Privileged Access Management (PAM)

Privilegien können in der IT- und Datensicherheit schnell zum Nachteil werden. Im Privileged Access Management findet man darum Lösungen, welche die Sicherheit durch spezifisches Rechtemanagement bewahren. In erster Linie steht Privileged Access für ein Vorgehen, bei dem verschiedene Rollen nur eine Basisausstattung an Rechten erhalten, mit der nur wenig und gut abwendbar Schäden verursacht werden könnten – sollte es zum Schadensfall kommen. Doch das moderne Privileged Access Management (PAM) steht für weit mehr als das. Als Teil eines Identity and Access Management-Systems bedeutet PAM eine schlanke und praktikable Verwaltung von Rechten und Rollen, bei der mit einer geringen Arbeitslast maximale Sicherheitsvorkehrungen getroffen werden und welche die Arbeit von Usern und Admins vereinfacht und optimiert.

Wie funktionieren die verschiedenen Sicherheitsvorkehrungen von PAM? Welche Maßnahmen können getroffen werden, um Data Breaches nach Hackerattacken zu vermeiden?

Was ist Privileged Access Management?

Privileged Access Management (PAM), auch Privileged Account Management oder Privileged Identity Management (PIM) steht für eine portionierte und zeitlich begrenzte Zuteilung von Rechten und dem nötigen Zugriff nach gerechtfertigtem Bedarf. Dabei erfolgt das sogenannte Provisioning, also die Zuteilung von Rechten anhand der Aufgabe, die ein User bzw. seine Rolle stetig im System übernehmen, und anhand der Zusatzrechte, die für die Bearbeitung einer besonderen Aufgabe benötigt werden.

Unterschied PAM und PIM

Einige Quellen sehen einen Unterschied zwischen PAM und PIM im Bezug auf die Directory: Während PAM der Active Directory zuzuordnen ist, wird PIM mit der Azure Active Directory in Verbindung gebracht. PAM ist nach dieser Art der Unterscheidung für Zugriffe auf Ressourcen der Active Directory und PIM Zugriffe auf das Internet und somit auch Clouds, Federated Services und ähnliche zuständig.
Andere Quellen sehen eine engere Verbindung und werten die unterschiedlichen Namen – Privileged Access Management, Account Management oder Identity Management nur als unterschiedliche Namen auf dem Markt, die Access Management-Systeme beschreiben, welche sowieso das volle Spektrum der Directories abdecken – und das aufgrund moderner Anforderungen und der Verbindung zwischen Offline- und Onlineressourcen auch müssen.

Wie funktioniert Privileged Access Management (PAM)?

Beim PAM sind die Rechte der User oder Rollen nur sehr gering ausgestattet. Erhält ein IT-Mitarbeiter dann beispielsweise einen Auftrag, für den er erweiterte Rechte benötigt, bestellt er in einem PAM-System wie OGiTiX die Rechte im Selfservice. Diese Bestellung wird geprüft, einer erweiterten Kontrolle und Authentifizierung des Users und der Anfrage unterzogen und danach für einen begrenzten Zeitraum gestattet.

Die Rechte erlöschen nach einer bestimmten Zeit. Mit Monitoring-Funktionen können Sicherheitsbeauftragte in der IT zudem regelmäßig prüfen, dass User nur die Rechte haben, die Sie wirklich für Ihre Rolle benötigen Rezertifizierung.

Warum Privileged Access Management?

PAM und PIM werden verwendet, um gegen Data Breaches anzukämpfen. Zu bekannten Attacken und Sicherheitslücken gehören die Folgenden:

Über-Privilegierung

Die Überdimensionierung der User-Rechte geht mit der Gefahr einher, dass diese in Vergessenheit gerät. Mit Superusern im Netzwerk wächst zudem das Risiko, dass diese Macht missbraucht wird oder die Folgen von Fehlern Auswirkungen auf das gesamte Netz haben.

Pass-the-Hash-Attacks (PtH), Ticket-Attacks

Bei dieser Art der Attacken verschaffen sich Hacker Zugang zu einem Passwort oder einer Berechtigung und nutzen es dann, um sensible Daten zu erbeuten. Geschieht dies im PAM-System, erhalten User nur sehr eingeschränkten Zugriff. Das Risiko wird zudem minimiert, da im PAM-System die Dauer des Zugriffs beschränkt und somit ein Angriff über die Dauer der Bearbeitung eines bestimmten Auftrags hinaus nicht mehr möglich ist.

Spear Phishing

Im Gegensatz zu anderen Phishing Attacken ist das Risiko beim Spear Phishing der gezielte Angriff auf Privileged Accounts von Mitarbeitern in wichtigen Rollen – also Superuser. Hacker eignen sich dafür wichtige Informationen über einen User im Netzwerk an. Mit Hintergrundwissen über Unternehmensstrukturen, Mitarbeiter, deren Hobbys etc. erhalten die Hacker Zugriff. Das macht eine gute Absicherung durch 2-Way-Authentication vor allem bei sensiblen Zugangsrechten übrigens umso wichtiger. Im Jahr 2016 lagen die Kosten für eine Spear Phishing Attacke pro Opfer durchschnittlich bei 1,6 Millionen Dollar. Im Jahr 2020 warnten US-Behörden vor dem Anstieg der Angriffe, da aufgrund von Corona mehr Beschäftigte im Home Office arbeiteten.

Lateral Movement Attacks

Bei Lateral Movement Attacks bewegen sich die Angreifer zunächst unerkannt im Netzwerk, um dieses zu erkunden und später an Schwachstellen zuzuschlagen. Ein schwereres Spiel haben diese, wenn die Rechte im Privileged Identity Manager so zugeteilt werden, dass die Privilege Escalation von vornherein vermieden wird.

Höhere Sicherheit durch schlanke Rechteverwaltung mit OGiTiX

Mit Sicherheitsmaßnahmen des Identity and Access Managements wie Roll Based Access Control, PAM und weiteren bietet OGiTiX mit Unimate Access Management für SAP, Active Directory und Windows Notebooks eine Rechteverwaltung im Self-Service and Approval Management. Schnelle, wirksame und praktikable Lösungen bereichern Unternehmen vieler Branchen, die sensible Informationen und Nutzerdaten schützen und aktuelle gesetzliche Vorgaben einhalten wollen.

Dabei unterstützen OGiTiX und unimate Ihre Sicherheit in den Disziplinen des Identity und Access Management durch ein modulares System, das mit Ihren Bedürfnissen wächst und nur so viel kostet, wie Sie wirklich nutzen.

Profitieren auch Sie von den passenden Lösungen, fairen Preismodellen und Funktionen des User-Lifecycle Managements, Identity and Access Managements und Privileged Access Managements.