PIM, PAM, IAM und andere Access Management Akronyme haben eins gemeinsam – Dies sind alles Lösungen um Sensitive Assets eines Unternehmens abzusichern.  Diese Begriffe schützen Daten und Systeme durch das Management wer auf sie Zugriff hat und was derjenige dann sehen und tun kann. Klar ist hier auch das sich verschiedene Definitionen etwas überschneiden können und daher Leute dazu neigen diese als komplett austauschbar anzusehen und dies stiftet dann diese Verwirrung. 

„Privilege Management“ vs „Privileged Access Management“ vs „Privileged Account Management“

Man hört oft die Wörter „privilege“ oder „privileged“ im Zusammenhang mit dem Wort „Management“, wobei „privilege Management“ einen Prozess beschreibt der managt wer und was Privilegien im Unternehmen bzw. Netzwerk hat. Dies steht im Gegensatz zu „privileged Account Management“ welches den Prozess beschreibt der Accounts mit gewissen Privilegien „privileges“ managt. Wobei diese „privileged Accounts“ oft der Schlüssel zu den sehr kritischen Informationen eines Unternehmens sind. 

„Privileged Accounts“ können natürliche Personen aber auch nicht-natürliche Personen (z.B. technische Accounts von Diensten und Prozessen) sein. Diese Accounts gestatten es den IT-Administratoren Applikationen, Software und Hardware zu managen. Sie beinhalten auch des öfteren administrativen oder einen spezialisierten Level an höheren Zugriffsrechten welche dann auch unter den Admins für gewisse Aufgaben geteilt werden. Ein typischer User eines „privileged Accounts“ ist ein System-Administrator der für ein bestimmtes Environment zuständig ist, oder ein IT-Administrator der für eine bestimmte Software oder Hardware zuständig ist.

„Identity Management“ vs „Privileged Identity & Access Management“

Der Bereich des „privileged Identity & Access Management“ ist als ein Teil des breiten Spektrums des „Identity & Access Managements“ zu sehen. Wie auch immer ist das „Identity & Access Management“ untrennbar mit dem Bereich „Privileged Identity & Access Management“ verbunden, wobei die entsprechenden Software Tools und Lösungen immer anspruchsvoller werden und die Abgrenzungen zwischen den Lösungen immer mehr verwischen. 

Identity Management referenziert Atribute von Identitäten, wobei nur bestimmt Personen eines Unternehmens wie z.B. IT Administratoren oder Mitarbeiter aus der HR Abteilung diese Attribute verändern können. Der Kern des Identity & Access Management ist es das nur eine Identität zu einer Person gehört. Sobald diese digitale Identität angelegt wurde muss diese mittels des Identity & Access Managements gepflegt, verwaltet und modifiziert und überwacht werden. 

„Privileged Identity & Access Management“ ist ein Teil des „Identity & Access Managements“, um Berechtigungen zu managen, nicht von einzelnen individuellen Usern, sondern von sogenannten „shared Accounts“ (Accounts die von mehreren Usern genutzt werden) wie z.B. Super User Accounts, Administratoren und Service Accounts. PAM Lösungen sind anders wie IAM Lösungen eher Passwort Manager zum Schutz und Management von allen „Privileged Accounts“. Ausgereifte PAM Lösungen gehen viel weiter als nur zu dem einfachen Passwort Management und der Zugriffskontrolle auf Systeme, sondern stellen auch eine einheitliche, robuste und wichtige transparente Plattform zur Verfügung, welche sich nahtlos in die „Identity & Access Management“ Strategie eines Unternehmens integrieren lässt.

Was sind die größten Risiken im Bezug auf unbekannte und nicht gemanagte Accounts?

Ein unbekannter „privileged Account“ ist ein Account der meistens im System vergessen wurde. Einige Unternehmen haben wenige unbekannte „privileged Accounts“ andere Unternehmen haben allerdings auch tausende solcher unbekannten „privileged Accounts“. Es gibt einige Gründe warum ein Account unbekannt werden kann:

• Ein Mitarbeiter verlässt das Unternehmen und es wird vergessen seinen Account zu löschen oder zu sperren.
• Ein Account wird wenig genutzt, solange bis er verweist oder vergessen wird.
• Default Accounts von neuen Geräten werden nie genutzt und daher auch nicht geändert bzw. gesperrt oder gelöscht.

Jeder unbekannte Account erhöht das Risiko der Angreifbarkeit und präsentiert so eine Möglichkeit für einen Hackerangriff. Im folgenden sind einige Möglichkeiten aufgeführt die passieren können, wenn es unbekannte „privileged Accounts“ in einem Unternehmen gibt:

• Ein Mitarbeiter findet den unbekannten Account und führt mit diesem nicht autorisierte Aktionen durch.
• Ein ehemaliger Mitarbeiter verwendet den Account weiterhin.
• Ein Hacker findet den Account und greift das Unternehmen an, stiehlt Daten und wichtige Informationen und richtet so ein heilloses Chaos im Unternehmen an.

Wie kann PAM Software Hackerangriffe und andere externe Bedrohungen vereiteln?

