3 Schlüssel liegen auf einem Tisch

14.06.2022 – Lesezeit: 6 Minuten

Geschäftsführung / Technologie

Privileged Access Management (PAM) – Was bedeutet das?

Wie Privileged Access Management (PAM) die Identitäten von Nutzern mit umfangreichen Zugriffsberechtigungen schützt. Die Strategie einfach erklärt.

 

Wie sorgen Unternehmen dafür, dass ihre Mitarbeiter nur die für ihre Arbeit notwendigen Zugriffsebenen erhalten? Wie lösen IT-Entscheider Schwachstellen und vermeiden zum Beispiel versehentliches Fehlverhalten bei ungeschützten privilegierten Zugriffen? Und schließlich: Wie schützen sich Unternehmen vor Hackern, die Privilegien von Nutzern stehlen, um sich heimlich und nur scheinbar privilegiert durch das Netzwerk zu bewegen?

Privilegierte Identitäten – das sind Menschen und Systeme: Menschen, wie die oberen Führungskräfte oder Systeme wie das ERP. Kurzum: Jede Entität mit deren Zugang Berechtigungen verbunden sind, die sich direkt auf den Unternehmenserfolg auswirken. Schafft es ein Angreifer sich über Identitätsdiebstahl einen dieser privilegierten Zugänge anzueignen, kann das weitreichende Konsequenzen für den Betrieb haben. Mit Privileged Access Management (PAM) lassen sich die privilegierten Zugänge schützen. Wie das funktioniert, erklärt Mittelstand Heute.

 

Inhalt (per Klick auf die Links gelangen Sie direkt zum jeweiligen Kapitel):

 

  1. Privilegierte Zugriffe mit Privileged Access Management verwalten
  2. Ressourcen und Rollen zuordnen mit Privileged Identity Management
  3. Darum benötigen Unternehmen PAM

 


Definition: Was bedeutet PAM?

Privileged Access Management (PAM) ist eine Lösung, mit der Unternehmen privilegierte Zugänge menschlicher und nicht-menschlicher Benutzer in einer betrieblichen IT-Umgebung verwalten können.

 

 

Privilegierte Zugriffe mit Privileged Access Management verwalten

Wie funktioniert PAM? Bei Privileged Access Management (PAM) steht der Zugriff im Vordergrund. Es geht darum, Nutzern privilegierte Zugriffe zu ermöglichen oder zu verwehren. Ein Mitarbeiter der Finanzabteilung benötigt beispielsweise einen privilegierten Zugriff auf Konto- und Rechnungsdaten sowie auf Banking-Applikationen. Ein Domänenadministrator wiederum muss auf alle Workstations und Server eines bestimmten Netzwerkbereichs zugreifen können. Beide Nutzer haben über ihre privilegierten Zugänge großen Einfluss auf das Unternehmen. Deswegen ist es essenziell, die Berechtigungen dieser Nutzer zuverlässig verwalten zu können: PAM ist die Lösung dafür.

Im Zusammenhang mit Privileged Access Management (PAM) taucht häufig noch ein weiteres Akronym auf, nämlich PIM: Dahinter steckt Privileged Identity Management. Beide Konzepte befassen sich mit Privilegien, unterscheiden sich aber im Blickwinkel.

 

>>> Zum Thema: Identity Access Management: Warum die Kontrolle über Identitäten für Unternehmen so wichtig ist...

 

 

Ressourcen und Rollen zuordnen mit Privileged Identity Management

PIM dreht sich um die einzelnen Berechtigungen, die mit einem Privileged Access einhergehen können. PIM ist somit eine Lösung zur digitalen Verwaltung dieser Berechtigungen für einen Nutzer oder Nutzergruppen.

Das lässt sich an Microsoft PIM für Azure AD (Active Directory) veranschaulichen. Azure AD ist ein Subsystem für das Identitätsmanagement in der Azure-Cloud-Plattform. Über Azure AD PIM erhalten Nutzer vom Administrator Rollen, mit denen bestimmte Privilegien einhergehen. Sie können auch zu Gruppen hinzugefügt werden, in denen jedes Mitglied automatisch gewisse Berechtigungen hat. Außerdem lassen sich Zugänge zeitlich begrenzen, beispielsweise auf einen Monat. Oder sie stehen nur in einem bestimmten Zeitraum zur Verfügung. So können auch Gastzugänge mit Privileged Access versehen werden, ohne dass die Gefahr besteht, dass der Nutzer Berechtigungen zu lange behält.

 

5 Best Practices zum Privileged Access Management:

 

  • Halten Sie sich an das „Principle of least Privilege“ und geben Sie Nutzern nur die Zugriffe, die für ihre Arbeit unbedingt notwendig sind.
  • Nutzen Sie zeitlich beschränkte privilegierte Zugriffe! So können Sie schnell Ausnahmezugriffe für Mitarbeiter oder Gäste gewähren, ohne sich um deren Sperrung oder Entzug der Berechtigungen kümmern zu müssen.
  • Hinterfragen Sie die mit einzelnen Rollen verknüpften Privilegien regelmäßig und nehmen Sie gegebenenfalls Anpassungen vor.
  • Nutzen Sie PAM um die Nutzer-Aktivitäten aufzuzeichnen! Im Falle eines Datenlecks erleichtern es diese Informationen, den Vorfall aufzuklären und zukünftig zu verhindern.
  • Die Aktivitätsdaten können dabei helfen, Angriffe zu identifizieren. Fällt bei der Überwachung auf, dass ein Nutzer etwas außerhalb seiner Privilegien tut, können die Security-Beauftragten möglicherweise eingreifen, bevor Schäden entstehen.

