PAM als Schlüsseltechnologie für kritische Umgebungen

PAM als Schlüsseltechnologie
für kritische Umgebungen
Geschlossene Tankstellen, durcheinander gewirbelte Flugpläne, flächendeckender Ausnahmezustand: Der Ransomware-Hack auf die Colonial Pipeline stürzte im Mai 2021 die US-amerikanische Ost-Küste ins Chaos – immerhin liefert die Colonial Pipeline Company dort 45 Prozent des Kraftstoffbedarfs. Der Angriff ging auf das Konto der Hacker-Gruppe DarkSide, die zunächst rund 100 GB an Daten stahl, dann das Abrechnungssystem kompromittierte – und die Pipeline schließlich komplett abschaltete. Erst nach Zahlung von 75 Bitcoin (damals rund 4,4 Mio. US-Dollar) erhielt das Unternehmen ein langsames Entschlüsselungstool und konnte am 12. Mai wieder in Betrieb gehen. Noch am selben Tag zeichnete Präsident Joe Biden eine Executive Order zur Stärkung der Cybersicherheit, um solchen Fällen vorzubeugen. Aber natürlich können Unternehmen auch ohne Schützenhilfe der Exekutive einiges tun, um sich zu schützen. Ganz oben auf der Liste: starker Schutz für Identitäten und Accounts, vor allem solche mit privilegierten Zugriffsrechten.

Der Colonial-Pipeline-Hack und die prompte Reaktion der Regierung verdeutlichen, wie gefährlich unzureichend geschützte Netzwerke sind. Vor allem KRITIS-regulierte Organisationen, die für die Aufrechterhaltung gesellschaftlicher Grundfunktionen verantwortlich sind, müssen solchen Szenarien daher konsequent vorbeugen. Neben dem Schutz der Anwender durch ein zeitgemäßes Identity- & Access-Management (IAM) gilt es dabei vor allem zu verhindern, dass sich Angreifer über kompromittierte Accounts und Server lateral durch das Netzwerk bewegen, um zusätzliche Rechte zu erlangen und ihr Schadenspotenzial zu maximieren. Dafür müssen Sie privilegierte Accounts mithilfe eines dedizierten Privileged Access Managements (PAM) schützen.

Wie funktioniert PAM?
Zu den Best Practices beim Schutz von Identitäten und Accounts gehört seit jeher das sogenannte Least-Privilege-Prinzip. Es stellt sicher, dass authentifizierten Anwendern stets nur ein Mindestmaß an Privilegien zugestanden wird, welches gerade so ausreicht, um die vorgesehene Aufgabe zu bewältigen. Sollte ein Angreifer trotz aller Schutzmaßnahmen Zugriff auf einen Nutzeraccount erlangen, ist der maximale Schaden, den er anrichten kann, durch die Rechte des jeweiligen Anwenders beschränkt: Hat dieser zum Beispiel lediglich Lesezugriff auf ausgewählte Ressourcen, ist das Risiko relativ überschaubar. Für einen optimalen Schutz empfiehlt es sich zudem, privilegierte Rollen (also Rollen mit besonders umfangreichen Rechten) nur für das jeweils notwendige Zeitfenster und nicht dauerhaft zu vergeben, Stichwort: Just-in-Time-Zugriff. Auf diese Weise kann die Angriffsfläche kritischer Netzwerkfunktionen erfolgreich minimiert werden.

Welche Maßnahmen sind darüber hinaus erforderlich?
Das Angebot an technologischen Lösungen, die Unternehmen beim PAM unterstützen, ist breit, und die Strategien der einzelnen Hersteller unterscheiden sich in vielen Details. Die grundsätzliche Stoßrichtung weist bei genauerer Betrachtung jedoch viele Parallelen auf, und einige zentrale Komponenten sind über alle Lösungen hinweg enthalten:

Den höchsten Schutz erfordern hochrangige Tier 0- oder Tier 1-Ressourcen wie Domänencontroller. Daher gewähren die meisten Anbieter den privilegierte Zugriff darauf nur in einer isolierten Umgebung und schützen ihn durch robuste Multi-Faktor-Authentifizierung.
Ähnlich streng sind die Vorgaben für Zugriffe auf IDs von SaaS-Admins und privilegierten Business-Anwendern. Hier stehen vor allem robuste Strategien für das Passwortmanagement im Fokus, die starke Passwörter und automatische Passwortwechsel durchsetzen.
Kritische Zugangsdaten für Infrastruktur-Accounts, DevOps-Accounts sowie SSH-Schlüsselpaare sollten sich stets in sicheren Vaults ablegen lassen.
Um zusätzliche Cyber-Resilienz zu gewährleisten, empfehlen viele Hersteller weitere Maßnahmen wie Red-Team-Übungen oder erweiterte Auditing- und Reporting-Features.
Welche Lösung passt zu uns?
Welches Produkt für Ihr Unternehmen am besten geeignet ist, hängt von einer Vielzahl von Faktoren ab: Handelt es sich um ein echtes Greenfield-Projekt? Oder haben Sie in bestimmten Bereichen vielleicht schon PAM-Insellösungen im Einsatz, oder sogar eine unternehmensweite Legacy-Lösung, mit der Sie aber nicht zufrieden sind? Welchen gesetzlichen und branchenspezifischen Compliance-Bestimmungen unterliegen Ihre Systeme? Und favorisieren Sie einen Cloud-nativen, einen hybriden oder einen On-Premises-Ansatz? Die Erfahrung zeigt, dass sich Inhouse-Teams oft schwertun, diese Art von Fragebogen vollumfänglich zu beantworten und ohne externe Beratung zu entscheiden, ob etwa CyberArk, Thycotic oder One Identity Safeguard für ihr Unternehmen am besten geeignet sind.

Kostenloser Pre-Workshop
Es lohnt sich also, frühzeitig einen herstellerunabhängigen Berater oder Systemintegrator hinzuzuziehen, der mit den Produkten der verschiedenen Hersteller vertraut ist und einschätzen kann, welche Lösung sich am besten in Ihre Architektur einfügt und am besten zu Ihren Anforderungen und Risikoprofil passt. iC Consult bietet im Bereich PAM einen unverbindlichen, kostenlosen Pre-Workshop an, bei dem wir gemeinsam den aktuellen Stand Ihrer IT sowie Ihre künftigen Anforderungen ausloten. Der Workshop umfasst folgende Assets:

Definition von Key Priorities und Business Goals bei der PAM-Migration
Betrachtung vorhandener Lösungen und Durchführung einer Gap-Analyse
Bewertung des aktuellen PAM-Reifegrads
Darstellung bestehender Abhängigkeiten für die Migration (etwa mit Blick auf Legacy-Systeme und erforderliche Anpassungen)
Entwicklung eines stufenweisen Ansatzes zur Verwaltung privilegierter Identitäten
So erhalten Sie einen umfassenden Überblick über Ihr PAM-Projekt, lernen unser Team kennen – und machen so den ersten Schritt auf Ihrer PAM-Journey. Sie erreichen uns unter pam-journey@ic-consult.com oder auf ic-consult.com/de/pam-journey/.

In den kommenden Tagen werden wir Ihnen in weiteren Artikeln aufzeigen, wie die PAM-Journey in Greenfield und in Brownfield-Szenarien ablaufen kann.