PAM entschlüsseln: Sechs Kontoarten, die jedes Unternehmen schützen sollte

Privilegierte Konten sind sprichwörtlich die Schlüssel zum Königreich – und dieses Königreich ist Ihr Unternehmen.

Diese „Schlüssel“ konfigurieren die Infrastruktur, verschieben Daten, schalten Anwendungen frei und können, in den falschen Händen, unbemerkt Sicherheitskontrollen von innen heraus außer Kraft setzen. Da diese Konten häufig sensible Daten, Systeme und Nutzerrechte kontrollieren, sind sie bevorzugte Ziele für Angreifer und ein zentraler Fokus jeder Strategie für die Verwaltung privilegierter Zugriffe (PAM).

Privilegierter Zugriff beschränkt sich nicht auf IT-Funktionen. Auch Rechts-, Finanz- und Fachbereichsleiter verfügen zunehmend über einflussreiche Konten, die mit geschäftskritischen Plattformen verknüpft sind. Für IT- und PAM-Administratoren, Sicherheitsexperten und Business-Stakeholder ist es daher unerlässlich, zu wissen, wo diese Berechtigungen liegen, wie sie genutzt werden und wie sie verwaltet werden sollen.

Dieser Artikel stellt sechs Kategorien von Konten vor, die nahezu immer als privilegiert behandelt und in eine PAM-Lösung wie Devolutions PAM integriert werden sollten.

Entdecken Sie Devolutions PAM in einer kostenlosen Testversion.

Was macht ein Konto „privilegiert“?

Ein Konto gilt typischerweise als privilegiert, wenn es eine oder mehrere der folgenden Aktionen ausführen kann:

• Sicherheitskontrollen, Konfigurationen oder Richtlinien für Systeme oder Nutzer ändern;
• in großem Umfang auf sensible oder regulierte Daten zugreifen (Finanzunterlagen, Rechtsdokumente, personenbezogene Daten, geistiges Eigentum usw.);
• normale Genehmigungs-, Kontroll- oder Workflow-Mechanismen umgehen;
• Aktionen durchführen, die viele Nutzer, Systeme oder Geschäftsbereiche gleichzeitig betreffen.

Unabhängig davon, ob diese Berechtigungen einem IT-Administrator, Infrastruktur-Ingenieur, Finanzmanager oder einem automatisierten Hintergrunddienst zugeordnet sind, ist das Risikoprofil ähnlich. Diese Konten erfordern eine strenge Governance, Überwachung und Kontrolle im Rahmen eines PAM-Programms.

Sechs Kategorien privilegierter Konten

1. Anwendungs- und Dienstkonten

Anwendungs- und Dienstkonten bilden oft die „stille Mehrheit“ privilegierter Identitäten.

Anwendungskonten werden von Software verwendet, um mit Datenbanken, APIs, Datenfreigaben oder anderen Systemen zu interagieren, in der Regel ohne menschliche Interaktion. Dienstkonten führen Hintergrunddienste, geplante Jobs und andere Systemprozesse aus, die einen kontinuierlichen Zugriff erfordern.

Da es sich bei diesen Konten nicht um Menschen handelt, werden sie leicht übersehen. Sie verfügen häufig über langlebige Anmeldedaten, weitreichende Zugriffsrechte „nur für den Notfall“ und sogar fest codierte Geheimnisse in Skripten oder Konfigurationsdateien. Im Falle einer Kompromittierung können sie einen unbemerkten Zugang zu kritischen Datenspeichern und Systemen ermöglichen, oft ohne dabei offensichtliche Anomalien im Nutzerverhalten auszulösen.

