So schafft Privileged Access Management mehr Sicherheit | SITS
Blog
So schafft Privileged Access Management mehr Sicherheit
PAM ist ein modernes Identitätsmanagement, das IT-Security steigert, Daten schützt und Compliance-Vorgaben erfüllt. Der Post erklärt, was Sie wissen müssen.
4 Minuten
05. April 2024

Privileged Access Management – mehr Sicherheit für die wichtigsten Nutzer

  • PAM erhöht die IT-Security durch die konstante Überwachung sensibler Daten und Just-in-Time- und Just-Enough-Einschränkung von Zugriffsrechten.
  • Die Implementierung erfordert Sachverstand und eine umfassende Beurteilung der IT-Systeme und der gesamten Sicherheitsarchitektur.
  • Richtig eingesetzt minimiert PAM Risiken, unterstützt beim Reporting, schafft mehr Transparenz und hilft, Compliance-Vorgaben zu erfüllen.

Neben den Zugangsdaten für normale Benutzer gibt es in Unternehmensnetzwerken auch Accounts mit sehr weitreichenden Berechtigungen für Mitarbeitende, die Systeme administrieren oder auf sensible Daten zugreifen müssen. Wird einer dieser Accounts kompromittiert, kann schnell erheblicher Schaden entstehen. Ein Privileged Access Management (PAM) hilft, diese kritischen Accounts umfassend zu schützen. Wie PAM funktioniert, wie es implementiert wird und welche Vorkehrungen ein Unternehmen dafür treffen sollte, erfahren Sie in diesem Post.

Was leistet ein Privileged Access Management?

PAM ist eine moderne Form des Identitätsmanagements. Es wird im Wesentlich aus zwei Gründen eingesetzt: Zum einen, weil es die Sicherheit kritischer Daten steigert, indem es den Diebstahl von Anmeldeinformationen verhindert, Daten absichert und Angriffe erkennt, bevor Schaden entsteht. Wie wichtig dies ist, zeigt eine Untersuchung von Gartner, nach der rund 70 Prozent aller relevanten Sicherheitsvorfälle auf die Kompromittierung privilegierter Zugänge zurückzuführen sind.

Darüber hinaus kann der Einsatz von PAM notwendig sein, um Compliance-Standards einzuhalten oder entsprechende Vorgaben zu erfüllen. So erstellen PAM-Lösungen auch unveränderliche Audit-Trails, die nachweisen, dass erforderliche Zugriffskontrollen vorhanden und wirksam sind.

Was sind privilegiert Konten?

Privilegierte Konten sind im PAM-Kontext Nutzer-Zugänge, die weitreichende Zugriffsrechte auf Daten, Systeme und Dienste haben.

Das wohl naheliegendste Beispiel für ein privilegiertes Konto ist der Administrator, der Zugang auf sämtliche Systeme haben muss. Daneben gibt es aber auch Konten, die vollen Datenzugriff haben, weil ihre Nutzer Teil der Geschäftsführung sind, Accounts von Anwendern, die Apps verwalten und dafür Zugriff auf spezielle Administrations-Interfaces brauchen oder Konten von Nutzern, die Zugriff auf sensible Daten wie Zahlungsinformationen, Gesundheitsdaten, etc. haben. Sie alle werden vom Unternehmen mit Credentials ausgestattet, die mehr Rechte haben als Standardnutzer.

Wie wird PAM implementiert?

PAM kann entweder als Software-as-a-Service oder mit lokalen IT-Mitteln umgesetzt werden. In beiden Fällen ist ein umfassender Ansatz für die Verwaltung und Kontrolle von Konten, Zugängen, Systemen, Diensten und Prozessen erforderlich. Dabei kommt eine Zero-Trust-Architektur zum Einsatz, die Zugriffsrechte nach dem Least-Privilege-Prinzip verteilt. Das bedeutet, dass alle Zugriffe ständig überprüft werden und jeder Nutzer nur auf die Daten zugreifen kann, die er zur Erfüllung seiner Aufgaben tatsächlich benötigt.

