1. Einführung in das Privileged Access Management

Dieser Überblick gib ein Grundverständnis zu PAM, um die Grundlagen für ein allumfassendes Privileged Access Management Know How aufzubauen. Dies beinhaltet:

• Was ein IT Professional über die Funktionsweise der Privileged Accounts wissen sollte und welche Risiken sich dahinter verbergen wenn diese missbraucht werden.
• Wie man dieses Wissen einsetzen kann um ein Unternehmen weniger angreifbar und sicherer vor rufschädigenden Bedrohungen zu machen.

Es wird ein praktisches Verständnis über das Privileged Access Management dargestellt, inkl. was Privileged Accounts sind, wo diese Privileged Accounts hinterlegt werden und deren Funktionsweise. Am wichtigsten aber wird aufgezeigt welche Risiken für ein Unternehmen mit diesen Privileged Accounts verbunden sind und wie man diese vor externen und internen Bedrohungen am besten schützt.

2. Ein paar wichtige Privileged Access Management Definitionen

Zuerst ein paar Definitionen die man wissen sollte um PAM besser zu verstehen.

Was ist der Unterschied zwischen Privileged Account Management und Privileged Access Management (beide werden als PAM abgekürzt)?

Die PAM Welt hat mit den Kernfähigkeiten des Privileged Account Managements begonnen. Privileged Account Management ist ein IT Security Prozess der mittels einer policy-based (Richtlinien basierten)  Software den Zugriff auf sensitive Systeme und Informationen kontrolliert. Privileged Accounts basieren auf Credentials – „Berechtigungsnachweise“ –  (Passwörter, Schlüssel und Secrets) um den Zugriff zu steuern. Beim anlegen, speichern und managen solcher Berechtigungsnachweise in einem sicheren verschlüsselten Datenspeicher kontrolliert das Privileged Account Management den autorisierten Zugriff eines Users, Prozesses oder Computer um die Ressourcen einer IT Umgebung zu schützen. 

Seit den ersten Tagen des PAM haben sich die privileged Security Strategien und diverse Definitionen erweitert und verändert. Heute bezeichnen die meisten Leute PAM als Privileged Access Management. Die Definition von PAM reflektiert nun ein breiteres Security Spektrum als Privileged Account Management. Es beinhaltet Cyber Security Strategien für die weiterführende Kontrolle über den zunehmenden Zugriff und Berechtigungen für User, Accounts und Prozesse. Es wird nicht nur der Zugriff, welche Person oder System einen privileged Account benutzen kann, geregelt sondern auch was damit getan werden kann sobald sich der privileged Account eingeloggt hat. 

Zusätzlich beinhalten diese Definitionen von PAM diverse Strategien um Security Teams granularere Kontrollen und einen Überblick über die getätigten Aktionen während den privileged  Sessions zu geben. Dies beinhaltet das Management der Passwörter von Privileged Accounts über ein Credentials (Berechtigungsnachweis) Management, das sogenannte „least privilege enforcement“ das besagt das ein User nur die minimalen Rechte haben darf um seine Aufgaben zu erledigen, sowie das „account governance“ um einen 360° Überblick über alle User zu haben. Als Beispiele kann man hierzu die Features „privileged access approval und workflows“, die „two-factor/multi-factor authentication“, das „privileged session monitoring und recording, und remote launching“ aufführen, welche alle kritische Elemente eines umfasenden privileged Access Management Programms sein sollten.

Was ist der Unterschied zwischen User Accounts und Privileged Accounts?

Es gibt zwei wesentliche Kategorien von IT Accounts:

• User Account: Ein User Account repräsentiert typischerweise eine menschliche Identität (z.B. ein Active Directory User Account) und hat standardmäßig auch ein Passwort damit verhindert wird das ein anderer ohne Berechtigung Zugriff auf wichtige Informationen hat. Standardmäßig gibt es ein Account-Passwort pro User das sich eine Person zu merken hat.
• Privileged Accounts: Privileged Accounts beinhalten administrativen Zugriff oder Zugriff mit einem spezialisierten Level auf Enterprise Systeme und sensitive Daten, welche nur mit einem höheren Level an Berechtigungen zugänglich sind. Ein privileged Account kann mit einer menschlichen Identität oder einer nicht-menschlichen Identität, wie z.B. einem IT – System oder Prozess, verbunden sein.

Unternehmen haben meistens 2 – 3 mal so viele privileged Accounts wie sie Mitarbeiter haben. In den meisten Unternehmen hat ein IT – Mitarbeiter einen Standard Account und einen administrativen Account mit höheren Berechtigungen.

Für was werden Privileged Accounts eigentlich benutzt?

Man sagt das privileged Accounts der Schlüssel zum „IT – Königreich“ sind. Mit ihnen hat man Zugriff auf sensitive Server, kann Zugriffsberechtigungen manipulieren, es können sogenannte „Backdoor Accounts“ angelegt werden oder es können kritische Daten geändert oder gelöscht werden.