2. Konten von Domainadministratoren

In einer Active Directory-Umgebung können Domainadministratoren Nutzer- und Computerkonten erstellen, ändern und löschen, Gruppenmitgliedschaften anpassen, Gruppenrichtlinienobjekte (GPOs) bearbeiten sowie die Authentifizierung und Autorisierung in der gesamten Domain beeinflussen. Ein kompromittiertes Domainadministratorkonto ermöglicht es Angreifern, sich lateral im Netzwerk zu bewegen, Sicherheitskontrollen zu schwächen oder zu deaktivieren, Daten in großem Umfang zu exfiltrieren und Back-up-Konten zu erstellen und diese mit hohen Berechtigungen auszustatten, um Schaden anzurichten.

Aufgrund ihrer Reichweite und ihres Einflusses sollten Konten von Domainadministratoren stets als privilegierte Identitäten mit hohem Risiko behandelt werden.

3. Notfallkonten

Notfall-, „Break-Glass“- oder „Firecall“-Konten bieten in kritischen Situationen das letzte Mittel für den Zugang: zum Beispiel, wenn Administratoren ausgesperrt sind oder primäre Identitätsanbieter nicht verfügbar sind.

Diese Konten verfügen oft über weitreichende Berechtigungen und operieren absichtlich außerhalb der üblichen Authentifizierungs- und SSO-Prozesse. Sie sind für seltene, dokumentierte Anwendungen vorgesehen, doch ihre Anmeldedaten bleiben möglicherweise lange Zeit ungenutzt und ungetestet. Die Inhaberschaft kann sich ändern, die Dokumentation veralten, und was als Sicherheitsnetz gedacht ist, kann sich zu einer unkontrollierten Hintertür entwickeln.

Wenn Angreifer ein Notfallkonto mit weitreichenden Berechtigungen entdecken, erhalten sie eine leistungsstarke Möglichkeit, Standardkontrollen zu umgehen und sich mit minimaler Aufsicht in der Umgebung zu bewegen.

4. Root- und lokale Administratorenkonten

Unter Linux und Unix ermöglichen Root-Konten nahezu die vollständige Kontrolle über das System, indem sie Software installieren und konfigurieren, Dateiberechtigungen ändern und Sicherheitseinstellungen modifizieren. Unter Windows verwalten lokale Administratorenkonten die Installation von Software, die lokale Konfiguration und die lokalen Sicherheitskontrollen, selbst wenn das Gerät einer Active Directory-Domain angehört.

Wenn gemeinsam genutzte oder nicht verwaltete lokale Administratorpasswörter kompromittiert werden, können Angreifer leicht zwischen Endpunkten wechseln, Sicherheitstools deaktivieren, Protokolle verändern und ihre Präsenz aufrechterhalten, selbst wenn übergeordnete Kontrollen stark sind.

5. Administratorkonten der Cloud-Konsole

Da Infrastruktur, Anwendungen und Daten in die Cloud verlagert werden, sind Konten von Konsolenadministratoren in Azure, AWS, GCP, VMware und anderen Plattformen zu einem zentralen Sicherheitsfaktor geworden.

Cloud-Konsolenadministratoren können Ressourcen erstellen und löschen, IAM-Richtlinien ändern, Sicherheitsgruppen anpassen, Schlüssel und Identitäten verwalten sowie Protokollierung und Überwachung konfigurieren oder deaktivieren. In vielen Unternehmen kontrolliert eine kleine Anzahl von Cloud-Administratorkonten einen Großteil der Infrastruktur, was diese Konten zu äußerst wertvollen Zielen macht. Ein kompromittierter Cloud-Administrator kann in kürzester Zeit unbefugte Ressourcen bereitstellen, Daten exfiltrieren oder Kontrollen über mehrere Regionen, Konten oder Mandanten hinweg schwächen.

6. Administratorkonten für geschäftskritische Anwendungen

Einige der sensibelsten Berechtigungen befinden sich in geschäftskritischen Anwendungen, die häufig eher den Abteilungen Finanzen, Recht, Personalwesen oder Betrieb als der IT gehören.

