Privilegierte Benutzerverwaltung vs. Privilegierte Zugriffsverwaltung: Was ist der Unterschied?

In der heutigen, sich schnell entwickelnden Cybersicherheitslandschaft ist die Verwaltung von privilegierten Zugängen zu einem wichtigen Anliegen für Unternehmen jeder Größe geworden. Zwei gängige Ansätze zur Verwaltung des privilegierten Zugriffs sind Privileged User Management (PUM) und Privileged Access Management (PAM). In diesem Artikel vergleichen wir PUM- und PAM-Ansätze und untersuchen, warum sie für die Sicherheit Ihres Unternehmens wichtig sind.

Das Problem der unkontrollierten Privilegien

Je weniger Kontrolle Sie haben, desto mehr Geld riskieren Sie.

Zu Beginn möchten wir den privilegierten Zugang definieren. Dabei handelt es sich um den Zugang zu Daten, Systemen und Computern, die für allgemeine Benutzer nicht zugänglich sind. Privilegierter Zugriff ist häufig hochgradig vertrauenswürdigem und autorisiertem Personal vorbehalten, z. B. Systemadministratoren, Netzwerktechnikern und Führungskräften, die für die Verwaltung kritischer Systeme, Anwendungen und Daten erhöhte Berechtigungen benötigen.

Einfach ausgedrückt: Privilegierter Zugang ist ein Schlüssel, der die Tür zu den sensibelsten und wertvollsten Teilen der digitalen Infrastruktur eines Unternehmens öffnet. Mit diesem Schlüssel kann ein Benutzer eine breite Palette von Aktionen durchführen, von der Installation neuer Software und der Konfiguration von Netzwerkeinstellungen bis hin zum Zugriff auf vertrauliche Daten.

Wenn jedoch privilegierter Zugriff in die falschen Hände gerät, kann dies zu Cybersecurity-Risiken wie Privilegieneskalation, Missbrauch und anderen schwerwiegenden Folgen für das Unternehmen führen.

Wenn böswillige Benutzer über privilegierte Anmeldeinformationen verfügen, können sie auf verschiedene geschäftskritische Ressourcen zugreifen, darunter:

• Kritische Systeme – Mit Zugriff auf ein legitimes privilegiertes Konto können Angreifer ungehindert eingeschränkte Ressourcen nutzen und geschäftskritische Systeme blockieren.

• Datenbanken – In dem Moment, in dem Angreifer privilegierte Zugangsdaten erhalten, haben sie die Möglichkeit, auf die in den Datenbanken Ihres Unternehmens gespeicherten Informationen zuzugreifen, sie zu kopieren, zu ändern und sogar zu zerstören.

• Anwendungen – Bei verschiedenen Prozessen von Anwendung zu Anwendung werden ebenfalls privilegierte Zugangsdaten verwendet.

• Cloud-Umgebungen – In Cloud- und Container-Umgebungen werden spezielle Administratorschlüssel und -geheimnisse für die Erstellung neuer Instanzen, die Verwaltung von Arbeitslasten und die Interaktion mit Datenbanken verwendet. Sobald Angreifer Zugang zu diesen Anmeldeinformationen erhalten, können sie sowohl Cloud-Ressourcen als auch wertvolle Informationen manipulieren.

Aus diesem Grund sind Cyberkriminelle, die es auf Ihre sensiblen und vertraulichen Daten abgesehen haben, häufig auf der Suche nach Zugangsdaten für privilegierte Nutzer. Das akuteste Problem ist jedoch, dass menschliches Versagen in der Regel die Ursache für erfolgreiche Cyberangriffe ist.

Während einige Personen ihre Passwörter auf leicht zugänglichen Notizzetteln aufbewahren, klicken andere auf verdächtige E-Mail-Links, ohne die Konsequenzen zu bedenken. Das Ergebnis ist jedoch immer dasselbe: Ein Angreifer, sei es ein böswilliger Insider oder ein Eindringling, verschafft sich Zugang zu wichtigen Geschäftsinformationen.

Wie man Datenbanken vor Missbrauch von Privilegien schützt

Die wichtigsten Gründe für die Kontrolle des privilegierten Zugangs

Zahlen sprechen lauter als Worte.

Laut dem Bericht “Kosten einer Datenschutzverletzung 2022” des Ponemon Institute und IBM sind gestohlene oder kompromittierte Anmeldedaten der Hauptvektor für Cyberangriffe im Jahr 2022. Die Fälle mit diesem Angriffsvektor machten 19 % der Verstöße aus und führten zu finanziellen Verlusten in Höhe von 4,50 Mio. USD.