Privileged Accounts welche einen höheren Level an Berechtigungen beinhalten:

• Lokale oder Domänen Admin Accounts welche Server administrieren.
• Domänen Admin Account die Active Directory User administrieren.
• SA oder System Admin Accounts welche Datenbanken administrieren.
• Root Accounts welche UNIX oder Linux Systeme administrieren.
• Accounts welche Windows Applikationen administrieren und als Services laufen oder bestimmte Tasks steuern bzw. schedulen.
• IIS Applikationen Pools (.Net Applikationen)
• Admin Accounts von Netzwerkgeräten wie Firewalls, Switches oder Routern.

Was sind Privileged Service Accounts?

Ein Service Account ist eine spezielle Kategorie an privileged Accounts der erhöhte Berechtigungen benötigt um geplante (scheduled) Tasks ablaufen zu lassen, wie z.B. Batch Jobs, Applikationen Pools innerhalb des IIS, Services innerhalb des Netzwerkes, Datenbankjobs oder Tasks für File Systems etc. Hunderte bis tausende Services sind mit privileged Accounts verknüpft um kritische IT Prozesse zu steuern. Daher unterliegen die Service Accounts auch einem erhöhten Risiko unter den privileged Accounts.

Ebenso sind die Service Accounts die am meisten missbrauchten privileged Accounts. Um die Systeme am laufen zu halten und um die Downtime der Systeme so gering wie möglich zu halten werden diese Service Accounts auch sehr oft mit nicht notwendigen höheren Berechtigungen ausgestattet. Da diese Service Accounts nicht mit einer menschlichen Identität verbunden sind, werden diese auch selten kontrolliert bzw. überwacht. Daher werden auch die Passwörter der Service Accounts nie gewechselt bzw. unterliegen keinem Rotationsprinzip, es gibt kein Ablaufdatum oder es wurde keins gesetzt ebenso werde diese Accounts nicht gesperrt oder deaktiviert. Diese Praktiken werden von den meisten Unternehmen so gehandhabt und stellen somit ein erhöhtes Bedrohungsrisiko dar, welches die Türen für Cyber Attacken öffnet.

Wer nutzt denn eigentlich Privileged Accounts und wo sind diese denn zu finden?

Der typische User eines privileged Accounts ist ein Systemadministrator (sysadmin) der für das Management einer Umgebung verantwortlich ist oder ein IT – Administrator einer bestimmten Software oder Hardware. Sie alle benötigen erhöhte Berechtigungen um:

• Installationen und Konfigurationen von Hard- und Software vorzunehmen. 
• auf sensitive Daten zuzugreifen.
• Passwörter anderer User zurückzusetzen.
• sich auf allen Systemen einer Umgebung anmelden zu können.
• Änderungen in der IT Infrastruktur vornehmen zu können.

Allgemein ist zu sagen das Privileged Accounts von Systemadministratoren verwendet werden, um IT – Systeme bereitzustellen und zu warten. Sie existieren in nahe zu jedem vernetzten Netzwerkgerät, Server, Datenbank und Applikation. Privileged Accounts erweitern darüber hinaus die internen sowie die Cloud-basierten Umgebungen um alle Organisationseinheiten, wie z.B. Marketing, Vertrieb, Einkauf etc., eines Unternehmens mit all den dazugehörigen Accounts einzubinden. 

Was ist der Unterschied zwischen Identity & Access Management (IAM) und Privileged Access Management?

Der Bereich des „privileged Access Management“ ist ein Teil des breiten Spektrums des „Identity & Access Managements“ zu sehen. Wie auch immer ist das „Identity & Access Management“ untrennbar mit dem Bereich „Privileged Access Management“ verbunden, wobei die entsprechenden Software Tools und Lösungen immer anspruchsvoller werden und die Abgrenzungen zwischen den Lösungen immer mehr verwischen. 

Identity Management referenziert Atribute von Identitäten, wobei nur bestimmt Personen eines Unternehmens wie z.B. IT Administratoren oder Mitarbeiter aus der HR Abteilung diese Attribute verändern können. Der Kern des Identity & Access Management ist es das nur eine Identität zu einer Person gehört. Sobald diese digitale Identität angelegt wurde muss diese mittels des Identity & Access Managements gepflegt, verwaltet und modifiziert und überwacht werden. 

„Privileged Access Management“ ist ein Teil des „Identity & Access Managements“, um Berechtigungen zu managen, nicht von einzelnen individuellen Usern, sondern von sogenannten „shared Accounts“ (Accounts die von mehreren Usern genutzt werden) wie z.B. Super User Accounts, Administratoren und Service Accounts. PAM Lösungen sind anders wie IAM Lösungen eher Passwort Manager zum Schutz und Management von allen „Privileged Accounts“. Ausgereifte PAM Lösungen gehen viel weiter als nur zu dem einfachen Passwort Management und der Zugriffskontrolle auf Systeme, sondern stellen auch eine einheitliche, robuste und wichtige transparente Plattform zur Verfügung, welche sich nahtlos in die „Identity & Access Management“ Strategie eines Unternehmens integrieren lässt.

3. Risiken & Schwachstellen die unmittelbar in Zusammenhang mit den Privileged Accounts stehen

Was sind die Risiken bei sogenannten „unmanaged“ privileged Accounts?

