Privileged Identity Management (PIM)
Data Breaches bedeuten für Unternehmen Verluste: Finanzielle Einbußen, ein geschädigtes Ansehen, Downtimes oder sogar Erpressungsversuche von Cyberkriminellen gehören zu den Folgen, wenn Sicherheitslücken ausgenutzt werden und Daten in falsche Hände geraten. Privilegierte Accounts stehen dabei im Fokus, denn Schäden, die mit Zugriffsrechten in diesen gehobenen Rollen entstehen, sind immens.
Privileged Identity Management (PIM) bezeichnet einen Gegenentwurf zur Einzelvergabe von Rechten und beschränkt die Möglichkeiten bestimmter Rollen wie der von Admins oder anderen Super-Usern. Das Resultat ist ein optimiertes und an den Arbeitsprozess angepasstes Rechtemanagement, das sich einfacher verwalten und überwachen lässt.
Was bedeuten Privilegien im PIM? Wie funktioniert PIM? Und welche Unterschiede gibt es zwischen Privileged Identity Management und Privileged Access Management?
Was ist PIM Privileged Identity Management?
Privileged Identity Management (PIM) ermöglicht es, dass auch User, die für gelegentliche Aufgaben privilegierte Zugriffsrechte benötigen, grundlegend mit sehr schlanken und sicheren Rechten ausgestattet werden. Bei der Einbindung des PIM in ein Access Management-System erfolgt dieser verwaltende Akt unter minimiertem Arbeitsaufwand.
Die Definition von Privileged Identity Management (Privilegiertes Identitäts-Management): Zugriffsmanagement, bei dem Identitäten oder Rollen über einen bestimmten Zeitraum von einem Key-Admin oder Sicherheitsbeauftragten ein privilegiertes Zugangsrecht zugewiesen wird, nachdem diese Entität dieses Recht im IAM System beantragt hat.
Warum ist PIM notwendig?
Zugangsrechte gehen mit Möglichkeiten einher, die gut überwacht werden müssen, denn Risiken gibt es viele. Ein einfaches Szenario: Ein Admin benötigt für das Ausführen einer Aufgabe Privilegien, so z. B. die Autorisierung, bestimmte Befehle in einem vorher nicht zugänglichen Teil des Netzwerks auszuführen. Zugriffsautorisierung und Einzelrechte sind oft nachteilig, da:
Entzug der Sonderrechte vergessen werden kann
Es ist viel zu tun, man wollte die Rechtevergabe schon vor Stunden vornehmen und nun ist der Vorgesetzte am Telefon und erinnert an die Dringlichkeit – in der Hektik der Alltagsaufgaben das Sonderrecht einräumen und sich wieder in die bisherige Arbeit stürzen.
In diesem Szenario kann es schnell passieren, dass der User die Sonderrechte behält und auf einem schlummernnde Risiko sitzt, auf sensible Daten zugreifen kann und nun auch sehr viel Zeit dafür hat, seine Rechte und Zugänge auszutesten.
Der Administrationsaufwand groß ist
Arbeitsaufwand zu reduzieren bedeutet auch, Kosten zu reduzieren. Aufgaben der Administration sind ein wichtiger Beweggrund für die Optimierung, die mit einem im Identity and Access Management-System sowie mit PIM einhergehen.
User bestellen in diesen Systemen Rechte wie in einem Webshop, der Vorgang wird geprüft und das Privileg für einen bestimmten Zeitraum zugeordnet. Zudem sind auch Aufgaben der Verwaltung – also die Archivierung der Berechtigungen und ein Monitoring-System in vielen IAM-Systemen Teil des Pakets. So kann regelmäßig und automatisch geprüft werden, ob Usern ungerechtfertigt Prioritäten eingeräumt sind, welche überhaupt nicht benötigt werden, um die Aufgaben auszuführen.
Der Schaden groß ist, wenn der User gehackt wird
Wird ein Super-User gehackt, dann sind die Folgen für das Unternehmen riesig – besonders wenn zu viele sensible Rechte und Privilegien dauerhaft eingeräumt sind. Mit der schlanken Rechtevergabe im PIM bedeutet der gehackte Nutzeraccount, dass der entstehende Schaden minimiert werden kann.
User ihr Recht missbrauchen könnten
Wer über die richtigen Informationen verfügt, kann diese für sich nutzen – doch werden diese für die falschen Zwecke genutzt, können die Schäden umfangreich sein. Und das aus den richtigen Händen quasi über Nacht die falschen werden, kann im Arbeitsalltag leider vorkommen: So kann eine Person über eine ausbleibende Beförderung oder eine Kündigung erbost sein, und auch eine private Geldnot kann dafür sorgen, dass Daten veruntreut werden – z. B. an die Mitbewerber gehen.
Mit PIM wird dieses Risiko minimiert, da User von Haus aus nicht über diese vielseitigen Möglichkeiten und Rechte verfügen.
Wie funktioniert Privileged Identity Management?
