Passwortmanagement vs. Privileged Account Management

Noch immer hält sich hartnäckig die Annahme, dass der Einsatz von Privilege-Account-Management-Lösungen vorrangig großen Unternehmen mit qualifizierten IT-Teams vorbehalten ist, während kleine und mittlere Unternehmen beim Schutz ihrer privilegierten Konten und sensiblen Daten auf herkömmliche Passwortmanagement-Tools zurückgreifen können. Tatsächlich zeichneten sich viele PAM-Lösungen lange Zeit durch eine Komplexität in der Verwaltung sowie stattliche Preise aus.

Doch obwohl sich PAM-Tools sowohl in Sachen Benutzerfreundlichkeit als auch Erschwinglichkeit stark gewandelt haben, greifen vor allem viele mittelständische Unternehmen nach wie vor auf traditionelle Passwortverwaltungslösungen der Endverbraucherklasse zurück – im Glauben, ihre privilegierten Accounts und deren Anmeldedaten ausreichend zu schützen. Doch das Sicherheitsniveau dieser Passwort-Manager, das vor allem auf dem Speichern von Anmeldeinformationen in einem Passworttresor“ basiert, kann nicht mit den dem einer PAM-Lösung mithalten, die in ihrer Leistung über das Sichern von Passwörtern hinausgeht. Nicht umsonst hat Gartner PAM als eine der Top-Prioritäten für CISOs im Jahr 2018 gelistet.

Folgende fünf Punkte zeigen die wichtigsten sicherheits- und benutzerfreundlichkeitsrelevanten Unterschiede zwischen Passwortmanagement-Tools und Privilege-Account-Management-Lösungen:

1. Zwei-Faktor-Authentifizierung. Einfache Passwörter sind die wohl beliebteste und am häufigsten verfügbare Sicherheitsmaßnahme, gleichzeitig jedoch auch die verwundbarste, da sie bei weitem keine ausreichend starke Identitätsprüfung bieten. Um das Risiko des Missbrauchs zu verringern, verlangen viele IT-Sicherheits- und Compliance-Frameworks bei der Validierung von Nutzern deshalb nach einer weiteren Identifikationsebene, insbesondere bei der Anmeldung bei privilegierten Konten und dem Zugriff auf sensible Daten. Sichern Unternehmen ihre Passwörter nur mit Hilfe eines Passwortmanagement-Tools, müssten sie – um den Compliance-Anforderungen gerecht zu werden – zusätzlich für eine Zwei-Faktor-Authentifizierung sorgen, während PAM-Lösungen diese standardmäßig bieten. Gerade auch im Hinblick auf die EU-DSGVO ist die Zwei-Faktor-Authentifizierung für Unternehmen eine nicht zu vernachlässigende Sicherheitsbarriere.

2. Vollständige Transparenz. IT-Abteilungen, die auf herkömmliche Passworttresore setzen, wähnen ihre sensiblen Kennwörter in Sicherheit. Tatsächlich haben sie jedoch keinen Überblick darüber, ob ihre Kollegen und Mitarbeiter alle relevanten Passwörter auch tatsächlich dort ablegen, oder nur einen Teil davon. Bei der Menge an Konten und entsprechenden Zugangsdaten verlieren viele Unternehmen zudem schnell den Überblick. Dies ist vor allem bei privilegierten Konten mit weitreichenden Rechten ein Problem: So sind 70 Prozent der Unternehmen gar nicht in der Lage, sensible Accounts vollständig zu identifizieren, wie der „2018 Global State of PAM Risk and Compliance“-Report zeigt. Privileged Account Management-Tools erkennen privilegierte Konten hingegen automatisch und vollständig und verschaffen den Verantwortlichen vollen Überblick über das ganze System. Dies ermöglicht es auch, veraltete, nicht mehr gebrauchte Accounts zu löschen – die laut dem Datenrisiko-Report von Varonis immerhin rund 34 Prozent aller Benutzerkonten eines Unternehmens ausmachen – und das Systemzugriffrecht einzelner Mitarbeiter auf das erforderliche Minimum zu reduzieren.