Viele der erst kürzlich aufgetretenen großen Cyber Attacken haben immer eins gemeinsam: Sie sind alle durch das kompromittieren eines privileged Accounts entstanden. Analysten schätzen das ca. 80% aller Security Attacken durch das kompromittieren von privileged Accounts zustande kommen. 

Trotz des hohen Risikos werden beim identifizieren oder managen von privileged Accounts immer noch die traditionellen manuellen und zeit-intensiven Methoden angewandt. Auch in den heutigen hoch-komplexen IT – Umgebungen werden die privileged Accounts immer noch teils mit einem gemeinsamen Passwort über mehrere Systeme verwaltet und dieses dann auch noch unter den System Administratoren verteilt. Teilweise werden auch die Default-Passwörter nie gewechselt, was diese Systeme dann zum klassischen Ziel für Hacker Angriffe macht. 

Diese Praktiken können die Security eines Unternehmens kompromittieren, da meist die Übernahme eines Standard-Users schon den Anfang einer Cyber Attacke darstellt. Die eigentliche Absicht eines Hackerangriffs ist aber die Übernahme eines privileged Accounts, um damit dann den Zugriff auf Applikationen oder sensitive Daten etc. zu bekommen. Zum Beispiel werden oft Lokale Domänen Accounts auf End-User Geräten mittels sogenannten Social Engineering Techniken gehacked. Danach werden die Angriffe im Netz über diesen Rechner auf andere Systeme ausgebaut.

Sicherlich haben einige Unternehmen viele unbekannte und somit nicht verwaltete privileged Accounts, welche das Risiko enorm erhöhen. Dies kann aus den nachfolgenden Gründen passieren:

• Ein Mitarbeiter verlässt das Unternehmen und es wird vergessen seinen Account zu löschen oder zu sperren.
• Ein Account wird wenig genutzt, solange bis er verweist oder vergessen wird.
• Default Accounts von neuen Geräten werden nie genutzt und daher auch nicht geändert bzw. gesperrt oder gelöscht.

Jeder unbekannte Account erhöht das Risiko der Angreifbarkeit und präsentiert so eine Möglichkeit für einen Hackerangriff. Ein Mitarbeiter findet den unbekannten Account und führt mit diesem nicht autorisierte Aktionen durch. Dies kann absichtlich oder unabsichtlich geschehen, trotz allem verletzt dies diverse Compliance Regeln und erhöht das Haftungsrisiko des Unternehmens. Ein verärgerter Ex-Mitarbeiter der noch den Zugang zu einem privileged Account hat, kann in einem Unternehmen noch enormen Schaden anrichten.

Ein Hacker findet den Account und greift das Unternehmen an, stiehlt Daten und wichtige Informationen und richtet so ein heilloses Chaos im Unternehmen an.

Wenn in einem Unternehmen nur ein einziger privileged Account genutzt wird um alle Services und Applikationen etc. damit zu verwalten, nimmt das Risiko exponential zu wenn dieser privileged Account gehacked wurde. In diesem Fall ist nur ein kompromittierter privileged Account notwendig damit ein Angreifer Zugriff auf alle Informationen eines Unternehmens bekommt.

Wie erhöht die Cloud die Risiken bei einem privileged Account Angriff?

Das aktuelle Business hängt immer mehr von Cloudanwendungen wie z.B. Cloud für Infrastrukturen, für Applikationsentwicklung und Business Prozess Automatisation ab. In einem Cloud Modell kommen ebenso privileged Accounts für Services und Appliaktionen etc. ins Spiel, wobei deren Verwaltung und Administration nicht die Aufgabe des Cloud-Providers ist, sondern die des Unternehmens die die Cloud nutzt. Es ist ebenso die Aufgabe des Unternehmens das die Cloud nutzt, das die Daten (via Web Browser, Email, File Exchange wie sFTP, APIs, SaaS Produkte, und Streaming Protokolle) von und zur Cloud über einen gesicherten Kanal laufen. 

Unglücklicherweise implementieren und investieren die Unternehmen wenig in die Security Richtlinien beim privileged Access bei Cloud Anwendungen. Die Herausforderung für viele Unternehmen besteht nicht in der Security der Cloud an sich, sondern vielmehr in den Security Richtlinien und Technologien und die Kontrolle derer. In den meisten Fällen ist es nämlich der User, nicht der Cloud Provider, der es nicht schafft diese Kontrollen durch zuführen. Gemäß einer Gartner Studie sind 99% der Cloud Security Fehler auf Seiten der Kunden, wobei davon 50% auf das schlechte Management der Identitäten, Zugriffe und deren Berechtigungen zurückzuführen ist. 

Daher sollte jedes Unternehmen in seiner privileged Access Management Strategie die privileged Accounts, welche für die Cloudbasierte Administration zuständig sind, mit einbeziehen. 

Wie kompromittieren Cyber-Kriminelle privileged Accounts?