Die Implementierung einer PAM-Architektur sollte die folgenden Schritte umfassen:

  • Privilegiert Konten identifizieren: Im ersten Schritt wird ermittelt, wer überhaupt Credentials benötigt, die über die Rechte eines Standardnutzers hinausgehen. In der Regel werden hier zwei Gruppen unterschieden: Nutzern, die Zugriff auf sensible Informationen benötigen und IT-Administratoren, die Systeme und Dienste verwalten müssen.
  • Risiken bewerten: Wenn die erforderlichen Nutzer definiert sind, sollte für jeden Satz von Rechten eine Risikobewertung durchgeführt werden.
  • Kontrollen implementieren: Die Systeme müssen darauf vorbereitet werden, privilegierte Konten einzuschränken und zu überwachen. Mit welchen Mitteln dies geschehen kann, wird im Folgenden erläutert.
  • Die Kontrollen beziehen sich nicht nur auf Konten oder Benutzer. Auch Geräte und Dienste müssen mit entsprechenden Privilegien oder Einschränkungen versehen werden können.
  • Überwachung und Monitoring: Alle Aktivitäten der Mitarbeitenden im Netzwerk müssen überwacht und protokolliert werden. Diese Log-Daten werden ständig auf ungewöhnliche Aktivitäten oder auffällige Nutzungsmuster überprüft. Um Datenschutzprobleme zu vermeiden, sollten die gesammelten Daten so weit wie möglich pseudonymisiert werden.
  • Mitarbeitende schulen: Wenn alle Maßnahmen in Kraft sind, müssen die Mitarbeitenden für die Bedeutung von PAM sensibilisiert und in der Anwendung des Systems geschult werden.

Welche Elemente braucht ein PAM-System?

Ein PAM-System muss als Teil einer Sicherheits- und Risiko-Managementstrategie die Möglichkeit bieten, Personen, Dienste und Systeme zu identifizieren, die privilegierte Zugriffsrechte benötigen. Diese Zugriffe müssen gesichert, protokolliert und überwacht werden. Um diese Aufgaben erfüllen zu können, sind folgende Elemente erforderlich:

  • Privileged Password Management: Eine automatisierte Passwortverwaltung, die Credentials rollenbasiert mit Zugriffsrechten ausstattet. Optimal sind hier Lösungen, die es erlauben, sensible Zugriffsrechte auch zeitlich begrenzt zu vergeben. Darüber hinaus sollte das System ermöglichen, auch externen Partnern oder Gastbenutzern (zeitlich begrenzte) Berechtigungen zu erteilen.
  • Privileged Session Management: Ist ein System, das den Zugriff auf privilegierte Konten überwacht und protokolliert. Es kann auch Audit-Protokolle und Sitzungsaufzeichnungen zur Erfüllung von Compliance-Vorgaben erstellten.
  • Nutzungs-Analyse: Ein Analysesystem erfasst alle Aktivitäten und kann so frühzeitig auffällige Nutzungsmuster erkennen.
  • Flexible Rechte-Vergabe: Das System erkennt, ob Benutzer mit erweiterten Zugriffsrechten ihre Privilegien aktuell benötigen – und stuft diese Rechte gegebenenfalls auf eine niedrigere Sicherheitsklasse herab, wenn keine sensiblen Daten benötigt werden. Kritische Daten werden “just in time” angeboten und nicht ständig verfügbar gehalten.
  • Multi-Faktor-Authentifizierung (MFA): Alle privilegierten Credentials sollten nur mit einer vorherigen MFA-Anmeldung verwendet werden können.
  • Konten-Sparsamkeit: Privilegierte Zugriffsrechte sollten nur an die Nutzer vergeben werden, die diese auch wirklich benötigen. Die Liste dieser Nutzer sollte regelmäßig überprüft und die gewährten Rechte entsprechend angepasst werden.

Unterschied zu PIM

Privileged Identity Management (PIM) hat auf den ersten Blick viele Ähnlichkeiten mit PAM. PIM konzentriert sich jedoch auf die Verwaltung von Accounts, während PAM zusätzlich dazu auch den Zugriff auf Ressourcen überwacht und sichert.

