Definition und Bewertung

Was ist Privileged Access Management?

Gelingt es Hackern, einen der privilegierten Zugriffe zu den IT-Systemen ihrer Opfer zu kapern, ist der Schaden meist besonders groß. Privileged Access Management (PAM) hilft vorzubeugen.
Von 
CSO | 08. November 2022 05:04 Uhr
Du kommst hier nicht rein! Das Rechtemanagement, gerade wenn es um weitreichende privilegierte Zugriffe geht, wird für Unternehmen immer wichtiger
Du kommst hier nicht rein! Das Rechtemanagement, gerade wenn es um weitreichende privilegierte Zugriffe geht, wird für Unternehmen immer wichtiger
Foto: Dave Clark Digital Photo - shutterstock.com

Privileged Access Management (PAM), manchmal auch als Privileged Identity Management (PIM) oder Privileged Access Security (PAS) bezeichnet, ist ein Teilbereich des Identity & Access Management (IAM).

Definition von Privileged Access Management

Bei Privileged Access Management geht es darum, administrative beziehungsweise hoch privilegierte Benutzerkonten inklusive der damit verbundenen Berechtigungen in IT-Systemen sicher zu organisieren und zu verwalten. Das betrifft insbesondere Konten von Administratoren, deren Befugnisse über die von regulären Standardnutzern weit hinausgehen.

Gartner zufolge gibt es rund um PAM verschiedene Unterdisziplinen:

  • Privileged Account and Session Management (PASM) für das granulare Steuern und Verwalten von Konten und Sitzungen. Es beinhaltet auch eine sichere Aufbewahrung von Anmeldeinformationen inklusive des Handlings dieser Daten wie zum Beispiel der regelmäßigen Änderung von Passwörtern.

  • Privilege Elevation and Delegation Management (PEDM) kontrolliert, welche Befehle ausgeführt werden. Außerdem lässt sich hinterlegen, was priorisiert ausgeführt beziehungsweise geblockt werden soll.

  • Secrets Management beinhaltet das Verwalten und Absichern von Objekten wie Passwörtern, Tokens, SSH-Schlüsseln und anderen Berechtigungsnachweisen.

Wer hat privilegierte Rechte?

Privileged Access kann menschliche wie auch maschinelle beziehungsweise softwarebezogene Identitäten betreffen. Anbieter Cyberark listet einige Beispiele auf:

  • Superuser-Konto: Ein leistungsfähiges Konto, mit dem IT-Systemadministratoren Konfigurationen an einem System oder einer Anwendung vornehmen, Benutzer hinzufügen und entfernen sowie Daten löschen können.

  • Domänenadministrator-Konto: Ein Konto, das privilegierten administrativen Zugriff auf alle Workstations und Server innerhalb einer Netzwerkdomäne ermöglicht. In der Regel gibt es nicht viele solcher Konten, aber sie bieten den umfassendsten und stabilsten Zugriff im gesamten Netzwerk. Oft ist auch vom "Schlüssel zur IT-Festung" die Rede, wenn es um die Privilegien von Administratorkonten und -systeme geht.

  • Lokales Administratorkonto: Dieses Konto befindet sich auf einem Endpunkt oder einer Workstation und nutzt eine Kombination aus User Name und Passwort. Benutzer können damit auf lokale Rechner und Geräte zugreifen und Änderungen daran vornehmen.

  • Secure-Socket-Shell(SSH)-Schlüssel: SSH-Schlüssel sind häufig genutzte Zugriffsprotokolle, die direkten Root-Zugriff auf kritische Systeme ermöglichen. Roots sind Benutzernamen oder Konten, die standardmäßig Zugriff auf alle Befehle und Dateien auf einem Linux- oder einem anderen Unix-ähnlichen Betriebssystem haben.

  • Notfallkonto: Dieses Konto bietet Benutzern im Notfall administrativen Zugriff auf sichere Systeme. Es wird manchmal auch als Firecall oder Break Glass Account bezeichnet.

  • Privilegierter Business-User: Ein Benutzer, der außerhalb der IT arbeitet, aber Zugriff auf sensible Systeme hat. Das kann zum Beispiel ein Mitarbeiter sein, der Zugriff auf Finanz-, Personal- oder Marketingsysteme braucht.

Beispiele für privilegierte Software-basierte oder Maschinen-Zugriffe:

  • Anwendungskonto: Ein privilegierter Account für eine bestimmte Anwendungssoftware, mit dem in der Regel der Zugriff auf die Anwendungssoftware verwaltet, konfiguriert oder gesteuert wird.

  • Service-Konto: Ein Konto, das von einer Anwendung oder einem Dienst für die Interaktion mit dem Betriebssystem genutzt wird. Dienste nutzen solche Konten, um auf das Betriebssystem oder eine Konfiguration zuzugreifen und Änderungen daran vorzunehmen.

  • SSH-Schlüssel: SSH-Schlüssel werden auch von automatisieren Prozessen genutzt.

  • Secret: Ein Sammelbegriff, den das Entwicklungs- und Betriebsteam (DevOps) oft für SSH-Schlüssel, API-Schlüssel und andere Anmeldedaten für privilegierten Zugriff verwendet.

Wie groß ist die Gefahr?