In den vorangegangenen Abschnitten haben wir die Bedeutung der privileged Accounts besprochen, welche zentrale Rolle sie bei der Verwaltung von Systemen, Infrastrukturen und Applikationen spielen, sowie die Risiken die damit verbunden sind wenn man die Kontrolle über diese privileged Accounts verliert. Als nächstes ist es wichtig die Tricks und die Techniken der Cyberkriminellen zu verstehen um diese privileged Accounts zu kompromittieren. In den nächsten Abschnitten werden wir darauf eingehen wie man diese privileged Accounts schützen kann.

Der Weg um einen privileged Account zu kompromittieren folgt oft dem Muster der nachfolgenden Punkte:

1. Kompromittieren eines Lokalen Accounts: Hacker verwenden Malware oder Social Engineering Methoden um Zugriff auf Desktops, Laptops oder Server zu bekommen. Mitarbeiter eines Unternehmens fallen oft auf diverse Phishing Mails etc. mit einer bestimmten Anfrage herein, die so aussehen als kämen sie von einem Manager, Abteilungsleiter oder einer anderen vertrauten Person des Unternehmens. Klickt der Mitarbeiter dann auf einen Link in der Mail, lädt er sich unbewusst im Hintergrund Malware Software herunter oder gibt auf einer Fakewebsite seine Logindaten inkl. Passwort ein.
2. Kompromittieren eines privileged Accounts: Das eigentliche Ziel eines Angreifers ist es einen privileged Account (z.B. den Lokalen Windows Admin Account) zu kompromittieren, um dann andere Systeme angreifen zu können. Nachdem das Passwort des Mitarbeiters dem Angreifer bekannt ist, kann der sich im Netzwerk überall anmelden, da er ja die Berechtigungen eines normalen Users des Unternehmens hat. Durch verschiedene Techniken wie „Man in the Middle“ oder „Pass the Hash Attacks“ kann der Angreifer die Berechtigungen des Standard-Users erhöhen.
3. Verstecken und Beobachten: Anspruchsvolle Hacker sind sehr geduldig und bevorzugen es eher unentdeckt zu bleiben als schnell einen Angriff durchzuführen. Nachdem ein Angreifer eine Lücke im System entdeckt hat, nutzen diese die privileged Accounts um die Routinen des IT Teams des Unternehmen zu beobachten und zu lernen. Dies beinhaltet tägliche Routinen, welche Security Maßnahmen bereits aktiv sind und das beobachten des Netzwerk Flows. Während den Beobachtungen sind die Angreifer immer sehr bestrebt keinen Netzwerkalarm auszulösen, bis sie ein komplettes Bild des gesamten Netzwerks und der IT – Operations des Unternehmens haben.
4. Mitarbeiter vortäuschen (imitieren): Ein Angreifer mit dem Zugriff auf einen privileged Account kann einen vertrauten Mitarbeiter oder System „imitieren“ bzw. vortäuschen und kann so bösartige Aktionen im Unternehmen durchführen ohne als Eindringling bzw. Hacker entdeckt zu werden. Wenn ein Hacker einen privileged Account kompromittiert hat kann er so über Wochen bis Monate unentdeckt in einem Unternehmensnetzwerk operieren. Da ein kompromittierter privileged Account immer als normaler User angesehen wird und es sehr schwierig ist hier eine Ursachen Forschung  (root cause Analyse) zu betreiben oder eine digitale Forensik zu starten wenn ein möglicher Angriff vermutet wird.
5. Einen dauerhaften Zugriff einrichten: Ein Angreifer möchte nun als nächsten Schritt sehr oft Remote Access Tools installieren, so dass er zu jeder Zeit wieder in die Systeme eindringen kann und bösartige Aktionen auszulösen ohne einen Security Alarm auszulösen. 
6. Schaden anrichten: Abhängig von der Motivation des Hacker kann er folgende bösartige Aktionen durchführen:
   – Systemfunktionen verändern oder zu löschen und den IT – Administrator deaktivieren
   – Stehlen von sensitiven Daten zu Betrugszwecken oder zur Rufschädigung des Unternehmens
   – Schadcode in die Systeme einführen
   – Das infizieren von Daten

4. Angriffe auf Privileged Accounts verhindern mit einer PAM Lösung

Wie verringert eine PAM Lösung den Angriff auf privileged Accounts

Das Gesamtziel beim Design eines privileged Access Management Prozesses und dem Implementieren einer entsprechenden Lösung ist es die IT und Security Experten mit den entsprechenden Tools auszustatten, damit sie die Zugriffe auf ihre Umgebung verwalten können, dies verringert somit auch die Angriffsfläche durch die Limitierung der privileged Accounts. Durch die Implementierung einer PAM Lösung in Verbindung mit anderen Security Best Practices, können potentielle Schäden durch Angriffe, egal ob extern oder intern, unabhängig ob diese vorsätzlich oder nur versehentlich ausgeführt wurden, abgewehrt werden.

Warum ist es so schwierig Angriffe mit gewöhnlichen Netzwerk oder Perimeter Security Tools zu verhindern?

