Was ist Privileged Access Management (PAM)?

Privileged Access Management, kurz PAM, ist einer der effektivsten Prozesse und Präventivsysteme, mit denen Unternehmen das Risiko reduzieren können, das ihnen durch ihre Mitarbeiter, Partner, Anbieter, Systeme und Dritte entsteht.

In diesem Artikel erläutern wir PAM, zeigen Ihnen, wann, warum und wie es für Ihre Cybersicherheit angebracht ist, und gehen auf einige wichtige Aspekte bei der Implementierung von PAM in Ihrem Unternehmen ein.

Was ist Privileged Access Management (PAM)?

Privileged Access Management, kurz PAM, definiert, welche Ihrer Mitarbeiter, Partner, Anbieter und sogar Anwendungen Zugriff auf Ihre spezifischen Konten und Daten haben, und gibt Ihnen so volle Kontrolle und Flexibilität.

PAM wird durch eine Mischung aus Software, festgelegten Prozessen und Durchsetzung implementiert. Dadurch wird der Zugriff auf Ihre kritischsten Daten und Assets ausschließlich auf Personen mit privilegiertem Zugriff beschränkt. Es ist auch eine Möglichkeit, Benutzer mit erhöhtem Zugriff zu überwachen, um sicherzustellen, dass Ihre Assets und Daten geschützt sind.

Bei der Entwicklung eines PAM-Systems in Ihrem Unternehmen sollten Sie auch die Strategie festlegen. So können Sie sicherstellen, dass Sie nicht nur angeben, für welche Arten von Daten und Assets PAM erforderlich ist, sondern auch für die Definition des Prozesses verantwortlich sind, der vorschreibt, welche Mitarbeiter und Abteilungen in Ihrem Unternehmen verschiedene Arten von Konten mit privilegiertem Zugriff haben.

Wie PAM zur Sicherheit einer Organisation beiträgt

Die Implementierung eines PAM-Systems in Ihrem Unternehmen ist eine der besten Möglichkeiten, um das Risiko eines externen oder internen Vorfalls zu reduzieren, indem verhindert wird, dass böswillige Akteure über ein internes Konto auf Ihre sensibelsten Daten zugreifen können. PAM unterstützt die Sicherheit Ihres Unternehmens auf verschiedene Arten, die im Folgenden aufgeführt sind.

Kritische Daten sind nur für diejenigen zugänglich, die sie benötigen

Ohne PAM können Ihre Assets und kritischen Daten von Ihren Mitarbeitern oder Dritten abgerufen werden, denen die möglichen Risiken solcher sensiblen Informationen eventuell nicht komplett bewusst sind. Mit dem richtigen PAM-System reduzieren Sie die Anzahl der Zugriffspunkte auf Ihre kritischen Assets drastisch.

Böswillige Parteien werden ausgeschlossen

Per Definition erfordert jedes PAM-System eine Art von Genehmigung, bevor eine Partei auf ein bestimmtes Asset oder Konto zugreifen darf. Je nachdem, wie sensibel das Konto ist, kann es sich dabei um eine manuelle oder eine automatische Freigabe handeln. Das heißt, es gibt eine weitere Schutzschicht, die verhindert, dass ein böswilliger Hacker oder eine Hacker-Gruppe auf Ihre Daten zugreift (oder Ihre Mitarbeiter ausnutzt).

Jede verdächtige Aktivität wird überwacht

Ein PAM-System sollte Informationen darüber sammeln, welche Parteien (über welche Konten) auf Ihre Daten oder Assets zugreifen. Wenn Ihr Unternehmen Opfer einer Datenoffenlegung, eines Datenverlusts oder eines Datenschutzvorfalls wird, sollten Sie in der Lage sein, über Ihr PAM-System zu erkennen, wer dafür verantwortlich war und wie es abgelaufen ist.

Sie können Vorschriften und Compliance-Standards einhalten

Da man mit PAM-Systemen eine Multi-Faktor-Authentifizierung (oder Zwei-Schritt-Authentifizierung) einrichten, Audit Trails erstellen und den Zugriff begrenzen/einschränken kann, halten Sie dadurch nicht nur bestimmte Vorschriften ein, sondern erhalten auch ein Protokoll der Aktivitäten, das Sie im Falle einer Prüfung vorlegen können.

Gestohlene Anmeldedaten können nicht gegen Sie verwendet werden

Ein PAM-System ist eine weitere Sicherheitsebene und ein Zugangspunkt, der sich von der traditionellen Benutzername/Passwort-Zugriffsform unterscheidet, die verwendet wird, wenn kein PAM-System eingesetzt wird. Das bedeutet, dass böswillige Hacker keine Anmeldedaten verwenden können, die sie im Darknet, über Phishing oder durch Ausnutzung hartcodierter Standardeinstellungen erlangt haben, um an Ihre sensibelsten Daten zu gelangen.

Der Zugriff auf Daten und Systeme ist zentralisiert

Viele Sicherheitsorganisationen haben ein Problem im Hinblick auf Bewusstsein und Transparenz, da eine wachsende Anzahl an Anbietern, Anwendungen und Mitarbeitern die Gesamtgröße einer Organisation wachsen lassen und damit die Angriffsfläche des Unternehmens erhöhen. Ein PAM-System zentralisiert Ihre Asset-Transparenz und -Überwachung, damit Ihnen keine wichtigen Informationen entgehen.

Wie sieht PAM für Unternehmen aus?

Je nach Reife und Einrichtung Ihrer Unternehmenssicherheit kann ein PAM-System relativ einfach gehalten werden oder eine Kernkomponente des gesamten IT-Systems eines Unternehmens sein.