Demselben Bericht zufolge dauerte es am längsten, gestohlene oder kompromittierte Anmeldedaten unter den üblichen Angriffsvektoren zu entdecken: 243 Tage bis zur Identifizierung und 84 Tage bis zur Eindämmung (insgesamt 327 Tage). Mit anderen Worten: Unternehmen benötigen fast ein Jahr, um einen durch gestohlene oder kompromittierte Anmeldedaten verursachten Cyberangriff zu erkennen und abzuwehren. Diese lange Erkennungs- und Eindämmungszeit kann für Unternehmen ein kritisches Problem darstellen, da sie zu erheblichen Verlusten von sensiblen Daten und finanziellen Vermögenswerten sowie zu einer Schädigung des Rufs führen kann.

Statistiken zu Insider-Bedrohungen für 2023: Berichte, Fakten, Akteure und Kosten

Neben Datenschutzverletzungen, finanziellen Verlusten und Rufschädigung gibt es noch weitere Gründe, den privilegierten Zugriff zu kontrollieren.

Die Kontrolle des privilegierten Zugriffs mit spezieller Software und einem gründlichen Verfahren zur Überprüfung des Benutzerzugriffs kann Ihnen dabei helfen, das Vertrauen Ihrer Kunden, Interessengruppen und Partner zu stärken. Wenn Sie zeigen, dass Sie die Datensicherheit ernst nehmen und Ihr Bestes tun, um sensible Informationen zu schützen, wird Ihr Unternehmen als zuverlässiger und sicherer für Ihre Kunden angesehen.

Bei richtiger Implementierung kann die Verwaltung privilegierter Zugriffe Ihre Abläufe rationalisieren, das Fehlerrisiko verringern und sicherstellen, dass die Mitarbeiter den erforderlichen Zugriff auf die Systeme haben, die sie für ihre Arbeit benötigen.

Schließlich darf nicht vergessen werden, dass die Kontrolle des privilegierten Zugriffs eine der wichtigsten Anforderungen der NIST- und PCI DSS-Standards, des Sarbanes-Oxley Act und des HIPAA ist. Aus diesem Grund ist die Einführung geeigneter Verfahren zur Verwaltung privilegierter Benutzer für Unternehmen jeder Größe und in jedem Bereich von entscheidender Bedeutung.

Nachdem Sie nun gesehen haben, warum die Kontrolle des privilegierten Zugriffs so wichtig ist, bieten wir Ihnen an, tiefer in die Materie einzusteigen und mehr über die Verwaltung privilegierter Benutzer und Zugriffe zu erfahren.

Die 5 häufigsten unbeabsichtigten Fehler privilegierter Benutzer und wie sie vermieden werden können

Privilegierte Zugriffsverwaltung

Bei der Verwaltung des privilegierten Zugriffs (Privileged Access Management, PAM) geht es um die Erhöhung der aktuellen Berechtigungen.

Was bedeutet Privileged Access Management (PAM) in der Cybersicherheit? Laut Gartner ist PAM ein Oberbegriff für alle Arten von Privilege-Management-Lösungen. In diesem Artikel betrachten wir PAM jedoch aus einer benutzerorientierten Perspektive und konzentrieren uns auf seine Rolle als Prozess und nicht als singuläre Lösung.

Im Kern geht es bei der Verwaltung des privilegierten Zugriffs um die Verwaltung einmaliger Berechtigungen, mit denen die Privilegien regulärer Benutzer auf Anfrage vorübergehend erhöht werden. Gartner bezeichnet diese Art der Berechtigungskontrolle als Privilegienerhöhung und Delegationsmanagement (PEDM). Aber es gibt einen einfacheren Weg, darüber nachzudenken.

In vielen Organisationen gibt es Einrichtungen mit unterschiedlichen Zugangsbeschränkungen:

• Grundlegende Einrichtungen, die jeder Mitarbeiter oder auch Gast frei betreten kann
• Arbeitsräume, die alle regulären Mitarbeiter der Organisation betreten können
• Bereiche mit Zugangsbeschränkungen, die nur Personen mit speziellen Zugangsberechtigungen betreten können

Stellen Sie sich nun vor, dass Sie für den Zugang zur dritten Art von Einrichtung eine besondere Zugangsberechtigung beantragen müssen – beispielsweise einen Ausweis, mit dem Sie die Sicherheitskontrolle passieren können. Wenn Sie mit Ihrer Arbeit fertig sind, müssen Sie den Ausweis an den Sicherheitsbeamten zurückgeben: Ihre Genehmigung ist abgelaufen.

