Home » Fachbeiträge » Security Management » IAM und PAM im Verbund

IAM und PAM im Verbund

Bisher galt privilegiertes Zugriffsmanagement für Unternehmen nur als „nice to have“. Getrieben durch Compliance und Regulierungsvorgaben wird sich das zukünftig ändern. Ein Identitäts- und Zugriffsmanagement (IAM) sowie das privilegierte Zugriffsmanagement (PAM) sind heute ein Muss für mehr Sicherheit.

4 Min. Lesezeit
Hand eines Mannes hält Karte mit technischen Daten/Identitätsdaten
Foto: ©AdobeStock/Apichet

Der Bedarf an sicherem Zugang zu den Daten von Unternehmen war noch nie so groß wie heute. Man denke nur an die Standardisierung des Homeoffices, die massive Zunahme der Cloud-Dienste, das starke Wachstum der Zahl der mobilen Geräte und an vieles mehr. Diese Anwendungen erhöhen die Anzahl der Zugangspunkte zur IT-Infrastruktur eines Unternehmens erheblich. Sie sind für Hacker potenzielle Einfallstore, deren Sicherung dringend umzusetzen ist, um die dahinter verbogenen Daten und Anwendungen zu schützen.

Die Basissicherheit beginnt in der IT mit einem Zugangsschutz zu den Systemen und somit auch zu allen Daten im Netzwerk. In der realen Welt bestätigen wir unsere Identität mit einem Personalausweis. Online haben wir dafür Passwörter, PINs oder biometrische Merkmale wie den Fingerabdruck. Sie alle sind Bestandteil unserer sogenannten „digitalen Identität“, die uns den Zugang zu diversen persönlichen Accounts gewährt: vom E-Mail-Konto über firmeninterne Portale bis hin zur Steuererklärung.

Identity-Management ist die IT-Disziplin, die darüber wacht, wer Zugang zu einem Unternehmen bekommt und wer was tun darf. Die Identitätsverwaltung umfasst Systeme, Richtlinien und Prozesse, die die Benutzeridentität, Authentifizierung und Systemberechtigung überwachen. Sie umfasst auch die Verwaltung von privilegierten Benutzern, die berechtigt sind, Systemeinstellungen zu verwalten. Das können beispielsweise externe Dienstleister oder Administratoren sein. In der Praxis beinhaltet Identity-Management den Einsatz von Lösungen für das Identitäts- und Zugriffsmanagement (IAM) und das privilegierte Zugriffsmanagement (PAM). Um zu verstehen, wie die Identitätsverwaltung besser funktionieren könnte, muss man zunächst verstehen, wie IAM und PAM funktionieren.

Identitäts- und Zugriffsmanagement

Bei IAM geht es um zwei miteinander verbundene, aber unterschiedliche Faktoren der Benutzeridentität. Erstens muss eine IAM-Lösung in der Lage sein, den Benutzer zu authentifizieren. Das ist die Frage „Ist diese Person wirklich die, die sie behauptet zu sein?“. Die Authentifizierung des Benutzers ist jedoch nur ein Teil des IAM-Prozesses. Die Lösung muss auch die Berechtigungen des Benutzers bestätigen.

IAM-Lösungen überprüfen,

  • ob Benutzer sind, wer sie behaupten zu sein und
  • auf welche Systeme und Tools ein bestimmter Benutzer Zugriff hat.

Idealerweise hat die IT-Abteilung IAM konfiguriert, um den Zugriff auf alle IT-Ressourcen zu steuern. Dazu gehören Anwendungen, Daten banken, Speicherressourcen und Netzwerke sowie Ressourcen von Partnern. IAM-Plattformen mindern somit Sicherheits- und Konformitätsrisiken, die aus einem unberechtigten Zugriff resultieren können.

Privilegiertes Zugriffsmanagement

Ein privilegierter Benutzer ist jemand, der berechtigt ist, sich am administrativen Backend eines Systems anzumelden. Mit diesem Zugriff kann der berechtigte Benutzer andere Benutzerkonten einrichten, ändern oder löschen. Solche Personen können berechtigt sein, Systemkonfigurationen zu ändern oder sogar das ganze Programm zu deinstallieren. In einigen Fällen können privilegierte Benutzer auch auf Daten zugreifen, die auf dem System gespeichert sind. Der privilegierte Zugriff wird manchmal auch als „Root-Zugriff“ bezeichnet.

Der privilegierte Zugriff birgt eine Reihe möglicher Sicherheitsrisiken. Ein böswilliger Akteur, der sich beispielsweise als privilegierter Benutzer ausgibt, könnte ein Unternehmen durch eine Abhöraktion, durch die Änderung von Produktionsdaten oder die Offline-Schaltung von Systemen zum Erliegen bringen. Eine PAM-Lösung mindert solche Risiken.

