Privileged Account Management – digitale Geheimnisse sicher aufbewahren

Für die IT-Abteilungen stellt die Handhabung dieser Secrets schon allein aufgrund ihrer Menge und der Verbreitung in den Unternehmenssystemen eine riesige Herausforderung dar. Nur mit einem koordinierten Prozess zur zentralen Verwaltung aller Arten von Geheimnissen – einem Account-Management – kann das gelingen. Passwörter auf Zetteln in Couverts oder in Passwort-Containern reichen heute nicht mehr aus, um eine hohe Anzahl Secrets zu verwalten und den Zugriff zu protokollieren.

Grundsätzlich unterscheidet man zwischen menschlichen Secrets (z. B. persönliche Administratorenkonten) und nicht-menschlichen Secrets (z. B. Service-Accounts), wobei letztere nicht nur deutlich häufiger im Unternehmensumfeld anzutreffen, sondern überdies auch deutlich schwieriger zu kontrollieren und zu schützen sind. Da sie nicht von Personen genutzt werden, werden sie selten überprüft und häufig schlecht abgesichert. Für Cyberkriminelle sind sie deshalb besonders attraktiv.

Gegen Kontrollverlust hilft ein zentrales Secrets-Management

Der Einsatz moderner Anwendungen hat den Bedarf an digitalen Secrets in den letzten Jahren stark erhöht. Doch je mehr Geheimnisse im Umlauf sind und in je mehr Zusammenhängen diese verwendet werden, desto schwieriger ist es, den Überblick zu behalten. Gleichzeitig wird es immer komplizierter, beständige Richtlinien für Secrets zu implementieren, je grösser, vielfältiger und komplexer die IT-Systeme eines Unternehmens werden. Die Folge ist eine unkontrollierte Ausbreitung von Secrets und ein Flickenteppich von Managementsystemen mit jeweils eigenen Richtlinien. Dies wiederum führt zu Kontrollverlust und vergrössert letztlich die Cyberangriffsfläche eines Unternehmens, da immer mehr Einstiegspunkte für Hacker auftauchen.

Um dem entgegenzuwirken, braucht es ein zentrales Secrets-Management, das eine konsequente Durchsetzung von Sicherheitsrichtlinien für den gesamten Lebenszyklus menschlicher und nicht-menschlicher Secrets ermöglicht.

Grundsätzlich versteht man unter Secrets-Management die konsequente Verwaltung und Absicherung von Secrets über sämtliche Schichten der Unternehmensinfrastruktur, das heisst Clouds, Code, Daten und Geräte, hinweg. Dazu gehört, Secrets sicher zu speichern, zu übertragen und zu überprüfen, um unbefugten Zugriff auf sensible Daten und Systeme und damit verbundene Datenschutzverletzungen, Daten- und Identitätsdiebstähle oder Manipulationen zu vermeiden.

Tipps für die effektive Verwaltung und Absicherung von Secrets

Man kann nur verwalten, was man auch kennt. Deshalb ist der erste wichtige Schritt, sich einen umfassenden Überblick über alle im Unternehmen im Einsatz befindlichen Secrets zu verschaffen.

Manuelles Verwalten ist nicht nur zeitaufwändig, sondern auch fehleranfällig. Setzen Sie bei Ihrem Secrets-Management daher auf Automatisierung. Auch bei der Deaktivierung von Secrets ist Automatisierung sinnvoll. Sobald ein Mitarbeiter das Unternehmen verlässt oder potenziell schädliches Verhalten festgestellt wird, können die entsprechenden Zugangsdaten automatisch gesperrt werden.

Entwerfen Sie sinnvolle Secret-Policies und kontrollieren Sie deren Einhaltung. Diese Richtlinien sollten strikte Vorgaben für die Secret-Struktur festlegen und gleichzeitig die Verwendung von Standard- oder hartcodierten Secrets einschränken.

Halten Sie Daten und Secrets getrennt: Nutzen Sie den «verteilten Charakter» der heutigen Netzwerke zu Ihrem Vorteil.