Der Trick dabei ist, dass dieser Ausweis mit Ihrem Namen versehen ist, so dass Sie die einzige Person sind, die ihn benutzen kann. Außerdem können Sie diesen Ausweis nur einmal für den Zugang zu einer bestimmten Einrichtung verwenden. So funktioniert das PAM.

Mit anderen Worten: PAM ermöglicht es normalen Benutzern, von ihren aktuellen Konten aus Zugriff auf geschützte Daten, Anwendungen oder Systeme zu beantragen. Ähnlich wie beim Prinzip der geringsten Privilegien besteht der Grundgedanke von PAM darin, dass es in Ihrem Netzwerk keinen regulären Benutzer mit ständigem Zugriff auf sensible Daten gibt.

Sie können diesen Ansatz sogar noch erweitern, indem Sie einen Just-in-Time-PAM-Ansatz implementieren, der privilegierten Zugriff nur für einen sehr begrenzten Zeitraum gewährt, um das Risiko eines unbefugten Zugriffs oder Missbrauchs zu verringern. Ziehen Sie auch die Verwendung des Zero-Trust-Sicherheitsmodells in Betracht, das zwei wichtige Merkmale aufweist:

• Kein allgemein gesicherter Perimeter – Anstatt den Perimeter des gesamten Netzwerks zu sichern, wird jede kritische Anwendung, jeder Endpunkt und jede Datenbank einzeln gesichert. Ein Benutzer kann nur dann auf einen bestimmten Endpunkt zugreifen, wenn er über die entsprechende Zugriffsberechtigung verfügt.
• Keine Trennung zwischen vertrauenswürdigen und nicht vertrauenswürdigen Benutzern – Beim Null-Vertrauensmodell wird niemandem standardmäßig vertraut. Ein Benutzer kann nur dann auf geschützte Daten zugreifen, wenn er seine Identität verifiziert, z. B. mit einer Multi-Faktor-Authentifizierung (MFA).

Um auf die Vorteile von PAM zurückzukommen, möchten wir betonen, dass die Zugriffsgranularität den entscheidenden Unterschied ausmacht. Genauer gesagt, können Sie mit PAM angeben:

• Wer den Zugang erhält
• Worauf genau diese Nutzer Zugriff haben
• Wie lange der Zugang gewährt wird
• Was Benutzer mit Zugang innerhalb des geschützten Bereichs tun dürfen

Mit PAM können Sie eine Reihe von erhöhten Zugriffsebenen festlegen und angeben, welche Arten von Aktionen für jede dieser Ebenen erlaubt und eingeschränkt sind.

So können beispielsweise Mitarbeiter mit einer einfachen Zugriffsstufe geschützte Daten lesen, aber nicht ändern oder löschen. Um die geschützten Daten zu ändern, benötigen sie eine höhere Berechtigungsstufe, z. B. die eines Administrators. Dies macht PAM zu einer leistungsfähigen, granularen und komplexen Lösung für die Verwaltung von Berechtigungen.

Wenden wir uns nun PUM zu.

Verwaltung des privilegierten Zugriffs: Grundlegende und fortgeschrittene Praktiken

Verwaltung privilegierter Benutzer

Bei PUM geht es darum, Privilegien mit anderen zu teilen.

Dieses Mal gibt es jedoch nur eine begrenzte Anzahl dieser Ausweise. Erinnern Sie sich an unser Beispiel mit den eingeschränkten Möglichkeiten? Nun stellen Sie sich vor, dass Sie noch einen speziellen Ausweis benötigen. Und im Gegensatz zur ersten Art von Ausweis hat dieser kein Verfallsdatum. Außerdem steht nicht Ihr Name darauf, so dass Sie es selbst benutzen oder einem Ihrer Kollegen übergeben können, der die Aufgabe übernehmen soll. So funktioniert die privilegierte Benutzerverwaltung (PUM).

Was genau ist PUM? So verwirrend es auch klingen mag, bei der Verwaltung privilegierter Benutzer geht es um Konten und nicht um bestimmte Personen.

Was ist die Verwaltung privilegierter Benutzer?

