für Domänendienste und Verzeichnisse

 

Privilegierte Konten mit breitgefächerten Möglichkeiten werden als Superuser-Konten bezeichnet. Ihre Funktionalitäten sind unbegrenzt und beinhalten auch Optionen für Systemänderungen, Zugriff auf alle Dateien und Verzeichnisse, das Installieren von Software und das Löschen von Daten.

Privileged-Access-Management in Vergleich zu Privileged-Account-Management und Privileged-Session-Management

Im Folgenden werden diese Begriffe, die Ihnen möglicherweise begegnen werden, kurz erläutert, und es wird erklärt, wie sie mit der privilegierten Zugriffsverwaltung in Verbindung stehen.

 

  • Privileged-Access-Management (privilegierte Zugriffsverwaltung) bezieht sich auf die Prozesse und Tools für das Sichern, Steuern und Überwachen eines privilegierten Zugriffs auf die geschäftskritischen Ressourcen und Daten eines Unternehmens.

     

  • Privileged-Account-Management (privilegierte Kontenverwaltung) bezieht sich auf das Verwalten und Überprüfen des Konto- und Datenzugriffs durch privilegierte Benutzer.

     

  • Privileged-Session-Management (privilegierte Sitzungsverwaltung) wird verwendet, um die Sitzung eines privilegierten Benutzers während ihrer gesamten Dauer zu beobachten, zu verwalten, zu dokumentieren und zu überwachen.

Warum ist Privileged-Access-Management (PAM) wichtig?

Privilegierte Konten sind ein wertvolles Ziel für Cyberkriminelle. „In 85% der Fälle ermöglichte der Diebstahl von Zugangsdaten zu privilegierten Konten den Zugriff der Cyberkriminellen auf kritische Systeme und/oder Daten“, berichtet eine aktuelle Studie von ThycoticCentrify. Der Diebstahl von Zugangsdaten erfolgte nicht nur durch externe Übeltäter, sondern auch durch Insider im Unternehmen, die ihre administrativen Berechtigungen für den unrechtmäßigen Zugriff auf kritische Ressourcen missbrauchten.

 

Wenn Zugriffskontrollen vorhanden sind, ist der Zugang von Standard-Benutzerkonten eingeschränkt. Privilegierte Konten ermöglichen den Zugriff auf die sensibelsten und geschäftskritischsten Bereiche des Unternehmens. Deshalb ist die Verwaltung privilegierter Konten so wichtig, um eine Gefährdung Ihres Unternehmens durch interne und externe Angreifer zu verhindern. Das PAM kann dazu verwendet werden, mehrere Angriffsvektoren auszuschalten und schützt gegen interne und externe Attacken.

 

Die privilegierte Zugriffsverwaltung wird in Verbindung mit Lösungen für das Identitäts- und Access-Management (IAM) verwendet, das im weiteren Verlauf ausführlicher erläutert wird. Das IAM verlangt von den Benutzern, sich zu authentifizieren und nachzuweisen, dass sie wirklich diejenigen Personen sind, für die sie sich ausgeben. Die Multi-Faktor-Authentifizierung ergänzt hierbei zusätzliche Sicherheitsebenen.

 

Was sind die Vorteile eines Privileged-Access-Managements (PAM)?

Lösungen für die Verwaltung privilegierter Zugriffe verringern das Risiko und das Ausmaß von Sicherheitsverletzungen. Mit privilegierten Benutzerkonten laufen die Dinge in Ihrem Unternehmen reibungsloser – von der Aktualisierung von Diensten über die Überwachung von IAM-Lösungen bis hin zum Schutz von Domänen vor DDoS-Attacken. Diese Art des Zugriffs und der Handlungsspielraum im Ihrem Netzwerk sind der Grund, warum diese Benutzerkonten für Cyberkriminelle so attraktiv sind. Die Übernahme von Superuser-Konten mit uneingeschränkten Berechtigungen für das Ausführen von Befehlen und Systemänderungen hat das maximale Potenzial für Ausbeutung und Missbrauch.