Viele Unternehmen versuchen ihre wichtigen Informationen mittels traditionellen Perimeter Security Tools wie Firewall, Anti-Virus oder Intrusion Detection Lösungen zu schützen. Aber durch die rasante Entwicklung von Cloud-Applikationen, Mobilen Endgeräten und Virtualisierungstechnologien hat es keinen Zweck mehr einen Zaun oder Graben um die kritischen Assets eines Unternehmens zu bauen, sondern es ist mittlerweile unmöglich geworden. 

Am heutigen digitalen Arbeitsplatz teilen sich Mitarbeiter ständig irgendwelche Informationen und werden ständig mit Social Engineering Themen konfrontiert, somit stehen sie ständig unter sogenannten Spear Phishing Attacken, bei denen Angreifer auf deren Login und Passwort Daten aus sind. Sind deren Identitäten einmal gestohlen, können Hacker mit Leichtigkeit an den klassischen Perimeter Security Tools vorbei an die privileged Accounts gelangen.

Der Angriff auf privileged Accounts ist dann der Unterschied zwischen einem normalen Hack und einer unternehmerischen Cyber Katastrophe. Somit können die neuen „Cyber Security Perimeter“ nur wie folgt lauten – der Fokus der Security muss dem Schutz von Mitarbeitern, externen Mitarbeitern, Vertragspartnern, Services und Cloud-Systemen gelten. 

Der effektive Einsatz einer Privileged Access Management Lösung kann dazu beitragen das ihr Unternehmen nicht das nächste Opfer einer Cyber Attacke wird.

Wie vereitelt eine PAM Lösung Bedrohungen von Hackerangriffen?

Effiziente PAM Lösungen stellen eine Vielzahl an Features zur Verfügung um „privileged Accounts“ zu managen und so Cyber Attacken zu verhindern. Diese Lösungen können in einem Unternehmen alle „privileged Accounts“ aufspüren und in einer sicheren, verschlüsselten Datenbank – dem sogenannten „Password Vault“  (Passwort-Tresor) – speichern. Sobald alle „privileged Accounts“ mit allen ihren Credentials dort abgelegt sind, können diese PAM Lösungen die einzelnen Sessions, Passwörter und Zugriffe automatisch managen. Die Kombination all dieser Features wie z.B. das Verbergen von Passwörtern von bestimmten Usern, auto-rotating (automatischer Wechsel oder Rotation) von bestimmten Passwörtern, die Aufzeichnung von Sessions, Auditing und Multi-Factor Authentication bilden eine robuste Lösung gegen externe Bedrohungen und Angriffe. 

Wie kann eine PAM Lösung ein Unternehmen vor internen Angriffen bzw. Bedrohungen schützen?

PAM Lösungen haben mehrere Features um gegen interne Bedrohungen und Angriffe zu schützen. Sogenannte Audit Trails (Überwachung von Änderungs- und Löschaktionen der User) und Email-Alerts informieren die entsprechenden Administratoren darüber was gerade in deren Umgebung passiert ist. Ebenso sorgt ein Session Monitoring (Sitzungsüberwachung) und deren Aufzeichnung für eine erhöhte Sicherheit bei den Aktivitäten der „privileged Accounts“. Außerdem sorgen gewisse Berechtigungen und Rollen-basierte Zugriffskontrollen dafür, das gewisse User auch ihre entsprechenden täglichen Aufgaben erledigen können. Weiterhin sollten diese Lösungen auch dafür sorgen das alle diese Rechte und Zugriffe auch wieder gelöscht werden, sobald ein Mitarbeiter das Unternehmen verlässt.

PAM ist in einem Unternehmen kritisch zu sehen, ungeachtet der Größe eines Unternehmens. Jedes Unternehmen sollte sich daher Gedanken machen wie sich eine PAM Lösung in die „Identity & Access Management“ Strategie des Unternehmens integrieren lässt. 

Wie wird eine PAM Lösung bereitgestellt?

Eine PAM Lösung kann als eine On-Premise Lösung, als Cloud-Lösung (also als PAM as a Service – PAMaaS) oder als hybrider Ansatz bereitgestellt werden. Zunehmend werden PAM Lösungen als Service bereitgestellt. In einem PAMaaS Modell wird die PAM Lösung von einem Lösungsanbieter in der Cloud bereitgestellt der das hosting und die Updates übernimmt. Somit muss sich das Unternehmen keine Gedanken über die Ressourcen zur Installation und Wartung der PAM Lösung machen. PAMaaS Lösungen beihalten somit eine engere Integration mit den Cloud Applikationen und somit einen bessern Schutz  der privileged Accounts in der Cloud.

5. Wie stellt man eine umfassende PAM Lösung in einem Unternehmen bereit?

Kritische Fragen die zuerst beantwortet werden müssen

Wie jede IT-Sicherheitsmaßnahme die entwickelt wurde um kritische Assets und privileged Accounts zu schützen, benötigt beides einen initialen Plan sowie einen fortlaufenden Projektplan. Es sollten die privileged Accounts mit der höchsten Priorität in einem Unternehmen gefunden werden, sowie die Mitarbeiter die für diese privileged Accounts verantwortlich sind.

