Virtueller Wachmann filmt Externe

Privilegien und Kontrolle für externe Mitarbeiter

| Autor / Redakteur: Dr. Stefan Riedl / Andreas Donner

Nach dem priviligierten Zutritt wird überwacht, protokolliert und per Single-Sign-on-Prinzip Zugang ohne weitere Anmeldungen gewährt.
Nach dem priviligierten Zutritt wird überwacht, protokolliert und per Single-Sign-on-Prinzip Zugang ohne weitere Anmeldungen gewährt. (Bild: © lamax - stock.adobe.com)

Bei der Zusammenarbeit über Unternehmensgrenzen hinweg gilt es, User mit erweiterten Privilegien und Zugriffsmöglichkeiten kontrolliert ins Netzwerk einzubinden. Mit „Privileged Access Management“ werden Zugriffe auf kritische Systeme und Daten sogar gefilmt.

In der Praxis sind es häufig die externen Dienstleister, Admins, Zulieferer und Logistiker als Teil der Wertschöpfung, die „Privileged Access Management“ benötigen. Den Casus knacksus dabei erläutert Stefan Rabben, Area Sales Director DACH & Eastern Europe bei Wallix, einem ­Anbieter von Lösungen aus diesem Segment: „Eine Metapher aus der realen Welt verdeutlicht, worum es geht: Ein Maler wird beauftragt, im Unternehmen die Wände eines Büros zu streichen. Einmal in das Unternehmen gelassen, kann er sich aber mehr oder weniger frei bewegen. Was er allerdings tatsächlich tut, kann nicht ­aktiv kontrolliert beziehungsweise überwacht werden.“ Hier kommt „Privileged ­Access Management“ ins Spiel, wenn man so will, als virtueller Wachmann, der den Maler begleitet, filmt und gleichzeitig protokolliert, was er so macht. Die Auswertung der Daten kann nach dem „Vielaugenprinzip“ erfolgen, beispielsweise in Absprache mit dem Betriebsrat.

PAM: Privileged Account Management

Die Sicherheitsrisiken privilegierter Admin-Konten

PAM: Privileged Account Management

13.03.19 - Ganz gleich ob sie „nur“ Zugriff auf die Be­triebs­sys­teme oder (was wohl häufiger der Fall sein dürfte) auf das gesamte Unter­neh­mens­netz­werk haben: Administratoren haben sehr viel Macht sowohl über die IT- als auch über die Business-Ressourcen. Ihre „Privilegierten Konten“ können sich dabei allerdings auch schnell zu einer Gefahr entwickeln: Ein Überblick über PAM-Techniken und -Ansätze, die solche Probleme lösen sollen. lesen

Privileged Access Management

„Jemand, der im Netzwerk mehr tun kann, als lesen, also jemand, der erweiterte Berechtigungen hat und legal ins Unternehmen gelangt, kann mittels der Wallix-­Lösung seinen Zugang nicht missbrauchen“, sagt Rabben. Denn die Lösung protokolliert die Zugriffe der privilegierten User und kann dabei auch aktiv Regelverstöße unterbinden oder melden. Der klassische Weg ohne Privileged Access Management wäre der über eine Zugangskonsole und der Eingabe eines Nutzernamens samt Passwort. Der Nachteil dabei: Es kann schwer nachvollzogen werden, wer aus dem Pool der externen Mitarbeiter was wann im Firmennetzwerk macht.

Sind schützenswerte Daten betroffen, ist es aber sinnvoll und teils rechtlich geboten, nachweisen zu können, wer was im Netzwerk treibt. „Auch in Hinblick auf ISO-27001-, beziehungsweise ISO-27002-Zertifizierungen, oder wenn es um kritische Infrastrukturen gemäß Kritis-Verordnung geht, ist ein solcher Nachweis angebracht“, lässt Rabben wissen. In dem Fall als Video-Aufzeichnung aller Bildschirmaktionen.

Session Manager filmt alles mit

Die Wallix-Lösung stellt ein Zugangsportal zur Verfügung, in der Regel mit einer Zwei-Faktor-Authentifizierung. Aus dem Active Directory oder dem Identity-Management-System werden die Autorisierungen abgefragt, und entsprechende Zugriffe auf die berechtigten Ziele, also Server und Applikationen zugeteilt. Es kann sogar Zugriff auf Produktionsstraßen gewährt werden. „Umgesetzt wird das Ganze über eine Wallix-Appliance in der Trusted Zone im Netzwerk oder in der Cloud. Der komplette Zugriff wird dabei über unseren ‚Session-Manager‘ geroutet, der alle Aktionen am Bildschirm per Video aufzeichnet, mitprotokolliert und verschlagwortet, sodass später auch gezielt nach bestimmten Aktionen gesucht werden kann.“ Anhand der Verschlagwortung lassen sich die Aktionen des Nutzers nachvollziehen, indem beispielsweise danach gesucht wird, welche SQL-Abfragen vorgenommen wurden.

Single-Sign-on-Zugriff

Das System arbeitet agentenlos, denn die ‚Session Probe‘ im Zielsystem wird temporär angelegt und nach dem Zugriff entfernt.“ Neben dem protokollierenden Session Manager auf der Appliance, die Bastion genannt wird, ist der Passwort-­Manager eine weitere zentrale Komponente. Er ermöglicht einen Single-Sign-on-­Zugriff auf das Zielsystem, ohne dass der Nutzer weitere Zugangsdaten innerhalb des Systems kennt. So ist es möglich, dass für einzelne Zugänge nach jeder Session beispielsweise ein 120-stelliges, sehr starkes Passwort generiert wird, welches der externe Nutzer aber dank Passwort-­Management und Rechtevergabe gar nicht kennen muss.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 46050878 / Allgemein)