PAM – mehr Sicherheit durch individuellere Nutzer-Rechte

Richtig eingesetzt kann ein PAM nicht nur die Qualität der IT-Sicherheit verbessern, sondern auch die Erstellung von Berichten und Sicherheitsaudits erleichtern. Gleichzeitig steigert die Verwaltung von Zugriffsrechten für das Unternehmen selbst die Transparenz. Die Implementierung eines Preferred Access Managements lohnt sich daher überall dort, wo in Unternehmen mit sensiblen Daten gearbeitet wird und ein Verlust dieser Daten einen signifikanten Schaden für das Unternehmen bedeuten würde.

Kategorie Tags
AI Assessment & Advisory Cloud Platform Security Cyber Defense Identity & Access Management NIS2 Optional Security & IT Solutions Zero Trust
Solutions
Privileged Access Management
Über privilegierte Identitäten, etwa Konten oder Apps, ist es oft möglich, auf kritische Systeme, sensible Daten oder sogar andere Benutzerkonten zugreifen.
Mehr erfahren
IAM: Sicherheit durch Zugriffsverwaltung
Hybride und global vernetzte Arbeitsmodelle werfen zahlreiche Sicherheitsrisiken auf – und damit die Frage für Unternehmen: Wie können wir unsere IT-Systeme, geschäftskritischen Informationen und Benutzerkonten effizient schützen?
Mehr erfahren
Der Cyber Chronicle Newsroom
Wir versorgen Sie mit aktuellen News, Daten und Trendthemen
AI
16. April 2024
KI-Attacken abwehren: So lassen sich Daten und Systeme schützen
Mehr erfahren
Assessment & Advisory
15. April 2024
ISO-27001-Zertifizierung ohne Umwege
Mehr erfahren
Assessment & Advisory
10. April 2024
Mit Managed Services gegen den Fachkräftemangel
Mehr erfahren
Security & IT Solutions
09. April 2024
Workload Security mit SASE, so funktioniert’s
Mehr erfahren
Cloud Platform Security
09. April 2024
DevOps-Sicherheit: Belastungstest für Kultur und Technologie
Mehr erfahren
Identity & Access Management
05. April 2024
Biometrie – mehr Sicherheit ohne Passwort?
Mehr erfahren
Cyber Defense
05. April 2024
Threat Intelligence – Wissen ist Macht & Sicherheit
Mehr erfahren
NIS2
05. April 2024
NIS2 & ISO/IEC 27001:2022: Neue Controls zur Erfüllung beider Anforderungen
Mehr erfahren
Identity & Access Management
05. April 2024
So schafft Privileged Access Management mehr Sicherheit
Mehr erfahren
Assessment & Advisory
05. April 2024
vCISO - mehr IT-Sicherheit durch flexible Unterstützung
Mehr erfahren
AI
Cloud Platform Security
03. April 2024
KI von Microsoft: Ist Ihr Unternehmen Copilot Ready?
Mehr erfahren
NIS2
02. April 2024
NIS2 & Risikomanagement: Wann sind Cyber-Risiken wirklich beherrschbar?
Mehr erfahren
Zero Trust
02. April 2024
Zero Trust – mehr IT-Sicherheit durch weniger Vertrauen
Mehr erfahren
Cloud Platform Security
28. März 2024
Schutzschild für Ihre Cloud-Plattformen: Tipps, Kniffe, Fallstricke
Mehr erfahren
Assessment & Advisory
28. März 2024
Security-Allrounder CISO: Auslagern oder selbst anheuern?
Mehr erfahren
Cyber Defense
28. März 2024
Management von Cyber-Sicherheitsrisiken im industriellen IoT und OT
Mehr erfahren
Wir sind für Sie da
Einfach Formular ausfüllen und unsere Experten melden sich.

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren
Mehr Informationen
Bild von Kontakt aufnehmen
Kontakt aufnehmen