Sie sind hier: Home » Markt » Hinweise & Tipps

Passwort-Management auf der IT-Agenda


Mit einer Privileged-Identity-Management-Lösung die Gefahren des Datenmissbrauchs oder -diebstahls zuverlässig ausschließen
Abgesehen von der Reduzierung potentieller Sicherheitsrisiken können mit einer solchen PIM-Lösung auch die Anforderungen gängiger Compliance-Richtlinien und gesetzlicher sowie aufsichtsrechtlicher Bestimmungen erfüllt werden


(15.02.11) - Compliance-Anforderungen und Sicherheit gehören zu Herausforderungen jedes IT-Verantwortlichen. Security-Maßnahmen werden auf breiter Front ergriffen. Ein Bereich wird dabei aber laut IT-Sicherheitsexperte Cyber-Ark in der Regel vernachlässigt: das Passwort-Management.

Nach wie vor unterschätzen viele Unternehmen die Gefahren eines unzureichenden oder überhaupt nicht vorhandenen Passwort-Managements. Die Sicherheitsrisiken sind gravierend, denn privilegierte Benutzerkonten, wie sie Administratoren besitzen, ermöglichen einen Zugriff auf alle unternehmenskritischen Datenbestände.

Eine typische IT-Umgebung besteht aus zahlreichen Servern, Datenbanken oder Netzwerkgeräten, die alle über privilegierte, standardmäßig in den Systemen verfügbare Accounts mit weitreichenden Rechten gesteuert und verwaltet werden. Grundproblem dabei ist, dass sich auf den Systemen identische, oftmals leicht zu entschlüsselnde Passwörter befinden, die nur selten oder überhaupt nicht geändert werden.

Die Gefahren, die aus dieser Situation resultieren, sind unübersehbar: Über privilegierte Benutzerkonten ist ein unbeschränkter Zugriff auf nachgelagerte Systeme möglich. Wenn Unberechtigte Zugang zu solchen Bereichen haben, können sie unkontrolliert agieren und auf sensitive Informationen wie Personal-, Kunden- oder Finanzdaten zugreifen.

Ein Unberechtigter muss hier nicht der externe Hacker sein, es kann auch der Kollege sein, der vor sechs Monaten die Abteilung gewechselt hat. Erschwerend kommt hinzu, dass bei von mehreren Personen genutzten Shared Accounts keine Nachvollziehbarkeit gegeben ist.

Denn wenn eine größere Gruppe von Administratoren Zugriff auf Passwörter hat, kann nicht kontrolliert werden, welche Person ein solches Passwort wann und wozu verwendet hat, das heißt, eine revisionssichere Überprüfung der Verwendung eines generischen Accounts bis auf die Personenebene ist nicht möglich.

Lesen Sie zum Thema "IT-Security"auch: IT SecCity.de (www.itseccity.de)

Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn, betont: "Die Gefahren liegen auf der Hand. Doch wie wird diesen Herausforderungen heute in der Regel begegnet? Entweder es gibt überhaupt kein Passwort-Management oder man versucht sich an einer manuellen Änderung der Passwörter. Bei der normalerweise sehr großen Anzahl an unterschiedlichen Systemen ist dies allerdings ein extrem zeitaufwändiger und außerdem extrem fehleranfälliger Vorgang. Deshalb sollte man auf jeden Fall eine Lösung implementieren, mit der administrative Accounts automatisch verwaltet, regelmäßig geändert und überwacht werden können."

Um die Gefahren des Datenmissbrauchs oder -diebstahls zuverlässig auszuschließen, empfiehlt Cyber-Ark die Implementierung einer Privileged-Identity-Management (PIM)-Lösung, mit der die privilegierten Accounts, also Benutzerkonten mit erweiterten Rechten, zuverlässig verwaltet werden können. PIM kontrolliert, wer Änderungen vornehmen darf, überwacht, wer welche vorgenommen hat und protokolliert die Inhalte der Admin-Sessions.

Dabei gibt es verschiedene Lösungsansätze: von der Hardware-Appliance über eine Software-basierte Virtual Appliance bis hin zu einer reinen Software-Lösung. Gemeinsam ist den Lösungen, dass die Passwörter in einem gesicherten Bereich vor den Zugriffen unberechtigter Personen geschützt werden.

Gleichgültig für welches Angebot sich der Anwender entscheidet, wichtig ist, dass die Lösung einerseits eine sichere, zentrale Verwahrung und anderseits aber unbedingt eine regelmäßige automatische Änderung der Passwörter bietet - bis hin zu individuellen Passwörtern auf allen Systemen. Zudem muss eine Zugriffskontrolle und vollständige Überwachung beziehungsweise Protokollierung aller Aktivitäten vorhanden sein.

Abgesehen von der Reduzierung potentieller Sicherheitsrisiken können mit einer solchen PIM-Lösung auch die Anforderungen gängiger Compliance-Richtlinien und gesetzlicher sowie aufsichtsrechtlicher Bestimmungen erfüllt werden.

Compliance-Vorschriften aus dem Sarbanes Oxley Act (SOX), PCI-DSS, ISO 27001 oder Basel II erfordern zum Beispiel einen Nachweis, wer Zugriff auf privilegierte Benutzerkonten hat, welche Veränderungen vorgenommen wurden und ob die Passwörter ordnungsgemäß geschützt und geändert wurden. Auch in nationalen Gesetzestexten wie KWG, StGB, GoBS oder BDSG (Bundesdatenschutzgesetz) finden sich entsprechende Regelungen für IT-Verantwortliche.

Jochen Koehler erklärt: "Man sollte in diesem Zusammenhang auch nicht vergessen, dass Wirtschaftsprüfungsgesellschaften in letzter Zeit verstärkt die Thematik Passwort-Management aufgreifen und bemängeln, dass zu viele Mitarbeiter im Unternehmen umfangreiche Privilegien besitzen - Privilegien, die sie nicht oder nur selten benötigen. Auch das zeigt, dass Unternehmen das Thema PIM nicht mehr ignorieren können." (CyberArk: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Vorsicht vor Betrug bei Festgeldanlagen

    Wer auf der Suche nach attraktiven Tages- oder Festgeldanlagen ist, nutzt häufig eine Suchmaschinensuche oder ein Vergleichsportal im Internet. Doch hier heißt es, wachsam zu sein. Auch Unternehmensseiten wie Bankportale und Vergleichsportale können perfekt gefälscht sein.

  • Bestandteil der Investmentsteuer

    Die Vorabpauschale für Investmentfonds ist bereits seit 2018 Bestandteil der Investmentsteuer in Deutschland ist. Die Berechnung der Vorabpauschale basiert allerdings auf dem sogenannten Basiszins, der in der Vergangenheit oft im negativen Bereich lag. Daher wurde die Vorabpauschale erst wieder Anfang 2024 für das Vorjahr, also das Jahr 2023, erhoben. Doch was ist die Vorabpauschale und wie funktioniert sie? In diesem Artikel zeigen wir Ihnen, worauf Sie achten sollten.

  • KI, Datenschutz & Datensicherheit

    Bevor Unternehmen generative KI einführen, sollten sie sich einige Fragen stellen, damit die neuen Dienste nicht den Datenschutz und die Datensicherheit gefährden. Forcepoint verrät, welche Fragen das sind. Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten.

  • Cybersicherheit & NIS2-Compliance

    Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt - und verunsichert.

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen