Whitepapers

Die heutige Bedrohungslage erfordert einen sicheren Rahmen für die Verwaltung von Remote-Zugriffen

Wenn Sie IT- oder Sicherheitsspezialist in einem typischen kleineren Unternehmen sind, wird Ihnen das folgende Szenario wahrscheinlich bekannt vorkommen.

Es besteht ein Bedarf, auf einige Remote-Server und virtuelle Maschinen zuzugreifen, die jeweils eigene Passwörter haben. Diese Maschinen und die darauf gespeicherten verschiedenen Domänen sind für unterschiedliche privilegierte Benutzer zugänglich. Der IT-Sysadmin kennt einige der Passwörter und einige der Benutzer, aber nicht alle. E-Mails werden verschickt, Telefongespräche geführt, Excel-Tabellen und sogar gelbe Haftnotizen durchsucht. Schließlich erhält die IT Zugang zu den Remote-Servern, aber erst nachdem viel wertvolle Zeit verloren ist. Und vielleicht noch wichtiger: Dieser Prozess erfolgt nicht mit den militärischen Sicherheitsstandards, die die heutige hochgefährliche Bedrohungslage erfordert.

Das ist der typische Notfall, der heute so oft in kleinen und mittelständischen Unternehmen auftritt, denen eine effektive, benutzerfreundliche PAM-Lösung (Privileged Access Management) fehlt. Und wie gezeigt wird, gibt es eine Reihe von Faktoren und Dynamiken, die es umso wichtiger machen, dass KMU eine solche PAM-Lösung implementieren.

Im Gegensatz dazu haben die meisten Unternehmen auf Enterprise-Niveau seit einiger Zeit PAM-Lösungen im Einsatz, entweder selbst entwickelt oder von führenden PAM-Anbietern gekauft. Diese umfassenden PAM-Lösungen, die weit über die finanziellen Mittel und das technische Know-how der meisten KMU hinausgehen, haben jedoch ihre eigenen Probleme. Vor allem sind sie oft komplex und nicht benutzerfreundlich.

Obwohl es spezifische PAM-Lösungsbedürfnisse in Organisationen aller Größen gibt, unterscheiden sich diese Bedürfnisse. Was Organisationen gemeinsam haben, sind dieselben Treiber für PAM-Lösungen sowie dieselben Sicherheitsrisiken, wenn keine funktionsfähige Lösung vorhanden ist.

WELCHE PROBLEME LÖSEN PAM-LÖSUNGEN?

Hacker und die ihnen zur Verfügung stehenden Tools werden immer ausgefeilter, was es ihnen erleichtert, in Netzwerke einzudringen und Anmeldedaten von Domänenadministratorkonten zu stehlen. Diese können der Schlüssel zum Datenreich und der Weg zur Datenvernichtung, zum Datendiebstahl und im Allgemeinen zu erheblichen Schäden für die angegriffene Organisation sein.

Einfach ausgedrückt: Das Ziel von PAM-Lösungen ist es, Hackern den Zugang zu privilegierten Benutzerkonten sehr schwer zu machen. PAM-Lösungen verbessern außerdem die Netzwerküberwachung und die Gesamtsichtbarkeit des Netzwerks für Sysadmins und bieten feinere Steuerungsmöglichkeiten. Solche Lösungen bieten Echtzeitinformationen darüber, wer die privilegierten Benutzer sind und was sie in der gesamten Remote-Computing-Umgebung tun.

Die besseren PAM-Lösungen automatisieren außerdem den Prozess der Passwort-Randomisierung und verwalten diese dann in einem hochsicheren Tresor, der auch andere Anmeldedaten für verschiedene Dienst- und Anwendungskonten speichern kann.

EINE NOTWENDIGKEIT, KEIN LUXUS

So betrachtet sind PAM-Lösungen ein wesentliches Element sicherer Remote-Benutzer- und Remote-Server-Umgebungen. Sie ermöglichen Organisationen, einschließlich KMU, die effektive Überwachung und Verwaltung privilegierter Konten und Zugriffe, was nicht nur den Schutz kritischer Datenressourcen verbessert, sondern Unternehmen auch bei der Einhaltung von Compliance-Anforderungen unterstützt.