Die Nutzung einfacher Kontrollen wie Gast- und Administratorkonten (potenziell mit verschiedenen Konten mit unterschiedlichen Zugriffsebenen dazwischen) in Ihren Datenbankanwendungen und sogar innerhalb von Anwendungen wie Ihren öffentlichen Social-Media-Konten ist eine Form von PAM, die verhindert, dass unbefugte Benutzer zu viel Zugriff oder Kontrolle in Ihrer Umgebung haben.

Mit zunehmender Reife von PAM-Systemen können diese jedoch systemweit genutzt werden, nicht nur auf Basis einzelner Systeme oder Anwendungen. Dies beginnt mit der Erstellung eines Prozesses, der den privilegierten Zugriff nach Funktionen und Rollen, Datensensibilität und systemweiten Berechtigungen und Kontrollen definiert und durchsetzt.

Während Sie ein solches System und einen solchen Prozess einrichten, kann Ihr Unternehmen bereits damit beginnen, PAM für Neueinstellungen zu verwenden, und wenn Mitarbeiter in ihren Abteilungen aufsteigen oder die Abteilung komplett wechseln.

Unterschiede zwischen PAM-Systemen

PAM-Systeme haben sich im Laufe der Jahre stark weiterentwickelt und ähneln auch den IAM-Systemen (Identity Access Management). Im Folgenden erläutern wir die Unterschiede zwischen den beiden und zeigen, wie Sie sie zusammen verwenden können.

So unterscheidet sich PAM von Identity Access Management (IAM)

Identity Access Management hat zum Ziel, die Rolle und den Aufgabenbereich jeder einzelnen Person innerhalb einer Organisation zu definieren, um sicherzustellen, dass sie ihre Arbeit korrekt und effizient erledigen kann. Bei PAM hingegen geht es mehr um die Überwachung und Begrenzung des Zugriffs durch die Schaffung eines Systems von privilegierten und nichtprivilegierten Konten.

Mit anderen Worten: Bei IAM soll jeder einzelne Benutzer innerhalb einer Organisation unter dem Gesichtspunkt der Produktivität verwaltet werden, während das Ziel von PAM darin besteht, die Daten einer Organisation zu sichern und das Risiko einer Datenschutzverletzung oder Offenlegung zu reduzieren.

PAM kann jedoch in Verbindung mit IAM verwendet werden, wenn Sie PAM-Prozesse einrichten und definieren, welche Arten von Rollen und Funktionen Zugriff auf bestimmte sensible und kritische Daten haben sollen.

Herkömmliche und moderne PAM-Systeme im Vergleich

Während frühere PAM-Systeme oft auf einer sitzungsbasierten Verwaltung beruhten, bei der der Zugriff auf eine Organisation nur von einem einzigen Punkt aus möglich war, führte das zu übermäßigen Risiken – wenn nämlich dieser einzelne Zugriffspunkt kompromittiert werden konnte, war die gesamte Organisation demjenigen ausgeliefert, der in der Lage war, diese Schwachstelle auszunutzen.

Moderne PAM-Systeme konzentrieren sich stattdessen auf die Überwachung, Transparenz und Begrenzung des Zugriffs, anstatt den Zugriff hinter einem Authentifizierungspunkt zu platzieren. Damit können Sie verschiedene Arten von Lokalzugriffs-, Domänenebenen-, Gast- und Administratorkonten mit unterschiedlichen Kontrollen und Berechtigungen definieren und erstellen.

Dieses Maß an Granularität kann Ihnen dabei helfen, Ihr PAM-System noch weiter auszubauen, sodass Sie Schwachstellen angehen können, die bei Remote- oder Homeoffice-Zugriffspunkten auftreten können.

PAM-Best-Practices: zu verwaltende Konten

Thycotic zufolge gibt es 7 Arten von privilegierten Zugriffskonten, die Sie priorisieren sollten. Dazu gehören:

• Domänen-Administratorkonten
• Domänen-Dienstkonten
• Lokale Administratorkonten
• Notfallkonten (auch bekannt als „Break the glass“-Konten)
• Servicekonten
• Anwendungskonten
• Privilegierte Datennutzerkonten

Auf diese Konten sollten Sie sich konzentrieren, da eben solche Konten zu Problemen führen können, wenn sie Ziel eines Angreifers oder eines unvorsichtigen Mitarbeiters werden.

Während Sie Ihre Richtlinien und Prozesse entwickeln, sollten Sie sich darüber im Klaren sein, dass nur wichtige Rollen und Funktionen solche Konten haben sollten. Während Sie Ihre Cybersecurity-Abteilung weiter ausbauen, können Sie Ihre Aufmerksamkeit auf weitere Rollen wie Root-, WLAN-, Hardware- und gemeinsame Konten lenken. Diese können immer noch ein gewisses, wenn auch geringeres, Risiko für Ihr Unternehmen darstellen.

Integration von PAM in Ihre Cybersecurity-Abteilung

Privileged Access Management ist unerlässlich, um sicherzustellen, dass Ihr Unternehmen sicher bleibt, auch wenn es wächst und mehr Mitarbeiter, Anbieter, Software und Tools hinzufügt. Es sollte als Teil Ihrer gesamten Cybersecurity-Strategie betrachtet werden, da es sich auf Ihre Netzwerksicherheit, die Anfälligkeit Ihrer Assets und in gewissem Maße sogar auf das Drittanbieter-Risikomanagement auswirkt. Um mehr über andere Möglichkeiten zu erfahren, wie Sie die Informationen Ihres Unternehmens schützen können, werfen Sie hier einen Blick auf die Datenschutzlösung von Varonis.