Modelle zum Schutz privilegierter Accounts haben sich in den letzten Jahren nachhaltig verändert: An die Stelle punktueller, manuell gemanagter Projekte treten immer öfter zeitgemäße, automatisierte Next-Generation-Lösungen. Ganzheitlich und programmatisch aufgelegt, bündeln diese PAM-Programme unterschiedlichste Komponenten: von der Kennwortverwaltung über das Sitzungsmanagement und flexiblen Authentifizierungsoptionen bis hin zu umfassenden Analysen und Privileged Access Governance. Keine Frage: Die Integration eines solchen Programms ist eine komplexe Integrationsaufgabe. Sie ist aber auch der beste Schutz vor steigenden Angriffszahlen.
„Dear Sir, go through the attached document on safety measures regarding the spreading of corona virus“, lautet der Beginn einer 2020 angeblich von der WHO verschickten E-Mail. Auch wenn die Aufmachung inklusive Logo professionell wirkte, handelte es sich doch um eine der vielen Phishing-Nachrichten, die in der Hochzeit der Pandemie millionenfach die Runde machten. Der Großteil der Nachrichten versuchte Nutzer mit polarisierenden Aussagen zum Klick auf infizierte Links zu bewegen – und so eine Hintertür ins Netzwerk zu öffnen. Ab dann ging es lateral im Netzwerk weiter, bis der Angreifer die Kontrolle über einen privilegierten Account erlangte – und damit auch den Zugriff auf die wertvollsten Assets des Unternehmens. Zuverlässig verhindern lässt sich ein solcher Angriff nur mit einem konsequenten Privileged Access Management (PAM). Doch die erfolgreiche Integration in bestehende Strukturen erfordert eine intelligente und strategische Herangehensweise.
In den ersten Planungsschritten gilt es, die grundlegenden Rahmenbedingungen des Projekts abzustecken. Dazu gehört in erster Linie die Bewertung der organisatorischen Readiness: Denn es wäre sinnlos, mit der Migrationsplanung zu starten, bevor zum Beispiel die Unternehmensführung hinter der Lösung steht. Außerdem sollte die existierende Infrastruktur evaluiert werden, um die neue PAM-Lösung passgenau designen zu können. Und wenn die Architektur feststeht, gibt die detaillierte Erfassung der Technologielandschaft Aufschluss über die optimale Integration.
Diese drei Faktoren sind, grob skizziert, das universelle Fundament eines jeden PAM-Projekts. Wie Sie darauf aufsetzend die Weichen für erfolgreiche Greenfield-Projekte stellen, haben wir in unserem letzten Beitrag erörtert. Heute untersuchen wir, worauf es bei der PAM-Journey in Brownfield-Szenarien ankommt.
Migrationsplanung in bestehenden Umgebungen
Ein guter Start ins Projekt ist es zu analysieren, warum und in welchen Bereichen ihre vorhandene Lösung Ihren Vorstellungen nicht mehr gerecht wird. Sind Sie grundsätzlich unzufrieden und würden am liebsten alles ersetzen? Oder würde es reichen, das Feature Set zu erweitern? Darauf aufsetzend können Sie schon etwas genauer planen, wie sich die vorhandenen Werkzeuge am besten entfernen oder ergänzen lassen, um die Key Priorities zu erreichen. Neben einer detaillierten Marktbewertung sollten Sie in dieser Phase auch eine fundierte Gap-Analyse durchführen, um die Migration einzelner Komponenten zielgerichtet und strategisch zu planen. Darüber hinaus hilft die Betrachtung konkreter Use Cases dabei, weitere Defizite der Bestandslösung zu identifizieren.
Implementierung und Migration
Sowohl die Implementierung der neuen Lösung als auch die Migration der Bestandssysteme erfordern die nahtlose Verzahnung aller Komponenten – nur so lassen sich die Weichen für effiziente und automatisierte Abläufe beim Privileged Access Management stellen. Es gilt also, maßgeschneiderte Schnittstellen und Konnektoren zwischen der PAM-Lösung, den einzelnen Komponenten und den vorhandenen IT-Systemen zu implementieren und alle Anwendungen in diese Prozesse einzubinden. Der Integrationsaufwand variiert dabei je nach Art des Lösungsansatzes – sprich: ob die komplette PAM-Architektur aus einer Hand stammt, oder ob einzelne PAM-Bausteine verschiedener Hersteller bezogen werden.
Konfiguration für globale Unternehmen
Für große, internationale Unternehmen sind Standardlösungen von der Stange in der Regel keine echte Option, da ihre verteilten Netzwerke mit unterschiedlichsten Subnetzen weitaus höhere Anforderungen an das Privileged Access Management stellen. So müssen global tätige Unternehmen in verschiedenen Regionen häufig auch unterschiedlichen regulatorischen Vorgaben gerecht werden, was einen deutlich höheren Planungs- und Umsetzungsaufwand nach sich zieht.
Hinzu kommt, dass globale Unternehmen in der Regel organisch und anorganisch gewachsen sind – und damit fast zwangsläufig heterogene Strukturen ausweisen, die sich in der Praxis eben nicht über einen Kamm scheren lassen. Diese Herausforderungen sind nur mit maßgeschneiderten Anpassungen zu bewältigen.
Fazit und Lösungspakete von iC Consult
PAM-Initiativen für Brownfield-Umgebungen weisen im Vergleich zu Greenfield-Szenarien eine deutlich höhere Komplexität auf – und gehen damit auch mit einem deutlich höheren Planungsaufwand einher. In Anbetracht der steigenden Angriffszahlen und den weitreichenden Folgen, die bei der Kompromittierung privilegierter Accounts drohen, ist der Verzicht auf eine durchgängige PAM-Lösung allerdings keine Option – vor allem im KRITIS-regulierten Bereich.
iC Consult bietet Unternehmen mit bestehenden PAM-Lösungen oder einzelnen PAM-Komponenten zwei abgestufte Leistungspakete für ihre PAM-Journey an:
Das Paket iC Bulletproof sichert kleinere und mittlere Unternehmen mit überschaubarem Individualisierungsanspruch „kugelsicher“ ab. Das Paket beinhaltet von der Bereitschaftsanalyse bis zur Einrichtung und Durchführung der Migration alles, um Ihr PAM-Projekt zu einem erfolgreichen Abschluss zu bringen. In insgesamt 7 begleitenden Workshops entwickeln die Experten von iC Consult High-Level-Empfehlungen, erarbeiten mit Ihnen ein passendes Projekt-Konzept, erstellen eine detaillierte Roadmap und kalkulieren für Sie die TCO für die nächsten drei bis fünf Jahre.
iC Global ist ein vollständig kundenspezifisches Angebot für global agierende Unternehmen mit hohen Ansprüchen und modernen DevOps-Umgebungen. Es umfasst einen wesentlich breiteres Leistungspaket und kann bedarfsgerecht für unterschiedliche Regionen konfiguriert werden. Ein konkretes Angebot ist auf Nachfrage erhältlich.
Mit unseren Brownfield-Lösungspaketen unterstützen wir Sie gerne auf Ihrer PAM-Journey. Falls Sie zunächst einen ersten Überblick über den Umfang Ihres PAM-Projekts erhalten möchten, helfen wir Ihnen gerne mit unserem kostenlosen, unverbindlichen Pre-Workshop.
Nutzen Sie einfach unser Kontaktformular oder erfahren Sie hier mehr.