Machen Sie sich nichts vor: PAM ist keine Lösung auf der Suche nach einem Markt. Vielmehr wird das schnell wachsende Interesse an PAM, insbesondere bei KMU, die es früher für unnötig oder zu teuer hielten, von starken Kräften getrieben, darunter:

• Der deutliche Anstieg von Raffinesse, Häufigkeit und Zerstörungskraft von Cyberangriffen auf Organisationen aller Größen, einschließlich KMU, die von Spear-Phishing- und Ransomware-Angriffen betroffen sind.
• Die Überzeugung der Angreifer, dass viele KMU privilegierte Konten und Remote-Server-Zugriffe nicht ausreichend geschützt haben.
• Zunehmende Vorschriften und Compliance-Regeln, die bessere Prüfprotokolle und Nachweise von Datensicherheitsmaßnahmen wie PAM-Lösungen verlangen.
• Die wachsende Zahl von Dritten – wie Auftragnehmern und Cloud-Anbietern –, denen privilegierter Benutzerzugriff gewährt wird.

GRUNDLAGEN DER PASSWORTVERWALTUNG

Remote-Zugriff bedeutet per Definition die Nutzung und Weitergabe von Passwörtern. In diesem Bereich versagen viele KMU bei relativ einfachen Schritten zur Schließung großer Sicherheitslücken. Eine große Studie ergab, dass 63 % der bestätigten Datenschutzverletzungen schwache, Standard- oder gestohlene Passwörter betrafen.¹ Eine weitere aktuelle Studie ergab, dass 20 % der Geschäftsanwender entweder sehr schwache Passwörter verwenden oder Passwörter routinemäßig teilen – beides macht solche Passwörter relativ leicht zu hacken.² Die Studie ergab auch, dass KMU mit überdurchschnittlich hohen Anteilen kompromittierter Passwörter ebenfalls überdurchschnittlich hohe Anteile geteilter Passwörter hatten.

Die Abhilfe ist ein umfassendes Passwortverwaltungssystem. Die besseren generieren zufällige komplexe Passwörter und verfügen über einen sicheren Tresor, der alle Passwörter und Anmeldedaten speichert. Benutzer müssen sich keine dieser maschinell generierten Passwörter merken, und Sysadmins, die gemeinsame Passwörter für Remote-Zugriff verwenden, sehen die tatsächlichen Passwörter nie, da sie von der Passwortverwaltungslösung vermittelt werden. So erfüllen diese Passwortverwaltungssysteme die doppelte Aufgabe, die verschiedenen für den Remote-Zugriff benötigten Passwörter zu synchronisieren, ohne die Gesamtproduktivität zu beeinträchtigen – und das auf höchst sichere Weise. Als zusätzlichen Bonus stellen KMU, die zum ersten Mal Passwort-Manager einführen, oft fest, dass Helpdesk-Anrufe fast sofort zurückgehen, da Benutzer nicht mehr anrufen, um vergessene Passwörter zu suchen.

1 "2016 Data Breach Investigations Report," Verizon, 2016

2 "35% of LinkedIn Users' Passwords Are Weak Enough to Hack," TechRepublic, 13. März 2017

PAM-HILFE FÜR DAS UNTERNEHMEN

PAM-Lösungen sind seit Jahren fester Bestandteil von Unternehmen auf Enterprise-Niveau. Typischerweise sind sie umfassend, komplex, teuer und oft nicht besonders benutzerfreundlich. Viele Hersteller dieser Enterprise-Systeme arbeiten jedoch nun mit PAM-Anbietern zusammen, die KMU mit benutzerfreundlicheren Lösungen ansprechen und das Beste aus beiden Welten integrieren wollen. Bei der Betrachtung solcher Integrationen sollten Unternehmen zunächst prüfen, ob die letztgenannten Lösungen mit einer breiten Palette von Technologien integriert werden können, darunter Virtual Private Networks (VPNs), Credential-Manager, Secure Shell (SSH)-Protokolle, Virtual Network Computing, Remote Desktop Protocol und alle persönlichen Passwort-Manager.