Bevor nun eine PAM Lösung implementiert werden kann, müssen in der Planungsphase zuerst diverse Fragen beantwortet werden:

1. Wie wird im Unternehmen ein privileged Account definiert?
   Es ist festzustellen welche wichtigen Funktionen von Daten, Systemen und Zugriffen abhängen, sowie die wichtigen Systeme die nach einem Einbruch am ersten wieder hergestellt werden müssen. Danach können dann deren zugehörigen privileged Accounts festgestellt werden. Das klassifizieren der privlieged Accounts zu diesem Zeitpunkt ist eine gute Vorgehensweise, da dies hilft diese zu identifizieren und zu priorisieren, damit diesen dann später leichter ihre Security controls zugewiesen werden können. 
2. Wer benötigt Zugriff auf die privileged Accounts?
   Privileged Accounts sollten wie folgt kategorisiert werden a) menschliche Identität, b) Applikation und Service, c) Systeme und d) Infrastruktur Accounts inkl. den Cloud-basierten Accounts. Diese Klassifizierung regelt der Level der Interaktionen und die Security Controls, welche jedem privileged Account zugewiesen werden sollten. Für Applikationen und Systeme sollte man sich selbst fragen wie oft das Passwort der privileged Accounts gewechselt werden sollte. Ebenso wenn es einen statischen Pfad zu den Systemen sein sollte, kann der Zugriff auf die privileged Accounts über bestimmte IP-Adressen geregelt werden. 
3. Gibt es im Unternehmen externe Dienstleister die einen Zugriff benötigen?
   Externe Dienstleister die Zugriff auf privileged Accounts haben, stellen meist mit das höhste Risiko dar, weil man hier nie die volle Kontrolle hat wie der externe Dienstleister den Zugriff der privileged Accounts managed. Es sollte sichergestellt sein das diese „Use cases“ in die Planung mit einbezogen werden und geklärt werden wie diese Accounts anzulegen, gemanaged und bei Vertragsende des Dienstleisters wieder gelöscht werden. 
4. Sollen Zeitfenster für den Gebrauch der privileged Accounts gesetzt werden?
    Das Wissen wann und wie spezielle privileged Accounts genutzt werden, kann helfen den Missbrauch derer festzustellen. Buchhaltungssysteme zum Beispiel benötigen den Zugriff meist nur am Monats- oder Quartalsende. Backupsysteme laufen immer nur zu bestimmten Zeiten ihre Backups. Die Integritätsprüfungen und Schwachstellenüberprüfungen folgen auch immer einem festgelegten Penetrationtesting.
5. Was passiert wenn ein privileged Account kompromittiert wurde?
   Die meisten Unternehmen sind nicht darauf vorbereitet wenn ein privileged Account kompromittiert wurde, wobei das einfachste ist das Passwort zu ändern oder den privileged Account zu deaktivieren. Aber das ist nicht genug! Das Unternehmen sollte ein umfassendes „Incident Response Toolkit“ ausgearbeitet haben um zu verhindern von einer Cyber Attacke in eine Cyber Katastrophe zu fallen. Hierzu sollten die folgenden Dinge beachtet werden:
   – Es sollten gewisse Schritte befolgt werden bevor ein Security Incident auftritt, damit die Personen genau wissen was zu tun ist.
   – Es sollten Indikatoren einer Kompromittierung eines privileged Accounts erkannt werden können.
   – Es sollten Strategien entworfen werden, damit auch unter einem Angriff das normale Tagesgeschäft nicht leidet.
6. Was ist das Risiko wenn privileged Accounts einen internen Angriff ausgesetzt sind?
   Beim Schutz der privileged Accounts vor internem Missbrauch sollte mann zuerst den Fokus auf die kritischsten Systeme setzen. Den meisten Mitarbeitern zum Beispiel sollte man nicht gleichzeitig Zugriff auf die kritischen Systeme geben, vor allem nicht auf produktive Systeme, Backup Systeme und Finanzsysteme. Weiterhin ist zu beachten das Mitarbeiter die Abteilungen innerhalb des Unternehmens wechseln können und dann sollten sich auch ihre Zugriffsrechte ändern.
7. Gibt es im Unternehmen eine Security Policy die explizit die privileged Accounts berücksichtigt?
   Obwohl viele Unternehmen eine IT Policy haben, fehlt es diesen noch an der Berücksichtigung der privileged Accounts. Es sollte eine privileged Account Passwort Policy angelegt werden, welche die privileged Accounts separat unter der Berücksichtigung der entsprechenden Policy behandelt. Es sollte auch beachtet werden wer für die entsprechenden privileged Accounts verantwortlich ist. 
8. Müssen behördliche oder industrielle Vorschriften eingehalten werden?
   Wenn ein Unternehmen behördliche oder industrielle Vorschriften einhalten muss, wird es schwierig privileged Accounts abzusichern. Viele Unternehmen müssen sich diversen internen und externen Audits unterziehen, um die entsprechenden Policies und Regularien einzuhalten. Dies bedeutet das man den Auditoren aufzeigen muss das die privileged Accounts sicher, auditiert und überwacht sind.
9. Welche Reports benötigt ein CISO über Aktivitäten der privileged Accounts?
   Es sollten mit dem CISO die Ziele einer PAM Lösung, sowie man den Erfolg dieser Lösung messen kann, diskutiert werden. Wenn ein Unternehmen nicht beurteilen kann was mit den privileged Accounts passiert, erhöht sich somit enorm das Security Risiko. Wenn ein Angriff erfolgte, ist es gut die privileged Accounts immer zu überwachen und hilft somit mittels der digitalen Forensik den Root cause des Angriffs aufzuzeigen. Ebenso können kritische Abhängigkeiten ermittelt werden und somit das Risiko für zukünftige Cyber Attacken minimiert werden.