Bei der Verwaltung privilegierter Benutzer handelt es sich um die Verwaltung privilegierter Konten mit ständigem Zugang zu wichtigen Ressourcen. PUM ist für die Verwaltung und Sicherung der privilegierten Konten von Systemadministratoren und Root-Konten zuständig.

Ein anderer, weit verbreiteter Begriff für PUM ist Privileged Identity Management (PIM), wobei privilegierte Konten als digitale Identitäten und nicht als bestimmte Personen betrachtet werden. Diese Art der Berechtigungskontrolle kommt auch dem nahe, was Gartner als Privileged Access and Session Management (PASM) bezeichnet.

Privilegierte Benutzer haben mehr Rechte als normale Mitarbeiter. Bei der Verwaltung privilegierter Benutzer geht es darum, diesen Mitarbeitern vollen und dauerhaften Zugang zu geschützten Daten, Anwendungen und Systemen zu gewähren. Und in der Regel können sich mehrere Mitarbeiter als privilegierte Benutzer unter demselben Konto am System anmelden. PUM ist also kontenspezifisch.

Hauptkategorien von privilegierten Konten

Wir können alle privilegierten Konten in zwei große Kategorien einteilen:

Menschliche Konten sind mit einzelnen Benutzern verknüpft und erfordern erweiterte Rechte (Installation von Software oder Änderung von Systemeinstellungen), während nicht-menschliche Konten Anwendungskonten sind, die Zugriff auf Systemebene erfordern. Das heißt, Konten mit menschlichen Rechten werden von Einzelpersonen für den Zugriff auf Systeme, Anwendungen und Daten verwendet.

Nicht-menschliche Konten werden von Anwendungen, Diensten und anderen automatisierten Prozessen verwendet. Und da nicht-menschliche Konten nicht mit einem einzelnen Nutzer verbunden sind, können sie schwieriger zu verwalten und zu sichern sein.

Haupttypen von privilegierten Konten

Wenn wir die privilegierten Konten weiter unterteilen, können wir die am häufigsten verwendeten Typen definieren:

• Lokale Administratoren – Gewöhnlich gemeinsam genutzte, nicht-persönliche Konten, die administrativen Zugriff auf das lokale System und die Dienste bieten. Diese Konten werden in der Regel für die Einrichtung neuer Arbeitsstationen und die Wartung des Systems verwendet.

• Domain-Administratoren – Konten mit uneingeschränktem Zugriff auf alle Server und Workstations in einer Windows-Domain. Diese Konten haben volle Kontrolle über alle Domain-Controller und administrativen Konten innerhalb der Domain.

• Privilegierte Benutzer – Benutzerkonten mit erhöhten Rechten, die in der Regel für die Lösung geschäftsbezogener Aufgaben und die Arbeit mit wichtigen Daten verwendet werden. Privilegierte Benutzerkonten können entweder von mehreren Mitarbeitern gemeinsam genutzt oder einer bestimmten Person zugewiesen werden.

• Dienstkonten – Alle Arten von privilegierten Konten (lokal oder Domain), die Anwendungen und Dienste für die Interaktion mit dem Betriebssystem verwenden.

• Anwendungskonten – Konten, die von Anwendungen verwendet werden, um Zugang zu Systemressourcen, Datenbanken und anderen Anwendungen zu erhalten. Die Zugangsdaten für diese Konten werden häufig im gesamten Netzwerk gemeinsam genutzt.

• Notfallkonten – Spezielle Konten, die in Notfällen für den Zugriff auf geschützte Systeme oder Daten verwendet werden können.

Die Verwendung gemeinsam genutzter privilegierter Konten erhöht das Risiko von Datenschutzverletzungen erheblich. Das Problem ist, dass einige Unternehmen die Anmeldedaten für solche Konten in unverschlüsselten Textdateien irgendwo im Netzwerk aufbewahren. Und wenn eine solche Datei in die falschen Hände gerät, können Angreifer alle wertvollen Daten stehlen, indem sie über ein kompromittiertes Konto darauf zugreifen.

Auch wenn die Aktivitäten privilegierter Benutzer überwacht werden können, kann es eine große Herausforderung sein, festzustellen, wer was unter einem gemeinsamen Konto getan hat. Dies führt zu erheblichen Schwierigkeiten bei der Untersuchung von Vorfällen im Bereich der Cybersicherheit.