Administratoren von Plattformen zur Kundenpflege (CRM), Systemen für die Planung und Verwaltung von Ressourcen (ERP), Personal- oder Buchhaltungssoftware und Tools zur Verwaltung von Rechtsangelegenheiten können in der Regel Rollen und Berechtigungen verwalten, Arbeitsabläufe und Genehmigungsprozesse anpassen sowie auf große Mengen sensibler Geschäftsdaten zugreifen oder diese exportieren. Sie können außerdem Integrationen konfigurieren, die die Anwendung mit anderen internen oder externen Systemen verbindet.

Diese Konten vereinen technische Möglichkeiten mit direkten Auswirkungen auf Geschäft und Compliance. Ein kompromittierter CRM-Administrator kann Verkaufsdaten und Kundendatensätze manipulieren; ein Finanzadministrator kann Rechnungen, Zahlungsabläufe und Berichte beeinflussen; ein Administrator eines Rechtssystems kann auf vertrauliche Verträge und privilegierte Mitteilungen zugreifen. Auch wenn sie nicht zur IT-Abteilung gehören, verhalten sie sich eindeutig wie privilegierte Konten und sollten entsprechend verwaltet werden.

Zusammenführung mit Devolutions PAM

Für kleine und mittlere Unternehmen (KMUs) liegt das Problem selten darin, zu erkennen, dass diese Konten sensibel sind. Die eigentliche Herausforderung besteht darin, sie ohne die übermäßige Komplexität, die langen Einführungszeiten oder die unerschwinglichen Kosten herkömmlicher PAM-Lösungen zu verwalten.

Devolutions PAM ist eine leicht zugängliche, IT-gesteuerte Lösung zur Verwaltung privilegierter Zugriffe, die für Unternehmen entwickelt wurde, die Governance, Transparenz und Kontrolle ohne langwierige, komplexe Implementierungen benötigen. Sie kombiniert Tresorspeicherung, Genehmigungen, Just-in-Time-Zugriff und Sitzungsaufzeichnung – zusammengefasst in einem Paket, das erschwinglich und für große und kleine IT-Teams einfach zu bedienen ist und sich nahtlos mit Remote Desktop Manager und Devolutions Gateway kombinieren lässt.

Devolutions PAM hilft Unternehmen dabei, grundlegende Schutzmuster konsequent anzuwenden:

• Zentralisierte Tresorspeicherung und Zugriffskontrolle für privilegierte Anmeldeinformationen von Menschen und Nicht-Menschen, von Anwendungs- und Dienstkonten bis hin zu Cloud-, lokalen, Domain-, Notfall- und SaaS-/Anwendungs-Administratoren.
• Bessere Anmeldedaten-Hygiene durch die Einschränkung gemeinsam genutzter Passwörter, die Automatisierung der Passwortrotation und die Ausstattung von IT-Teams mit Tools zum Entfernen fest codierter Geheimnisse aus Skripten und Konfigurationsdateien.
• Geringste Rechte und Just-in-Time-Erhöhung, sodass weitreichende Rechte nur bei Bedarf gewährt werden, häufig mit Genehmigungen für risikoreiche Aktionen.
• Umfassende Überwachung und Prüfung durch Aufzeichnung von Sitzungen und klare Nachvollziehbarkeit, wer was wann und wo getan hat.
• Geregelter Notfallzugang mit versiegelten, überprüfbaren „Break-Glass“-Arbeitsabläufen.

Durch die Einbindung der sechs Kategorien privilegierter Konten in Devolutions PAM unter diesen IT-gesteuerten Kontrollen erhalten Unternehmen eine einheitliche, praktische Möglichkeit, Risiken zu reduzieren, die Transparenz zu verbessern und ihre allgemeine Sicherheitslage zu stärken.

Um mit der Reduzierung der Risiken rund um Ihre „Schlüssel zum Königreich“ zu beginnen und diese Kontrollen in der Praxis zu sehen, starten Sie mit einer praxisnahen Analyse. Starten Sie eine Devolutions PAM-Testversion.