3. Zentralisierte Passwortverwaltung. In den meisten Unternehmen, egal ob groß oder klein, erfordert die Compliance, dass privilegierte Passwörter regelmäßig sowie bei bestimmten Vorkommnissen, wie etwa beim Ausscheiden eines Admins oder einem Sicherheitsvorfall, geändert werden müssen. Beim Einsatz einfacher Passwortmanager liegt diese Verantwortung oft beim einzelnen Nutzer, der dann dafür zu sorgen hat, dass außerdem alle zugehörigen Systeme und Benutzer auf dem neuesten Stand sind. Dies kann sehr zeitaufwendig sein und wird daher gerne vernachlässigt. PAM-Lösungen hingegen ermöglichen es, Passwortänderungen und -rotationen nach einem individuell festgelegten Zeitplan zu automatisieren. Alle verbundenen Systeme und Nutzer werden dabei in Echtzeit und ebenso automatisch über die Änderungen informiert, so dass keinerlei manueller Eingriff mehr notwendig ist. Mit Hilfe spezieller Session-Launcher ist es zudem möglich, einzelnen Personen vorübergehend begrenzten Zugang zu Accounts und Systemen zu gewähren – ohne Zugriff auf das entsprechende Passwort. Dies ist vor allem für Unternehmen hilfreich, die mit vielen verschiedenen Vertragspartnern oder externen Mitarbeitern zusammenarbeiten.

4. Monitoring und Zugriffsüberwachung. Die Absicherung der Passwörter allein ist darüber hinaus nicht ausreichend, um eine Kompromittierung privilegierter Konten und damit verbunden weitreichenden Datenmissbrauch zu verhindern. Um dies gewährleisten und potenziell schädliche Vorgänge frühzeitig identifizieren zu können, brauchen Sicherheitsverantwortliche vielmehr eine vollständige Transparenz über die Aktivitäten sämtlicher administrativer Benutzer sowie alle Zugriffe. Während Passwortverwaltungs-Tools auf Verbraucherniveau in der Regel nur einige nicht anpassbare Basisberichte zur Verfügung stellen, bieten die meisten PAM-Lösungen den Verantwortlichen eine komplette Sitzungsüberwachung und -aufzeichnung. Immer öfter kommen dabei auch Machine-Learning-Technologien zum Einsatz, die Benutzeraktivitäten auf Basis von individuellen Verhaltensmustern analysieren und verdächtige Zugriffe so automatisch und zeitnah melden. Dies unterstützt die Sicherheitsabteilung im Ernstfall auch bei der Einhaltung der strengen Melde- und Dokumentationspflicht der EU-DSGVO.

„Eine der Herausforderungen, mit denen sich Sicherheits- und IT-Teams heutzutage konfrontiert sehen, ist die Ausbreitung von Systemen und die Verwaltung vieler verschiedener, nicht miteinander verbundener Technologien.“

Markus Kahmen, Thycotic

5. Integration mit IT- und Sicherheitssoftware. Eine der Herausforderungen, mit denen sich Sicherheits- und IT-Teams heutzutage konfrontiert sehen, ist die Ausbreitung von Systemen und die Verwaltung vieler verschiedener, nicht miteinander verbundener Technologien. Dies kostet die Verantwortlichen wertvolle Zeit und Ressourcen, etwa wenn sie bestimmte Anmeldeinformationen und Sicherheitsberichte mit einer Passwortmanagement-Lösung verwalten, andere Sicherheitsreports jedoch mit einem davon unabhängigen SIEM-Tool. Privileged-Account-Management-Lösungen umgehen dieses Problem, indem sie sich problemlos in andere essentielle Sicherheitswerkzeuge wie etwa SIEM integrieren lassen, und sorgen so für eine deutliche Entlastung der Teams.

Security-Verantwortliche in Unternehmen müssen letztlich abwägen: Suchen sie nach einer Möglichkeit, einfache, an einzelne Nutzer gebundene Passwörter zu schützen, sind mit einem benutzerfreundlichen Passwortmanagement-Tool sicherlich bestens bedient. Sollen jedoch privilegierte, mit weitreichenden Berechtigungen ausgestattete Konten geschützt werden, geht es um nutzerübergreifende Accounts, haben auch externe Dienstleister oder Partner Zugriff, oder handelt es sich um ein wachsendes Unternehmen, genügt ein herkömmliches Passwortmanagementsystem den Sicherheitsanforderungen sicherlich nicht. Hier ist eine Privileged-Account-Management-Lösung unabdingbar. Diese schützt alle Arten von Unternehmenspasswörtern und Anmeldeinformationen, die den Zugriff auf die IT-Infrastruktur steuern.