Glücklicherweise gibt es viele effektive PUM-Praktiken, die dieses Problem lösen können, und eine der zuverlässigsten ist die sekundäre Authentifizierung. Bei der sekundären Authentifizierung müssen sich Benutzer, die sich unter einem gemeinsamen Konto anmelden, auch bei ihrem individuellen Konto anmelden und eine zusätzliche Identitätsüberprüfung bestehen. Auf diese Weise können Sie eine bestimmte Sitzung, die unter einem gemeinsam genutzten Konto gestartet wurde, einem bestimmten Benutzer zuordnen und so die Verantwortlichkeit verbessern und das Risiko von Datenschutzverletzungen verringern.

Unterschiede zwischen PUM und PAM

Sollten Sie PUM oder PAM verwenden, um Ihre wertvollen Daten zu sichern?

Kommen wir nun zu den Grundlagen und fassen wir die wichtigsten Unterschiede zwischen PAM und PUM zusammen.

Rollenbasierte Zugriffskontrolle vs. Attributbasierte Zugriffskontrolle: Wie man sich entscheidet

Mit PAM können Sie Zugriffsberechtigungen auf Benutzerebene konfigurieren und festlegen, wer was entsprechend bestimmter Rollen oder Attribute tun darf.

PUM wiederum kann bei der Durchführung von Sicherheitsaudits hilfreicher sein, da es Ihnen ermöglicht, einen Bericht über die Aktivitäten einer begrenzten Anzahl von Konten zu erstellen, anstatt die Aktivitäten mehrerer Benutzer mit erhöhten Rechten zu untersuchen.

Im Allgemeinen ergänzen sich PUM und PAM eher, als dass sie sich gegenseitig ersetzen. Anstatt also PUM mit PAM zu vergleichen, ist es besser, diese beiden Ansätze für die Verwaltung privilegierter Zugriffe in Ihrem Unternehmen zu kombinieren.

Syteca kann Ihnen helfen, das Beste aus diesen beiden Ansätzen der Rechteverwaltung zu machen. By deploying the Syteca platform, you can:

• Überwachung privilegierter Benutzer mit einer NIST-anerkannten PAM-Lösung
• Überwachung und Verwaltung privilegierter Sitzungen mit PASM-Funktionalität
• Minimieren von Cybersicherheitsrisiken mit Just-in-Time-PAM-Funktionen
• Granulare Kontrolle der Zugriffsberechtigungen
• Durchführen einer Ermittlung privilegierter Konten
• Überprüfen von Benutzeridentitäten mit einem Identitätsmanagementsystem und einem MFA-Tool
• Sichtbarkeit der Aktivitäten von gemeinsam genutzten Konten mit sekundärer Authentifizierung
• Verwenden von Standardwarnungen oder festlegen benutzerdefinierter Warnmeldungen, um abnormales Verhalten von privilegierten Benutzern zu erkennen.
• Überprüfen Sie die Aktivitäten von Benutzern mit privilegiertem Zugriff und erhalten Sie umfassende Berichte
• Sicherstellung der IT-Konformität

Darüber hinaus können Sie Syteca in Ihr SIEM- und Ticketing-System integrieren, um eine zusätzliche Zugangskontrolle und Granularität zu erreichen.

Syteca Privileged Access Management Software

Fazit

Privileged Access Management und Privileged User Management sind zwei sich ergänzende Ansätze, die reibungslos zusammenarbeiten können, um den Zugriff auf sensible Daten, Anwendungen und Systeme zu verwalten. Beim Vergleich zwischen PUM und PAM ist es wichtig zu beachten, dass:

• PUM konzentriert sich auf bestimmte Konten, die in der Regel in das System oder die Anwendung integriert sind, gemeinsam genutzt werden und in ihrer Anzahl begrenzt sind.
• PAM konzentriert sich auf reguläre Benutzer, die eine vorübergehende Erhöhung ihrer Privilegien anfordern, um eine bestimmte Aufgabe zu erledigen.

Durch den gemeinsamen Einsatz von PUM und PAM können Unternehmen von einem höheren Maß an Zugriffsflexibilität und einem besseren Schutz sensibler Daten profitieren.
Wenn Sie sie in Lösungen zur Identitätsverwaltung,
Kontoerkennung und Überwachung privilegierter Benutzer integrieren, können Sie sicher sein, dass die vertraulichen Daten Ihres Unternehmens von innen maximal geschützt sind.

Syteca ist eine Komplettlösung, die Sie nicht nur bei der Implementierung von PUM und PAM unterstützt, sondern auch bei der Einhaltung von Vorschriften, Gesetzen und Standards sowie bei der Einhaltung von Best Practices im Bereich der Cybersicherheit.