 

Dies sind einige der wichtigsten Vorteile eines PAM:

 

Verbesserung von Sicherheit, operative Performance und Zuverlässigkeit

Das PAM soll Cyberkriminelle abschrecken und kann den Überblick über Schwachstellen, das Inventar des Netzwerks und die Identitäts-Governance verbessern. Wenn der Zugang zu kritischen Ressourcen, Systemen und Prozessen auf privilegierte Konten beschränkt wird, erhöht dies die Verantwortlichkeit und verringert das Risiko von Ausfallzeiten.

 

Weniger Angriffsvektoren und eine schnellere Schadensbewertung

Bei einer Beschränkung der Privilegien auf eine minimale Anzahl von Personen, Prozessen und Anwendungen bleiben böswilligen Akteuren nur noch wenige Angriffsvektoren zur Auswahl. Das Installieren und Ausführen von Malware setzt beispielsweise häufig einen privilegierten Zugriff voraus. Sollte es dann zu einem Angriff kommen, können Sie mit einer PAM-Lösung umgehend privilegierte Konten überprüfen. Sie sehen, an welchen Stellen Änderungen vorgenommen wurden und erkennen gefährdete Anwendungen und Prozesse.

 

Einhaltung von Datenschutzvorschriften

Eine privilegierte Zugriffsverwaltung erleichtert die Gestaltung einer regelkonformen und revisionsfreundlichen Umgebung. Viele Bestimmungen, darunter auch der Health Insurance Portability and Accountability Act von 1996 (HIPAA), fordern Richtlinien für minimale Zugriffsrechte, die eine ordnungsgemäße Datenverwaltung und Systemsicherheit gewährleisten.

 

Unkomplizierte Verwaltung der Lebenszyklen von privilegierten Konten

Eine regelmäßige Überprüfung aller Benutzer und Konten mit privilegiertem Zugriff, wie unter anderem auch die von Drittanbietern, verringert das Risiko von Sicherheitsverletzungen. Wenn Sie eine rollenbasierte Zugriffskontrolle verwenden, sollten Sie sicherstellen, dass neue Benutzer zu privilegierten Konten hinzugefügt und ehemalige Mitarbeiter und/oder Auftragnehmer umgehend entfernt werden.

Wie funktioniert das Privileged-Access-Management (PAM)?

Lösungen für die privilegierte Zugriffsverwaltung ermöglichen es, Aktivitäten über diese Art von Zugriffen zu überwachen, zu berichten und aufzuzeichnen. Auf diese Weise können Administratoren den Überblick über den privilegierten Zugriff behalten und feststellen, wo er möglicherweise missbraucht wird. Administratoren müssen Anomalien und potenzielle Bedrohungen leicht erkennen können, wenn sie sofort Maßnahmen zur Schadensbegrenzung ergreifen sollen. Im Idealfall verfügt die PAM-Lösung über ein integriertes Warnsystem, um den Administrator auf unerwartete Aktivitäten aufmerksam zu machen.

 

Die privilegierte Zugriffsverwaltung arbeitet nach dem Least-Privilege-Prinzip (Prinzip minimaler Berechtigungen), so dass selbst privilegierte Benutzer nur auf das zugreifen dürfen, was sie benötigen. Die für diese Art von Verwaltung erforderlichen Tools sind in einer umfassenderen PAM-Lösung enthalten und für die verschiedenen Herausforderungen bei der Überwachung, dem Schutz und der Verwaltung von privilegierten Konten konzipiert.

 

PAM-Tools bieten folgende Anwendungsmöglichkeiten:

 

  • Identifizierung, Verwaltung und Überwachung privilegierter Konten in verschiedenen Systemen und Anwendungen.

  • Kontrolle des Zugriffs auf privilegierte Konten, einschließlich des Zugangs, der in Notfällen gemeinsam genutzt werden kann oder verfügbar gemacht wird.

