Als im Zuge der Corona-Pandemie die Zahl der Cyber-Angriffe in die Höhe schnellte, nahmen viele Unternehmen und Behörden dies zum Anlass, ihre Security auf den Prüfstand zu stellen und nach besonders gefährlichen Angriffsvektoren Ausschau zu halten. Die Analyse dokumentierter Breaches brachte Klarheit: Laut aktuellen Studien sind bei über 80 Prozent aller Sicherheitsverstöße privilegierte Zugangsdaten involviert. Schutz verspricht nur ein ganzheitliches Privileged Access Management (PAM), das die Zugriffe auf privilegierte Accounts überwacht und beschränkt. Doch wie können Unternehmen ein solches Projekt angehen? Wir haben für Sie einige wichtige Best Practices für Greenfield-Vorhaben zusammengetragen.
Starten wir mit einem Exkurs: Anfang Februar 2021 nahmen Hacker eine Wasseraufbereitungsanlage in Oldsmar, Florida, ins Visier, und hoben dort den Natriumhydroxidgehalt des Wassers kurzzeitig von 100 ppm auf ein gefährliches Niveau von 11.100 ppm an – ausgerechnet zwei Tage vor dem Superbowl im nahegelegenen Tampa. Zum Glück bemerkte ein Mitarbeiter den Eindringling, der das Netzwerk über gestohlene Zugangsdaten via TeamViewer infiltriert hatte, und konnte den Angriff vereiteln. Gefahr für die Bevölkerung entstand laut Aussage der Stadtbeamten zwar nicht. Doch der Vorfall verdeutlicht, wie wichtig ein starkes Identity & Access-Management gerade in KRITIS-regulierten Umgebungen ist – zumal mit Blick auf das enorme Schadenspotenzial beim Missbrauch privilegierter Accounts.
Schritt 1: Readiness Assessement
Falls Sie noch keine Lösung für die privilegierte Zugriffsverwaltung nutzen oder nur rudimentäre Ansätze implementiert haben, sollten Sie zunächst bei einem Readiness Assessment prüfen, ob Ihr Unternehmen alle organisatorischen Weichen für ein solches Projekt gestellt hat. Im Rahmen des Assessments werden verschiedene Aspekte Ihres Vorhabens untersucht, um beurteilen zu können, ob Sie das Projekt erfolgreich bewältigen werden oder vorab in Teilbereichen nachjustieren müssen. Dabei stehen folgende Fragestellungen im Mittelpunkt:
- Wie lauten die konkreten Projektziele?
- Welche Erwartungen und Bedenken haben die beteiligten Mitarbeiter?
- Unterstützt die Unternehmensführung das Vorhaben?
- Wie sieht der Governance-Rahmen des Projektes aus?
- Ist das Unternehmen anpassungsfähig genug?
- Wo könnten Projektfehler lauern und wie lassen diese sich minimieren?
- Welche individuellen Anforderungen müssen erfüllt werden?
- Sind die Ressourcen ausreichend?
Schritt 2: Bewertung der existierenden Infrastruktur
Anschließend benötigt das Projektteam einen umfassenden Überblick darüber, wie das aktuelle Netzwerk konzipiert ist. Neben der grundlegende Infrastruktur – Legacy, hybrid oder Cloud-basiert – gilt es dabei vor allem das Security-Ökosystem zu betrachten. Darüber hinaus muss das Team eine klare Vorstellung davon haben, wie und in welchen Teilbereichen die Infrastruktur durch die neue PAM-Lösung geschützt werden soll – etwa, ob ein unternehmensweites Lösungskonzept favorisiert wird oder lieber kleinere, projektbasierte Insellösungen integriert werden sollen.
Schritt 3: Review der Technologielandschaft
Die Analyse der vorhandenen Technologielandschaft hilft Ihnen einzuschätzen, wie das neue PAM am besten eingebunden werden kann. Der einfachste Fall ist dabei ein echtes Greenfield-Projekt ohne Technologie-Altlasten, in einer Cloud-nativen Umgebung. In diesem Szenario wird sich die neue Lösung wahrscheinlich einfach und schnell out-of-the-box implementieren lassen. In komplexeren Umgebungen – etwa, wenn Legacy-Systeme vorhanden sind oder hybride Accounts geschützt werden müssen – sollten Sie sich folgende Fragen stellen:
- Ist die neue PAM-Lösung mit dem Technologiebestand kompatibel?
- Wie kann das PAM effizient integriert und nahtlos in die IT eingefügt werden?
- Reicht eine Standardlösung oder sind Anpassungen durch den Integrator notwendig?
- Benötigen wir zusätzliche Schnittstellen für die Anbindung kritischer Systeme – und wenn ja: Wo und in welchem Umfang?
Schritt 4: Migrationsplanung
Im nächsten Schritt gilt es dann schon, eine vorläufige Roadmap mit allen Übergangsplänen und Zielen festzuhalten – einschließlich verbindlicher Umsetzungsschritte und eines konkreten Zeitplans. Diese strukturierte Herangehensweise hilft Ihnen, Ihre PAM-Journey zu vereinfachen und gleichzeitig zu beschleunigen. Jetzt ist auch der richtige Zeitpunkt, um sich einen Überblick über die voraussichtlichen Kosten des Projekts zu verschaffen. Kalkulieren Sie die TCO – ohne teure, ungeplante Überraschungen – am besten für einen Zeitraum von 3 bis 5 Jahren. Das ermöglicht es Ihnen, bekannte Kostentreiber und klassische versteckte Ausgaben gezielt im Blick zu behalten.
Fazit und Lösungspakete von iC Consult
Entscheidend für die Implementierung einer professionellen, tragfähigen PAM-Umgebung ist eine strategische Herangehensweise, die das Vorhaben in seiner gesamten Komplexität erfasst und darauf aufsetzend die Weichen für eine erfolgreiche Umsetzung stellt. Achten Sie insbesondere darauf, sämtliche Stakeholder frühzeitig einzubeziehen und transparent mit ihnen zu kommunizieren. So sichern Sie sich umfassende Unterstützung auf allen Unternehmensebenen – von der Geschäftsführung bis zu den Anwendern.
iC Consult bietet für PAM-Greenfield-Szenarien zwei Lösungspakete an:
- Wenn Sie sich für das Paket iC Core entscheiden, übernehmen wir für Sie alle in diesem Beitrag geschilderten Schritte – vom Readiness Assessement über die Bewertung der Infrastruktur und das Review der Technologielandschaft bis zur Migrationsplanung. Dazu gehören High-Level Empfehlungen wie eine PAM-Reifegradanalyse, die uns helfen, Sie bei den ersten Schritten zu unterstützen und das Fundament für ein sicheres Unternehmensnetzwerk zu legen.
- Das etwas weiter gefasste Paket iC Core+ enthält darüber hinaus auch einfache Out-of-the-Box-Integrationen, eine Use-Case-Dokumentation, vier statt zwei begleitende Workshops sowie einen detaillierteren Implementierungsplan für bis zu sieben Systeme.
Falls Sie vor dem Kick-off des Projektes einen Überblick über den Ablauf erhalten möchten, empfehlen wir einen kostenlosen, unverbindlichen Pre-Workshop. Kontaktieren Sie dazu gerne unsere PAM Experten oder erfahren Sie hier mehr. In Kürze werden wir Ihnen auch die PAM Journey für Brownfield-Szenarien erläutern.