Ein paar grundlegende Regeln zur PAM Security

Privileged Access Management ist keine unüberwindliche Aufgabe. Jedes Unternehmen kann seine privileged Accounts mit diesen Best Practices sicherer machen, besser kontrollieren und somit jedem Angreifer es etwas schwerer machen:

• Bewusstsein der Mitarbeiter stärken. 
  Durch die immer größer werdenden anspruchsvolleren Social Engineering und Phishing Attacken und die immer größer werdende Anzahl an Mobilen Endgeräten die zu Business Zwecken genutzt werden, ist es immer wichtiger das die Unternehmen das Bewusstsein der Mitarbeiter im Bereich Security stärken. Es sollte ein PAM Training für Mitarbeiter gehalten werden die privileged Accounts administrieren müssen. Das PAM Training sollte die Wichtigkeit der Security der privileged Accounts betonen und auf die IT Security Policies des Unternehmens eingehen. Für diese Trainings sollte auch immer ein Budget bereitgestellt werden.
• Eine formale Policy für privileged Accounts sollte angelegt werden. 
  Policies sollten auf der Kategorisierung und Klassifizierung der privileged Accounts des Unternehmens basieren. 
• Es sollten alle ID’s und Passwörter der Built-In privileged Accounts geändert werden.
  Dies sollte eine der ersten Aufgaben in einem PAM Projekt sein. Es hat sich gezeigt das eins von fünf Unternehmen nie seine Default ID’s und Passwörter von Built-In privileged Accounts noch nicht geändert hat, z.B. „admin“ und „12345“. Diese Default Built-In privileged Accounts sind auch ein beliebtes Angriffsziel aller Hacker.
• Limitieren des Zugriffs auf kritische Systeme.
  Der Zugriff auf privileged Accounts sollte mittels einer Strategie so niedrig wie möglich gehalten werden, dies soll bedeuten das die Zugriffsrechte auf privileged Accounts nur dem jeweiligen Level entsprechend zu vergeben sind. Es sollten auch Standard Workstation nur mit einem Standard User Profile ausgestattet werden und nur im Bedarf sind die Zugriffsrechte auf bestimmte Applikationen anzupassen. Für IT Administratoren sollte ein spezielles Super User privileged Management für Windows, UNIX und Cloud Ressourcen eingeführt werden.
• Es sollte nicht gestattet sein privileged Accounts mit anderen Mitarbeitern zu teilen.
  Das teilen des Zugriffs eines privileged Accounts unter IT Administratoren macht es für Hacker immer leichter einen erfolgreichen Angriff zu starten. Der privileged Account Zugriff sollte zeitlich und je nach Umfang der Zugriffsrechte limitiert werden.
• Limitieren von privileged und unbekannten Applikationen.
  Applikationen sollten inventarisiert werden und einer strikten Policy für Passwortstärke, Account Zugriff und Passwort Rotation unterliegen. Das minimieren von Zugriffsberechtigungen und Lösungen zur Applikationskontrolle ermöglichen es das nur Applikationen des Unternehmens in Betrieb sind und keine unbekannten Applikationen installiert werden können.
• Das Anlegen von neuen privileged Accounts sollte mittels eines formalen Review und Genehmigungsprozess kontrolliert werden.
  Das Anlegen von neuen privileged Accounts sollte Teil von spezifischen Reviews und Genehmigungen sein, welche sogenannte Peer-oder Supervisor Reviews beinhalten. 
• Privileged Accounts sollten einer ständigen Überwachung unterliegen.
  Es sollte eine ständige pro-aktive Überwachung, Management und Kontrolle der privileged Account Zugriffe erfolgen. Dies kann mittels einer Überwachung der privileged Account Sessions erfolgen. So kann frühzeitig auf bösartige Angriffe bzw. Aktivitäten reagiert werden.
• Privileged Accounts sollten mit einem angemessen Ablaufdatum versehen werden.
  Mit dieser Policy soll verhindert werden das ein User eine „schleichenden Rechteausweitung“ hat, dies bedeutet das einer User immer neue privileged Account Rechte erhält, obwohl er ältere Rechte nicht mehr benötigt. Daher sollten die privileged Accounts, welche bestimmten Usern zugeteilt wurden, ständig auf ihre Notwendigkeit hin überprüft werden. Vor allem ist dies sehr wichtig bei sogenannten „Third-Party Contractors“, also externe Mitarbeiter etc.
• Kommen manuelle Methoden beim Einsatz einer PAM Lösung zum Zug, sind diese klar zu regeln.
  Viele Unternehmen arbeiten beim Einsatz von privileged Account Passwörtern mit Excel Sheets und pflegen diese daher manuell. Diese Praktiken sind sehr ineffizient und bringen ein enormes Sicherheitsrisiko mit sich. Bei einem Wachstum des Unternehmens werden diese manuellen Methoden immer unüberschaubarer.