  • Generieren von zufälligen, sicheren Zugangsdaten (z. B. Passwörter, Benutzernamen und Schlüssel) für privilegierte Konten.

  • Anbieten einer Zwei-Faktor- und einer Multi-Faktor-Authentifizierung.

  • Einschränkung und Kontrolle von privilegierten Befehlen, Aufgaben und Aktivitäten.

  • Verwalten der gemeinsamen Nutzung von Zugangsdaten für verschiedene Dienste, um die Offenlegung einzudämmen.

Was ist der Unterschied zwischen Privileged-Access-Management (PAM) und Identitäts- und Access-Management (IAM)?

Beginnen wir mit den Gemeinsamkeiten ... Das Identitäts- und Access-Management (IAM) und das Privileged-Access-Management (PAM) greifen ineinander, um die Ressourcen eines Unternehmens zu sichern. Sowohl das PAM als auch das IAM beschränken den Zugriff auf Ressourcen nach dem Prinzip minimaler Berechtigungen, d. h. die Berechtigung ist auf die vom Benutzer benötigten Ressourcen beschränkt. So können IAM-Zugriffskontrollen beispielsweise sicherstellen, dass Vertriebsteams auf CRM-Systeme zugreifen können, nicht aber auf die vertraulichen Mitarbeiterdateien der Personalabteilung. PAM-Kontrollen sorgen dafür, dass ein lokaler Administrator nicht auf dieselben Ressourcen zugreifen kann wie ein Superuser-Konto. Sowohl das IAM als auch das PAM machen das manuelle On- und Offboarding von Benutzern mithilfe von automatisierter Provisionierung überflüssig. Just-in-Time-Privilegien (JIT) dienen als zusätzliche Sicherheitsebene, indem sie den Zugriff nur für einen bestimmten Zweck und/oder für einen begrenzten Zeitraum gestatten.

 

Der Bericht über Kosten einer Datenschutzverletzung 2021 von IBM gibt an, dass „kompromittierte Zugangsdaten (anfänglich der häufigste Angriffsvektor) für 20 % der Sicherheitsverletzungen verantwortlich sind und durchschnittliche Kosten von 4,37 Millionen US-Dollar erzeugten.“ Unternehmen benötigen Lösungen, die alle Benutzer vor dem Missbrauch ihrer kompromittierten Zugangsdaten schützen, zu denen auch die privilegierten Konten von Administratoren kritischer Infrastrukturen, Daten und Anwendungen gehören. Unternehmen verlassen sich zunehmend auf die Sicherheit eines Zero-Trust-Ansatzes, bei dem es kein Vertrauen gibt und jeder überprüft wird – vor allem Benutzer mit privilegiertem Zugriff. Sowohl IAM als auch PAM sind Bestandteil des Zero-Trust-Sicherheitskonzepts.

 