Im Privileged Identity Management erhält ein User Zugang zu einer Funktion nur dann, wenn es wirklich benötigt wird. Hat ein Admin beispielsweise einen bestimmten Auftrag, für den er Zugang zu einer anderen Partition oder einen Bereich des Netzwerks benötigt, der ihm bisher versperrt ist, dann benötigt er zusätzliche Rechte für das Ausführen dieser Rolle.
Mit PIM als Teil des IAM-Systems bestellt der User diese Rechte und liefert eine kurze Begründung, warum und für welchen Zweck er diese Rechte benötigt. Ein Schlüsseladmin oder anderer IT-Mitarbeiter in entsprechender Position vergibt diese Rechte unter der Bedingung, dass sich der User erneut identifiziert – dafür kann auch eine Multi-Factor-Authentifizierung genutzt werden, um Fehler oder “Cyber False Flag Attacks” zu vermeiden.
Der Nutzer erhält die Rechte nun über einen bestimmten Zeitraum, der idealerweise der Dauer der Bearbeitung des Auftrags entspricht. Die Rechte werden danach automatisch entzogen. In der IT kann der Vorgang nun archiviert werden. Dafür speichern Verantwortliche alle Anfragen, Berechtigungen von Vorgesetzten und die Dauer des Zugriffs. Vorteilhaft für die Kontrolle des Vorgangs ist es nun auch, dass die Abläufe (z.B. ausgeführte Befehle oder Abfragen) des Zeitraums explizit geprüft werden könnten, wenn der Verdacht auf Missmanagement besteht.
Vorteile von PIM
- Schlanke Rechtevergabe als Teil der Prozessoptimierung
- Risikominimierung und Schadensminimierung (Data Breaches, diverse Attacken etc.)
- User kommen nicht in Versuchung, Rechte zu missbrauchen
- Monitoring und Archivierung von Vorgängen
- ergänzt sich praktisch mit RBAC und anderen Möglichkeiten von IAM-Systemen
IAM, PAM und PIM Unterschiede
Identity and Access Management (IAM) beschreibt eine Summe von Vorgängen, die in einem Netzwerk sicherstellen, dass die richtigen User aus richtigen Gründen zur richtigen Zeit Zugang zu den entsprechenden Möglichkeiten im Netzwerk erhalten.
Eine Besonderheit beim PIM ist die zeitliche Gebundenheit der Rechte, die im IAM häufig den Entitäten nach Identifikation im Netzwerk zugeschrieben werden. Ein PIM kann allerdings auch Teil eines IAM-Systems sein, da die vielen Vorteile und die Einfachheit der Rechtevergabe die Option als Erweiterung des IAM-Systems Attraktivität verleihen.
PIM und PAM auf Markt äquivalent verwendet
Die Definiton von PIM und PAM ist laut Oxford Computer Training verschwommen. Privileged Identity Management und Privileged Access Management beschrieben beide den zeitlich gebunden Zugriff. Wobei der Unterschied der zeitlich eingeschränkten Zuteilung eines Users zu einer neuen Identität (PIM) oder dem Access (Zugriff) (PAM) mit demselben Zweck auf unterschiedliche Zuteilung der Entitäten abzielen.
Verschiedene Anbieter nutzten ein “PxM-System” mit unterschiedlichen Formulierungen für den gleichen Zweck, so weiter: “x” könne in den Produkten die Bedeutungen Identity, Account, Access oder User einnehmen – also PIM, PAM und so weiter.
PIM Privileged Identity Management als Teil des IAM-Systems
Privileged Identity Management bedeutet als Teil des Access Managements viele Vorteile für die optimierte Zuteilung von Rechten an Identitäten. Als Teil der Prozessoptimierung vereinfacht PIM die Verwaltung von Rechten in der IT, schafft transparentere Vorgänge und erhöht die Sicherheit durch die Zuteilung der notwendigen Rechte über den notwendigen Zeitpunkt. Als Option des Access Managements ist es im Sicherheitssystem darum gefragt.
OGiTiX: unimate PAM für einfaches Rechtemanagement
Bei OGiTiX finden Sie praktisches Access Management, das sich bereits in Unternehmensstrukturen, Krankenhäuser, Banken und vielen weiteren professionelle Netzwerken beweisen konnte. Vertrauen Sie Ihren Mitarbeitern mit dem unimate Privileged Access Management für SAP, Active Directory oder Windows Notebooks nur die Rechte an, die für den Arbeitsprozess benötigt werden.
Die Anfrage und Zuteilung der Rechte erfolgt im praktischen Self-Service: Befristete Zugriffe aus dem Berechtigungskatalog bieten Ihnen einfache, schnelle und sichere Lösungen, bei denen jeder Schritt lückenlos archiviert und nachvollzogen werden kann. OGiTiX wächst mit Ihren Bedürfnissen – vom Passwortservice, über PAM und Schnittstellen-Designer bis zur vollen Digitalisierung mit unimate zahlen Sie nur für die Funktionen, die Sie wirklich benötigen.