 

 

Im Zusammenhang mit PAM gibt es noch weitere Akronyme: Privileged Account Management, ebenfalls als PAM bezeichnet, beschreibt die Sicherheitsverwaltung privilegierter Accounts. Dabei geht es um Dinge wie regelmäßige Passwort-Wechsel und Log-in-Modalitäten wie Single Sign-on: Also darum, sich mit einem Login für mehrere oder alle mit einem Account verbundenen Berechtigungen und Programme anzumelden.

Schließlich ist noch PSM, Privileged Session Management, zu nennen: Dieses Konzept befasst sich mit der Dokumentation der Aktivitäten (Sessions) privilegierter Nutzer im Firmensystem. Sollte es zu einem Datenleck kommen und Accounts kompromittiert werden, ist es wichtig, nachvollziehen zu können, wer wann worauf zugegriffen hat. Die IT ermittelt anhand dieser Informationen, welcher Zugriff zu sperren ist. Die Dokumentation interner wie externer Sessions ist auch für Audits wichtig. Um nachweisen zu können, dass sich ein Unternehmen beispielsweise an die DSGVO hält, ist PSM ein sinnvolles Konzept. Gerade in stark regulierten Branchen wie dem Versicherungs- und Finanzwesen hilft PSM Unternehmen nachzuweisen, dass sie digital gesetzeskonform arbeiten.

 

 

Was bedeutet das „Principle of least Privilege“?

Bei der Berechtigungsvergabe im PAM-System sollten sich Unternehmen am „Principle of least Privilege“ orientieren. Das bedeutet: Nutzer bekommen nur die unbedingt notwendigen Zugriffe. Dieses Prinzip ist ein Best Practice der Cybersicherheit. Privilegierte Zugriffe können damit gut geschützt werden.

Denn je weniger Nutzer bestimmte Zugriffsberechtigungen haben, desto kleiner ist die Angriffsfläche für Hacker. Wird jedem Nutzer grundlegend ein gewisses Mistrauen entgegengebracht und ihm nur die Berechtigungen gewährt, die unbedingt notwendig sind, sinkt die Wahrscheinlichkeit von Datenschutzverletzungen durch böswillige Insider. Dieses Prinzip vereint auf pragmatische Art Usability und Sicherheit.

 

 

Darum benötigen Unternehmen PAM

Soweit zur Theorie. Was macht PAM für die IT-Infrastruktur eines Unternehmens attraktiv? Jeder Mitarbeiter eines Unternehmens benötigt gewisse Berechtigungen für seine Arbeit. Teilt sie ihm ein Administrator manuell zu, kann es dazu kommen, dass der Nutzer mehr Privilegien bekommt als er benötigt oder haben soll.

Mit Privileged Access Management ist das ausgeschlossen: Auf Basis der Aufgaben eines Mitarbeiters oder einer Gruppe von Mitarbeitern wird eine Liste an Zugriffen erstellt, die diese Mitarbeiter in ihrer Rolle benötigen. Der Administrator erstellt im PAM-System anschließend eine Rolle, der diese Privilegien zugeordnet werden. Der Systemverantwortliche verknüpft nun diese Rolle mit dem Mitarbeiter. Ändern sich Rollen, muss nicht jeder Zugriff einzeln angepasst werden. Streicht oder ergänzt der Administrator Privilegien einer Rolle im PAM-System, gelten diese Änderungen automatisch für alle Nutzer, denen die Rolle zugewiesen wurde.

Es kann passieren, dass Nutzer spontan zusätzliche Berechtigungen benötigen, oder ein Dienstleister und Projektpartner kurzfristig auf das System zugreifen müssen. Solche Gastzugänge lassen sich über Privileged Access Management ebenfalls verwalten. Der Administrator vergibt Berechtigungen im PAM mit zeitlicher Begrenzung. Nach Ablauf der festgelegten Frist erlischt der privilegierte Zugang für den Gastnutzer automatisch. Versäumnisse beim Zugriffsmanagement sind somit ausgeschlossen.

Mit PAM können auch die Endpunkte des Netzwerks gesichert werden. Endpunkte wie Server oder Notebooks haben meist gewisse Standardprivilegien. Workstations in Netzwerken können häufig ohne weitere Hürden auf andere Geräte zugreifen. Ihnen wird vertraut, da sie Teil des Firmennetzes sind. Mit einer PAM-Lösung können auch diese Zugänge eingeschränkt werden. Je weniger Bewegungsfreiheit im Netzwerk von einer Workstation aus möglich ist, desto schwerer hat es ein Angreifer, sich von dort auszubreiten.  

 

Privileged Access Management (PAM): Benötigen Sie Unterstützung?

Unternehmen, die Privileged Access Management in ihre Cyber-Sicherheitsstrategie aufnehmen

  • minimieren Angriffsflächen
  • steigern die Transparenz,
  • reduzieren die Komplexität bei der Berechtigungsvergabe 
  • und wickeln Audits zu Datenschutzanforderungen rechtssicher ab.

Business-IT-Spezialisten, wie die der All for One Group, informieren Sie darüber, wie Privileged Access Management in Ihrem Unternehmen den größten Nutzen entfalten kann

 

Quelle Aufmacherbild: tomertu/stock.adobe.com