[MUSIC] Hey, welcome to this fast chat exploring why zero trust starts with identity.
I'm Black Hat contributing editor Alex Wawro and with us today is Baber Amin, CTO west for Ping Identity.
Baber, thanks for joining us.
>> Thank you, Alex.
>> All right, let's get right into it.
I think first let's ask like what are the essential components of zero trust?
And why is identity key?
>> So, well the one essential component of zero trust is identification right?
If you don't know who somebody else is, then, you're you're starting off on the wrong foot.
And that's one of the reasons why identity is key.
Because you're not relying on any discrete events anymore.
You're not relying on any discrete mechanisms, but it's more of continuously verifying and and evaluating trust in the person or the device or the process.
>> So what are some easy wins for people who are looking to get started with zero trust?
>> So we get asked that a lot, right and I always tell people look, again start with proofing, so making sure that who it is from before you give somebody a credential and then move to authentication.
Then move to access and then move to consolidating your data stores.
Like a lot of people think, let me just consolidate my data stores.
And you know that project takes forever and it never succeeds because it never finishes.
>> Yeah.
So what type of companies do you think would benefit most from a zero trust approach?
>> Well, I used to say that you know, if you have a lot of people that are remote workers, they would benefit the most.
But given that everybody is remote now, I say everybody can benefit, because without zero trust, which is really a bad name for this, right?
Because it's not like you don't trust anything it's that you don't trust anything by default, right in a static manner, so a better name would be maybe ephemeral trust or something like that.
But everybody benefits from that, especially nowadays when you have all folks working remotely in giving things like telehealth or even the proofing that a doctor can prescribe you medicine they have to go through a certain amount of proofing.
That they are credentialed and everything else so that that used to be all in person, new employees.
Right?
>> Right.
>> When you get a new employee on board, you check their authorization to work the I9 form all of that, that used to be in person.
So all of that has to be remote now too, so pretty much everybody benefits from implementing zero trust principles.
>> So, besides technologies like what are the key things people need to know about the people and processes required for zero trust?
>> Yes.
So that's another place where people think that zero trust is some silver bullet and if I implement these four things, and yay, I'm good to go.
[LAUGH] But security is a people problem and a people solution.
The worst thing in security and the biggest hole in security is the combination of the person, email and clicking on links.
Because that violates no matter what kind of firewalls you put up no matter what kind of gates you put up.
It's that one person who didn't think about it or just clicked on it, right?
So that's the weakest link.
So processes become very important because it's educating your folks.
Look, don't do this or, don't connect to systems, don't download information to your machine that is not a possibly have the same level of security or patches on it right?
Don't download super secret documents to grandma's PC that has never been patched for the last 10 years.
And just because you need to work on something right after Thanksgiving dinner.
That is if we get to go to grandma's house this year.
So, yeah, people, processes, education and in really getting that buy in from your organization is very, very important.
>> Yeah, that makes a lot of sense.
Well Baber, thank you so much for joining us today and thanks everyone for taking part.
>> Thank you, Alex.
[MUSIC]

 

Identitäts- und Access-Management (IAM)

Das Identitäts- und Access-Management (IAM) ist ein Sicherheits-Framework, das Unternehmen die Authentifizierung und Kontrolle der Zugriffsberechtigungen von Benutzern ermöglicht. Unternehmen können IAM-Lösungen für ihre Kunden, Mitarbeiter und Partner wählen. Obwohl das Funktionsspektrum breit gefächert ist, wird ein IAM normalerweise für die Autorisierung und Authentifizierung genutzt, wie unter anderem mit:

 

  • Single Sign-on (SSO) Die Benutzer erhalten Zugriff auf mehrere Dienste und Ressourcen mit nur einer einzigen Anmeldung und einem einzigen Satz an Zugangsdaten

     

  • Multi-Faktor-Authentifizierung (MFA) Sie fordert Benutzer auf, zwei oder mehr Faktoren als Identitätsnachweis anzugeben, um höhere Gewissheit über die Identität eines Benutzers zu erhalten

     

  • Zugriffsmanagement Es sorgt dafür, dass die richtigen Personen ausschließlich auf die für sie vorgesehenen Ressourcen zugreifen können.

 

Privileged-Access-Management (PAM)

Das Privileged-Access-Management (PAM) konzentriert sich auf privilegierte Benutzer, um deren Zugriff auf Server, Cloud-Anwendungen und APIs, DevOps, Datenbanken, Verzeichnisse und andere Ressourcen zu überwachen und zu kontrollieren.

Privileged-Access-Management (PAM) und Identitäts- und Access-Management (IAM) unterstützen sich gegenseitig

Die Kombination aus privilegierter Zugriffsverwaltung und der Verwaltung von Identität und Zugriff verbessert die Sicherheitslage Ihres Unternehmens. PAM und IAM haben die Aufgabe, sich gegenseitig zu unterstützen und abzuschirmen. Das IAM sorgt für einen reibungslosen und sicheren Zugriff für privilegierte Benutzer. PAM-Lösungen verstärken den Schutz der Zugangsdaten für IAM-Administratoren und privilegierte Benutzer. Die Benutzer werden zunächst mit Single Sign-on authentifiziert und durchlaufen anschließend aufgrund des heiklen Charakters dieser Zugriffsanfrage eine Multi-Faktor-Authentifizierung, um die privilegierten Konten zu schützen.