Wie findet man einer Partner für die Umsetzung einer PAM Lösung

Möchte ein Unternehmen eine umfassende privileged Access Management Lösung mit einem vertrauensvollen Partner umsetzen, um den Zugriff auf sensitive Systeme und Daten zu steuern, muss das Unternehmen sich eine entsprechende PAM Lösung suchen und den entsprechenden Partner dazu finden.

Die beste PAM Lösung am Markt zu finden kann sehr entmutigend werden, um den Prozess etwas zu vereinfachen hier ein paar wichtige Key-Points:

• Eine Robuste Lösung.
  Enthält der Preis für die PAM Lösung alles um die unternehmensweiten privileged Accounts so zu managen wie es den Policies des Unternehmens entspricht? Es sollten nicht unzählige Add-Ons für jedes Feature nachgekauft werden müssen oder für zusätzliche Funktionalitäten oder Services zusätzliche Kosten entstehen.
• Einfach zu managen.
  Macht es die PAM Lösung einem IT – Admin leichter seine Arbeit zu erledigen?
• Herausragende Akzeptant bei den Benutzern.
  Eine sehr gute Akzeptanz der PAM Lösung bei den Benutzern führt automatisch auch zu einer besseren Security im Unternehmen.
• Schnelle Wertschöpfung.
  Die Lösung sollte schnell und effektiv sein und das Unternehmen soweit schützen das wenig zusätzlicher kostenintensiver Service notwendig ist.
• Erstklassiger Support.
  Der Support sollte von der Trial-Version bis zum Kauf komplett gewährleistet sein. Die besten Hersteller bieten Telefonischen, Mail, Knowledge Base und einen Forum Support an.
• Updates sollten gewährleistet sein.
  Die Komplexität und Häufigkeit der Angriffe nimmt heutzutage ständig zu, die Lösung sollte daher auch ständig mit Updates vom Hersteller versorgt werden können.
• Skalierbarkeit.
  Die PAM Lösung sollte skalierbar sein wenn das Unternehmen wächst und sich an die neuen Anforderungen anpassen können.

Weiterführende Maßnahmen

Wurde eine PAM Lösung im Unternehmen aufgesetzt und installiert, sollte diese gewartet und mit weiteren Verbesserungen ausgestattet werden.

• Auditieren und analysieren von privileged Account Aktivitäten.
  Die Kombination aus Auditierung und Analyse ist ein mächtiges Werkzeug um das Risiko bei privileged Accounts zu minimieren. Das Auditing von privileged Accounts gibt den Entscheidern im Unternehmen gewisse Metriken in die Hand um bessere Entscheidungen bezüglich der Compliance zu treffen und gewisse Policies und Regeln zu entwerfen.
• Die privileged Accounts sollten unter ständiger Beobachtung sein.
  Es sollte ein automatischer Prozess implementiert werden, der ständig prüft ob es neue privileged Accounts gibt und ob an den bestehenden privileged Accounts Veränderungen vorgenommen wurden. Dies ist der beste Weg um die Sicherheit der sensitiven Assets in einem Unternehmen zu gewährleisten.
• Keine unkontrollierte Ausbreitung von Service Accounts.
  Eine gezielte automatische „Service Account Governance“ verhindert das unkontrollierte Ausbreiten von Service Accounts von der Provisionierung bis hin zur Deaktivierung der Service Accounts. Der gezielte kombinierte Einsatz eines Identity Governance Tools (IGA) in Verbindung mit einer PAM Lösung stellt hier eine sehr gute Gesamtlösung dar.
• Integration der PAM Lösung mit anderen IT Applikationen und Systemen.
  Für einen effektiven Einsatz der PAM Lösung ist es unerlässlich diese Lösung mit anderen IT Applikationen und Systemen zu integrieren. Die Integration der PAM Lösung in eine unternehmensweite Identity & Access Management Lösung ermöglicht eine automatische sichere User Provisionierung im Zusammenhang mit einer erhöhten Sicherheit aller User Aktivitäten. Eine PAM Lösung sollte auch mit einem unternehmensweiten Security Information and Event Management System (SIEM) integriert werden. Diese Integration gibt den IT Security Admins ein besseres Bild bei Security Events bei denen privileged Accounts beteiligt sind und ermöglicht somit den IT Security Admins einen besseren Blick auf die Security Probleme die eventuell eine weitere Analyse benötigen. Eine PAM Lösung kann auch einen besseren Überblick bei der Schwachstellenbewertung geben, wie z.B. beim IT Netzwerk Inventarscan oder bei der Sicherheit von virtuellen Umgebungen. Eine PAM Lösung schafft somit durch die erhöhte Kontrolle von privileged Accounts eine bessere Kontrolle der kompletten Cyber Security eines Unternehmens.