Kaum ein Unternehmen wird behaupten können, es gäbe innerhalb der eigenen IT-Systeme keine privilegierten Konten. Expertenschätzungen zufolge nimmt die Angriffsfläche, die weitreichende Berechtigungen bieten, signifikant zu. Das liegt unter anderem daran, dass die zunehmend heterogen und hybrid zusammengesetzten Landschaften in den Anwenderunternehmen immer komplexer werden. Verschiedenste Systeme, Anwendungen, Maschine-zu-Maschine-Konten, Cloud- und Hybridumgebungen, DevOps, robotergesteuerte Prozessautomatisierung und IoT-Geräte bilden ein weit verzweigtes Netz, in dem es schwerfällt zu kontrollieren, wer welche Rechte besitzt. Das gilt vor allem, weil sich die Umgebungen ständig verändern, neue Mitglieder und Objekte dazukommen oder andere abgeschaltet werden.

Hackern bleibt diese Situation nicht verborgen. Komplexe Angriffe basieren heute oft darauf, dass privilegierte Anmeldedaten missbraucht werden, damit sich Eindringlinge Zugang zu den Systemen verschaffen können. Da Privileged Access weit in die Systeme hineinreicht und Zugang zu sensiblen Daten, Anwendungen und Infrastrukturen erlaubt, kann der Schaden beträchtlich sein.

Wie funktioniert PAM?

PAM soll verhindern, dass Anmeldedaten gestohlen und privilegierte Rechte missbraucht werden. Dabei handelt es sich um einen umfassend angelegten Cyber-Security-Ansatz, der Mitarbeiter, Prozesse und Technologie mit einbezieht. Es geht darum, alle menschlichen und nicht menschlichen privilegierten Identitäten und Aktivitäten in einer IT-Umgebung zu kontrollieren, laufend zu überwachen, abzusichern und zu prüfen.

PAM beruht auf dem Least-Privilege-Prinzip, wonach Benutzer nur die für ihre jeweiligen Aufgaben erforderliche Rechte erhalten sollen. Das Least-Privilege-Prinzip gilt als Best Practice und ist Experten zufolge ein wesentlicher Schritt zum Schutz privilegierter Zugriffe auf sensible Daten und Ressourcen. Setzen die Unternehmen dieses Prinzip konsequent durch, lasse sich die Angriffsfläche verringern. Die Gefahr von internen Datenschutzverletzungen und externen Cyber-Angriffe könnte gesenkt werden.

Zu den Kernfunktionen von PAM gehören Gartner zufolge:

  • Erkennung von privilegierten Konten über mehrere Systeme, Infrastrukturen und Anwendungen hinweg,

  • Verwaltung von Berechtigungsnachweisen für privilegierte Konten,

  • Delegation des Zugriffs auf privilegierte Konten,

  • Aufbauen, Verwalten, Überwachen und Aufzeichnen von Sitzungen für interaktiven privilegierten Zugriff,

  • Kontrolle über die Reichweite von Eingaben und Befehlen.

Zu den optionalen Funktionen von PAM gehören:

  • Verwalten von Zugriffsrechten für Anwendungen, Dienste und Geräte,

  • Privilegierte Aufgabenautomatisierung (PTA),

  • Privilegierter Fernzugriff für Mitarbeiter und externe Benutzer.

Was sind die zentralen Herausforderungen beim PAM?

Cyberark zufolge gibt es eine Reihe von Herausforderungen rund um den Schutz, die Kontrolle und die Überwachung privilegierter Zugriffe:

  • Verwaltung von Anmeldedaten: Viele Unternehmen vertrauen auf aufwendige, fehleranfällige Prozesse für die Rotation und Aktualisierung privilegierter Anmeldedaten. Das kann ineffizient und letztendlich teuer sein.

  • Verfolgung privilegierter Aktivitäten: Manche Betriebe können privilegierte Sessions nicht zentral überwachen und steuern, wodurch sie verstärkt Cyber-Sicherheitsbedrohungen und Compliance-Verstößen ausgesetzt sind.

  • Überwachung und Analyse von Bedrohungen: Wenn Firmen nicht über geeignete Tools zur Gefahrenanalyse verfügen und nicht in der Lage sind, verdächtige Aktivitäten proaktiv zu erkennen und angemessen darauf zu reagieren, wachsen die Risiken.

  • Steuerung und Kontrolle privilegierter Benutzerzugriffe: Oft haben Unternehmen Schwierigkeiten, privilegierte Benutzerzugriffe auf Cloud-Plattformen (Infrastructure-as-a-Service und Platform-as-a-Service), Software-as-a-Service(SaaS)-Anwendungen, Social Media usw. wirksam zu kontrollieren, was zu Compliance-Risiken führt und den Betrieb komplexer macht.

  • Schutz von Windows-Domänencontrollern: Cyber-Angreifer können Schwachstellen im Kerberos-Authentifizierungsprotokoll ausnutzen, um sich als autorisierte Benutzer auszugeben und so Zugang zu kritischen IT-Ressourcen und vertraulichen Daten zu erhalten.

Wer bietet PAM an?

Werkzeuge für das Privileged Access Management gibt es als Einzellösung beziehungsweise als Bestandteil von weiter gefassten Identity & Access Management (IAM-)Suiten. Die Tools werden als physische oder virtuelle Appliance, als Software as a Service in der Cloud beziehungsweise als klassische lokal installierte Softwarelösung angeboten.

Zu den wichtigsten Anbietern zählen Gartner zufolge:

Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP; Betreuung von News und Titel-Strecken in der Print-Ausgabe der COMPUTERWOCHE.