PAM-Lösungen beruhen auf der Einrichtung einer sicheren, optimierten Methode zur Autorisierung und Überwachung aller privilegierten Benutzer. Funktionen umfassen normalerweise die Möglichkeit, privilegierten Zugriff zu gewähren und zu widerrufen. Sie können als Mittelsmänner zwischen privilegierten Benutzern und den von ihnen verwalteten Systemen fungieren. Auf diese Weise hat der privilegierte Benutzer keinen direkten Backend-Zugriff.

PAM-Lösungen bieten:

  • eine umfassende Kontrolle darüber, wer Zugriff auf kritische Systeme hat,
  • die vollständige Sichtbarkeit aller Benutzeraktivitäten sowie
  • eine Passwortverschlüsselung und -verwaltung zur Durchsetzung sicherer Passwortrichtlinien.

 

Bild: Wallix

Unternehmen müssen alle Zugänge zum Netzwerk schützen.

IAM und PAM

Die meisten Unternehmen haben eine IAMLösung wie das Active Directory. Und sie haben eine Möglichkeit, PAM durchzuführen, wenn sie nicht sogar schon eine vollständige PAM-Lösung betreiben. Es besteht jedoch die Gefahr, dass IAM und PAM als Silos nicht integriert sind. So können leicht inkonsistente Zugriffsrichtlinien zwischen IAM- und PAM-Lösungen auftreten. Während IAM zum Beispiel möglicherweise Überprüfungen von Benutzerprivilegien erfordert, wird das von der PAM-Lösung eventuell nicht eingefordert.

IAM und PAM sollte man daher idealerweise in eine einheitliche Identitätsverwaltung integrieren. Eine gemeinsame IAM-PAM-Lösung zentralisiert die Identitätsverwaltung, indem sie das privilegierte Zugriffsmanagement mit einem einzigen maßgeblichen Identitätsspeicher zusammenführt. Die Zusammenführung beider Lösungen bietet einige Benefits:

  • zentrale Kontrolle über die Bereitstellung des gesamten Identitätszugriffs im Unternehmen
  • Erkennung von Benutzern mit übermäßig vielen Zugriffsrechten
  • Vereinfachung der Eingliederung und Ausgliederung von Benutzern
  • Überprüfung möglicher Unstimmigkeiten bei Zugriffskontrollen und Richtlinienverletzungen

Fazit

In der heutigen Zeit ist es für Unternehmen unerlässlich, ihren IT-Zugang zu sichern und nicht nur die sensibelsten Konten. Die Kombination von IAM und PAM geht über die Sicherung privilegierter Konten hinaus. Sie schützt nach dem Prinzip der geringsten Privilegien den Benutzerzugang und die Arbeitsstationen, um eine Kontamination durch Malware oder Ransomware zu verhindern. Im Rahmen ihrer täglichen Arbeit benötigen alle Benutzer zu einem bestimmten Zeitpunkt Privilegien für den Zugriff auf bestimmte digitale Ressourcen im Unternehmen. Die Herausforderung besteht darin, den Zugang zum richtigen Zeitpunkt und mit der richtigen Berechtigungsstufe zu gewähren, um die erwartete Aufgabe zu erfüllen, unabhängig davon, wo sich der Benutzer befindet, ob innerhalb oder außerhalb des Unternehmens. Daher stellt die Kombination von IAM und PAM einen wichtigen Schritt für mehr Sicherheit dar.

Porträt Stefan Rabben, Wallix
Bild: Wallix

Stefan Rabben ist Area Sales Director DACH and Eastern Europe bei WALLIX.

Andere interessante Fachbeiträge

Wie Datenräume helfen, neue Geschäftsmodelle zu entwickeln

In der heutigen Zeit werden sehr große Datenmengen generiert und verwaltet, dennoch wird der Wert der Daten in Deutschland und Europa nicht voll ausgeschöpft. Die gemeinsame Nutzung von Daten kann und soll datengetriebene Anwendungen noch weiter vorantreiben, bei der Erfüllung regulatorischer Anforderungen helfen sowie einen finanziellen Mehrwert für Firmen schaffen.

Goldgrube Zugangsdaten

Der Diebstahl von Zugangsdaten hat sich in den letzten Jahren zu einer hochprofessionellen und besorgniserregenden Form der Cyberkriminalität entwickelt. Die Zahl der Initial-Access-Broker (IAB) ist nahezu explodiert, Ransomware-Gruppen haben sich rasant vermehrt, die Preise für Malware sind in die Höhe geschnellt und zu allem Überfluss sind sogenannte Traffers auf der Bildfläche aufgetaucht.

NIS-2 ist alles andere als ein Papiertiger

Bis Oktober 2024 werden die EU-Mitgliedstaaten die neue NIS-2-Richtlinie (Network and Information Security Directive) in das jeweilige nationale Recht überführen – und dabei die Anforderungen und den Geltungsbereich der NIS-1 signifikant erweitern.