PAM IN DER PRAXIS

Das IT-Team von Siemens Building Technologies (SBT) in West Sacramento, Kalifornien, hatte kontinuierlich Probleme mit dem Remote-Verbindungsmanagement für die 30 Server, die das Team betreut. Es gab keine Möglichkeit, gemeinsame Verbindungen zu Kundenstandorten sicher zu organisieren und zu verwalten, und die Weitergabe von Anmeldedaten an Kundenserver war umständlich, schwierig und daher kostspielig.

Frustriert von den Mängeln des bisherigen Remote-Verbindungsmanagers lud der leitende Programmierer vor Ort eine kostenlose Testversion einer anderen PAM-Lösung herunter, was schnell zum Kauf einer Lizenz führte. Heute kann das IT-Team von SBT Verbindungen und Anmeldedaten auf eine Weise sicher verwalten, die leicht zu aktualisieren, zu teilen und zu schützen ist.³ Teammitglieder versenden keine Verbindungen mehr per E-Mail oder speichern sie an einem Netzwerkstandort, noch tauschen sie Anmeldedaten per SMS aus.

3 "Case Study: Siemens Uses RDM to Sync Up Its New Connections Automatically in a Shared Database," The Devolutions Blog, 10. Jan. 2017

ORDNUNG AUS DEM CHAOS

Währenddessen, in Slowenien, hatten Ingenieure und das IT-Team von EM-Soft Sistemi Anmeldedaten lokal auf einem bestimmten Computer gespeichert. Das bedeutete, alle Anmeldedaten an anderer Stelle neu einzupflegen, falls der Computer ausfiel oder ersetzt werden musste. Sie konnten auch nicht von außerhalb der Zentrale auf Anmeldeinformationen zugreifen und verwendeten einen verwirrenden Mix von Tools für verschiedene Geräte und Verbindungstypen.

Nach dem Ausprobieren verschiedener PAM-Tools mit schlechten Ergebnissen entschied sich das Team für eine Remote Desktop Manager-Lösung, die nun Anmeldedaten verschiedener Benutzer sicher in einem zentralen Tresor speichert.⁴ Die Anmeldedaten können sicher über die Cloud von jedem Desktop oder Mobilgerät aus zugegriffen werden. Die IT steuert nun alle Firewalls, Switches und Dienste von einer einzigen Konsole aus, und eine einzige, benutzerfreundliche Anwendung wird für alle Verbindungstypen verwendet.

4 "Case Study: EM-Soft Sistemi Chose RDM as Their Centralized Repository Solution to Store Their Credentials," The Devolutions Blog, 26. Okt. 2016

EIN GEMEINSAMER PAM-FADEN

Was diese unterschiedlichen Unternehmen und viele andere gemeinsam haben, ist die Anerkennung für die starken Ergebnisse mit PAM-Lösungen von Devolutions, deren Flaggschiff Remote Desktop Manager heute von mehr als 300.000 Benutzern in 130 Ländern eingesetzt wird. Ein Markenzeichen der Devolutions-Lösungen ist ein hochsicherer Tresor zur sicheren Speicherung von Passwörtern und Anmeldedaten.

Darüber hinaus sind die Devolutions PAM-Tools für die Zusammenarbeit mit der breitesten Palette von VPNs, SSH-Tunneln und persönlichen Passwort-Managern konzipiert. Als wahres Schweizer Taschenmesser für Sicherheits- und IT-Experten in KMU und Unternehmen lösen die PAM-Lösungen von Devolutions die zentralen Herausforderungen rund um den sicheren privilegierten Zugriff.