Effiziente PAM Lösungen stellen eine Vielzahl an Features zur Verfügung um „privileged Accounts“ zu managen um so Cyber Attacken zu verhindern. Diese Lösungen können in einem Unternehmen alle „privileged Accounts“ aufspüren und in einer sicheren, verschlüsselten Datenbank – dem sogenannten „Password Vault“  (Passwort-Tresor) – speichern. Sobald alle „privileged Accounts“ mit allen ihren Credentials dort abgelegt sind, können diese PAM Lösungen die einzelnen Sessions, Passwörter und Zugriffe automatisch managen. Die Kombination all dieser Features wie z.B. das Verbergen von Passwörtern von bestimmten Usern, auto-rotating (automatischer Wechsel oder Rotation) von bestimmten Passwörtern, die Aufzeichnung von Sessions, Auditing und Multi-Factor Authentication bilden eine robuste Lösung gegen externe Bedrohungen und Angriffe. 

Wie kann eine Privileged Access Management Software ein Unternehmen vor internen Angriffen bzw. Bedrohungen schützen?

PAM Lösungen haben mehrere Features um gegen interne Bedrohungen und Angriffe zu schützen. Sogenannte Audit Trails (Überwachung von Änderungs- und Löschaktionen der User) und Email-Alerts informieren die entsprechenden Administratoren darüber was gerade in deren Umgebung passiert ist. Ebenso sorgt ein Session Monitoring (Sitzungsüberwachung) und deren Aufzeichnung für eine erhöhte Sicherheit bei den Aktivitäten der „privileged Accounts“. Außerdem sorgen gewisse Berechtigungen und Rollen-basierte Zugriffskontrollen dafür, das gewisse User auch ihre entsprechenden täglichen Aufgaben erledigen können. Weiterhin sollten diese Lösungen auch dafür sorgen das alle diese Rechte und Zugriffe auch wieder gelöscht werden, sobald ein Mitarbeiter das Unternehmen verlässt.

PAM ist in einem Unternehmen kritisch zu sehen, ungeachtet der Größe eines Unternehmens. Jedes Unternehmen sollte sich daher Gedanken machen wie sich eine PAM Lösung in die „Identity & Access Management“ Strategie des Unternehmens integrieren lässt. 

Nach was sollte man schauen bei der Auswahl eines Privileged Access Management Software Herstellers?

Wichtig bei der Auswahl eines PAM Software Herstellers ist, das er die PAM Lösung als „on premises“ und „in the cloud“ anbietet, da man dann frei in der Wahl bei der Implementierung seiner Lösung ist. Klar sollte auch sein das die Cloudbasierte Lösung genau so stabil und mit den gleichen Features ist wie die on premises Lösung. Ebenso sollte die PAM Lösung die folgende Basic Features beinhalten:

• Das discovering von „privileged Accounts“ auf Systemen, Geräten und Applikationen, um diese dann in der PAM Lösung weiterverarbeiten zu können.
• Das automatische generieren und managen von Passwörtern von administrativen, Service und Applikationen Accounts.
• Zugriffskontrolle für „privileged Accounts“ inkl. den sogenannten „break glass“ Accounts (Notfallzugriff Accounts).
• Das isolieren, überwachen, aufzeichnen und auditieren von „privileged Account“ Sessions, Kommandos und Aktionen.

Man kann sich beim Review von PAM Lösungen schnell im Wirrwar der vielen Features und Addon’s verlieren, daher hier eine kurze Checkliste an Fragen die man sich bei der Auswahl eines PAM Software Herstellers stellen kann:

1. Kann sich unser Team in kürzester Zeit in die PAM Software Lösung einarbeiten? Oder muss vorab ein intensiveres Training aufgesetzt werden, um überhaupt in die Planung einsteigen zu können?
2. Muss für die Umsetzung und Administration der PAM Lösung zusätzliches Personal eingestellt werden?
3. Besitz diese PAM Lösung nur ein UI um alle Funktionen zentral von einer Konsole zu managen? Da der Einsatz von mehreren UI’s das Risiko von Fehlkonfigurationen erhöhen könnte.
4. Hat der PAM Software Hersteller einen Professional Service für den Notfall zur Verfügung? So könnte man die Patches, Upgrades und Changes selbst erledigen und im Notfall auf den Professional Service zurückgreifen.
5. Können AD Gruppen in das PAM Repository ohne manuelle Kontrolle und Prüfung integriert werden?
6. Können Daten klassifiziert und basierend auf den unterschiedlichsten Daten Reports generiert werden oder ist man auf vorgefertigte Reports angewiesen?
7. Kann man in den Reports direkt in die Daten hinein zoomen und diese für Compliance Audits auswerten?
8. Hat die PAM Lösung „failover“ Möglichkeiten und kann die Lösung die Last auf mehreren Maschinen verteilen?
9. Hat die Lösung technische Schnittstellen  (PowerShell, SSH, SQL), um das Environment auch extern via Skript zu managen?
10. Ist die PAM in the Cloud Lösung eine vollwertige SaaS Lösung? Das bedeutet es müssen keine onpremises Komponenten installiert werden, es ist kein Professional Service notwendig und es gehen keine Features der Enterprise Lösung verloren. Alle Updates erfolgen automatisch.

Hier noch eine Professionelle Einführung zu PAM