Firmennachricht • 05.10.2010

Manuelle Änderung von Passwörtern ist IT-Steinzeit

Die manuelle Änderung von Passwörtern ist immer noch die Regel, oft allerdings extrem zeitaufwändig und fehlerbehaftet. Das ist nicht mehr zeitgemäß, sagt Cyber-Ark: In Zeiten der IT-Effizienz und knapper Kassen sollten Benutzerkonten automatisch verwaltet werden.

Die typische IT-Umgebung eines größeren Unternehmens besteht aus Hunderten oder Tausenden von Servern, Datenbanken oder Netzwerkgeräten, die alle über privilegierte, standardmäßig in den Systemen verfügbare Accounts mit weitreichenden Rechten gesteuert und verwaltet werden. Dazu zählen Accounts wie "Root" bei Unix/Linux, "Administrator" bei Windows, "Cisco enable", "Oracle system/sys" oder "MSSQL sa".

Ein verantwortungsvoller Umgang mit diesen privilegierten Benutzerkonten und ein sicherheitsorientiertes Zugriffsmanagement sind allerdings die Ausnahme: Auf vielen IT-Systemen finden sich identische, oft leicht zu entschlüsselnde Passwörter, die in manchen Unternehmen sogar überhaupt nie geändert werden. Das ist ein gefundenes Fressen für jede Revision und die Wirtschaftsprüfer. Eine aktuelle Umfrage von Sicherheitsexperte Cyber-Ark hat ergeben, dass rund 45 Prozent der befragten Unternehmen identische Passwörter für unterschiedliche IT-Systeme oder -Applikationen wie Server, Desktops, Datenbanken, Router oder Firewalls verwenden.

"Das ist IT-Steinzeit", sagt Jochen Koehler, Deutschland-Chef von Cyber-Ark in Heilbronn, "und die Auswirkungen einer solchen Vorgehensweise können verheerend sein, denn über privilegierte Benutzerkonten ist ein unbeschränkter Zugriff auf nachgelagerte Systeme möglich." Wenn Unberechtigte Zugang zu solchen Bereichen haben, können sie unkontrolliert agieren und auf sensitive Informationen wie Personal-, Kunden- oder Finanzdaten zugreifen. Mit diesem unzureichenden Passwort-Management werden zudem gesetzliche und aufsichtsrechtliche Bestimmungen verletzt. Compliance-Vorschriften aus dem Sarbanes Oxley Act, PCI-DSS, ISO 27001 oder Basel II erfordern einen Nachweis, wer Zugriff auf privilegierte Benutzerkonten hat, welche Veränderungen vorgenommen wurden und ob die Passwörter ordnungsgemäß geschützt und geändert wurden, aber auch in nationalen Gesetzestexten wie KWG, GoBS oder BDSG finden sich entsprechende Regelungen für IT-Verantwortliche.

Doch wie wird diesen Herausforderungen heute in der Regel begegnet? Abgesehen davon, dass es zum Teil überhaupt kein Passwort-Management gibt, ist die manuelle Änderung von Passwörtern ein nach wie vor weitverbreiteter Lösungsansatz. In der angeführten Studie haben rund 65 Prozent der befragten Unternehmen angegeben, dass sie auf diese Art und Weise verfahren. Bei der normalerweise sehr großen Anzahl an Servern, Datenbanken und Netzwerkgeräten ist die manuelle Änderung von privilegierten Benutzerkonten allerdings extrem zeitaufwändig und fehlerbehaftet, schlicht nicht vernünftig realisierbar. Darüber hinaus sind auch Tools zur Erstellung von Passwort-Datenbanken, die zwar eine Speicherung der Passwörter ermöglichen, aber keine automatische Änderung, keine geeigneten Lösungen.

Abhilfe kann hier nur eine Lösung schaffen, mit der administrative Passwörter sicher und zentral abgelegt, automatisch verwaltet, regelmäßig geändert und überwacht werden können. Cyber-Ark bietet hier den Enterprise Password Vault (EPV) an, mit dem alle Anforderungen an die sichere Verwaltung von Superuser-Accounts abgedeckt werden können. Der EPV ermöglicht die geschützte Verwahrung und regelmäßige, automatische Änderung von Passwörtern. Im Detail besteht er aus drei unterschiedlichen Modulen: dem digitalen Datentresor (Vault), Central Policy Manager (CPM) und PIM-Portal.

Kernkomponente der Lösung ist der Vault, ein speziell "gehärteter" Server, der mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen bietet. Im Vault werden die Passwörter als sogenannte Passwort-Objekte in unterschiedlichen Schließfächern (Safes) vor unberechtigten Zugriffen geschützt. Mit den integrierten Authentifizierungs- und Zugriffskontroll-Features wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP wird sichergestellt, dass nur autorisierte Anwender Zugang zum System haben. Für besonders kritische Daten und Passwörter kann optional auch eine Autorisierung mittels Vier-Augen-Prinzip erfolgen.

Die regelmäßige und automatische Änderung der Passwörter auf den Zielsystemen erfolgt durch den Central Policy Manager (CPM). Der Anwender kann dabei die Komplexität und den Änderungszyklus - abhängig von den Vorgaben der jeweiligen Security-Policy - im Vorfeld beliebig festlegen. Der CPM meldet sich direkt mit dem zu verwaltenden Benutzer am Zielsystem an, führt die Änderung des Passworts durch, verifiziert diese durch eine erneute Anmeldung und hinterlegt das neue Passwort dann im Vault als ab sofort gültiges.

Weiterer Lösungsbestandteil ist das PIM-Portal, ein Web-Frontend, das die intuitive und schnelle Abfrage eines Passworts ermöglicht. Benötigt der Nutzer ein Passwort, greift er mit einem beliebigen Browser über HTTPS auf den Vault zu. Nach erfolgreicher Authentifikation und gegebenenfalls einem optionalen Genehmigungsprozess kann er sich die für ihn freigegebenen Passwörter anzeigen lassen. Das PIM-Portal fungiert zudem als zentrale Konsole für Administratoren zur Verwaltung der privilegierten Passwörter. Über ein Dashboard können alle EPV-Aktivitäten übersichtlich dargestellt werden. Außerdem ist es möglich, ausführliche Reports zu erstellen und in regelmäßigen Abständen automatisch zu generieren.