Welches sind die Best Practices für ein Privileged-Access-Management (PAM)?

Die Einhaltung der Best Practices ermöglicht Ihnen den Schutz Ihrer Systeme und den optimalen Nutzen Ihrer PAM-Lösung. Gartner nennt folgende vier Pfeiler für das PAM:

 

  1. Verfolgen und Absichern aller privilegierten Konten

  2. Regelung und Kontrolle des Zugriffs

  3. Protokollieren und Prüfen privilegierter Aktivitäten

  4. Operationalisieren privilegierter Aufgaben

 

Diese Pfeiler lassen sich in die folgenden PAM-Best-Practices unterteilen:

 

  • Authentifizierung aller Benutzer ohne Ausnahme. Verhindern Sie mit Identitätsverifizierung, Zwei-Faktor-Authentifizierung, Multi-Faktor-Authentifizierung oder andere Tools, dass Cyberkriminelle mit kompromittierten Zugangsdaten auf Konten zugreifen, bevor sie in Ihr Netzwerk einzudringen können. 

     

  • Einhaltung des Least-Privilege-Prinzips. Sorgen Sie dafür, dass alle Konten nur für den Zugriff auf Ressourcen berechtigt sind, die sie tatsächlich benötigen und nicht mehr. Das gilt auch für privilegierte Konten.

     

  • Halten Sie PAM-Lösungen auf dem neuesten Stand. Achten Sie auf die Vollständigkeit und Aktualität ihrer Listen mit privilegierten Konten. Erwägen Sie bei Bedarf einen zeitlich begrenzten anstelle eines ständigen Zugangs. Stellen Sie außerdem sicher, dass die PAM-Anwendungen immer auf dem neuesten Stand sind.

     

  • Automatisierung nach Möglichkeit. Rationalisieren Sie Abläufe und automatisieren Sie Aufgaben, wo immer dies möglich ist. Dies verringert das Risiko menschlichen Versagens und kann verhindern, dass böswillige Akteure in die Abläufe eingreifen.

     

  • Monitoring, Protokollierung und Prüfung aller privilegierten Konten. Privilegierte Konten können über den Erfolg oder Misserfolg Ihres Unternehmens entscheiden. Überwachen und protokollieren Sie die Aktivitäten privilegierten Konten kontinuierlich und prüfen Sie die Protokolle auf Erkenntnisse, potenzielle Risiken und Anomalien.

     

  • Informieren Sie privilegierte Benutzer mithilfe von Dokumentationen über Richtlinien und Verfahren. Privilegierte Benutzer müssen über Richtlinien, Verfahren und Systeme Bescheid wissen. Bieten Sie laufende Schulungen zu Anwendungen, Verfahren, Bedrohungen und Trends an.

 

Weitere Informationen über die Lösungen von Ping für das Identitäts- und Access-Management (IAM) und wie sie in Verbindung mit den Privileged-Account-Management-Lösungen (PAM) unserer Partner eingesetzt werden können, finden Sie unter Was ist Identitäts- und Access-Management (IAM)?

Diesen Artikel teilen:
Verwandte Ressourcen
Transformation der CIAM-Strategie in ein Profitcenter für Finanzdienstleistungen
03.07.2024
Verwandeln Sie CIAM in ein Profitcenter für Finanzdienstleistungen, um nahtlose und sichere digitale Erlebnisse zu bieten.
Ping Identity im Critical Capabilities-Bericht 2023 positioniert
Dustin Maxey
01.12.2023
Ping Identity wurde in allen vier Nutzungsszenarien des Gartner Critical Capabilities Report 2023 unter den beiden bestplatzierten Anbietern positioniert.

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Ihnen helfen kann, sichere Erlebnisse für Mitarbeiter, Partner und Kunden in einer sich schnell wandelnden digitalen Welt zu bieten.