Privileged Identity & Access Management (PxM) ist eine große Chance risikobasiert privilegierte Berechtigungen zu managen. Wer den Missbrauch privilegierter Benutzerkonten nicht unterbindet, setzt sich dem Risiko von Insider-Angriffen und Cyber Attacken aus.
Privileged Identity & Access Management (PxM) ist nicht zuletzt durch geschärfte regulatorische Anforderungen ein absolutes Muss für Finanzdienstleister, da sie ohne konsequente und nachhaltige Überwachung hoch privilegierter Zugriffe potenziellen Angreifern schutzlos ausgeliefert sind. Doch in der Umsetzung stehen die Finanzdienstleister oft unerwartet vor komplexen Herausforderungen. Schwachstellen des Berechtigungsmanagements lassen sich durch ein striktes Identity und Access Management (IAM) minimieren. In diesem Kontext haben sich risikobasierte Ansätze bei der Klassifizierung und Verwaltung von IT-Berechtigungen durchgesetzt und bewährt. Das Gefahrenpotenzial administrativer und privilegierter Rechte ist allerdings weitaus komplexer und im Rahmen des klassischen Managements von Identitäten und IT-Berechtigungen im IAM häufig nicht ausreichend berücksichtigt. Nur eine erweiterte Überwachung, Protokollierung und eine effiziente Verwaltung privilegierter Identitäten und Accounts mittels PIM/PAM (Privileged Identity/ Access Management) ermöglicht es dem regulatorischen und Informationssicherheits- Anspruch an Cyber-Security im Zugriffsmanagement zu entsprechen. Denn PxM geht über klassische Maßnahmen wie die Nutzung von Firewalls, Anti-Viren-Scannern oder Webfilter-Techniken hinaus. Bei der Realisierung bieten sich vielfältige Facetten und komplexe Herausforderungen, denen Finanzdienstleister begegnen müssen.
Komplexe Herausforderungenmit PxM überwinden
Modern digitalisierte Finanzdienstleister sehen sich zunehmend vor der Herausforderung, ihre agilen Betriebsumgebungen zugriffsseitig vollkommen nachvollziehbar zu protokollieren und zu überwachen, um sich vor Angriffen von innen und außen zu schützen.
Aktuell erlaubt der Großteil der Finanzdienstleister eine uneingeschränkte, nicht überwachte und gemeinsame Nutzung privilegierter Konten, was die Überprüfbarkeit und die Nachvollziehbarkeit persönlicher Verantwortlichkeiten stark einschränkt. Beispiel hierfür kann die Berechtigung aller Entwickler oder Systemadmins mit vollumfänglichen Superuser- Rechten sein. Sie stellen mitunter einen massiven Verstoß gegen das Prinzip minimaler Rechte dar, was in diesem Fall besonders brisant ist, da privilegierte Rechte betroffen sind.
Eine mangelhafte Zugriffsverwaltung privilegierter Konten kann darüber hinaus zur Anhäufung übermäßiger Privilegien (Rechteakkumulation), verwaisten Konten, Inhaberschafts-Konflikten und anderen Governance-Problemen führen.
Das Risiko ist enorm: über diese Benutzerkonten und kompromittierte Anmeldeinformationen ist ein uneingeschränkter Zugriff auf Unternehmenssysteme und vertrauliche Daten möglich, bestehende Security-Barrieren können umgangen und ausgeschaltet werden. In der Folge können sensible Unternehmensdaten aus der Bank entwendet werden (Data Leakage) oder der reguläre Geschäftsbetrieb beeinträchtigt werden (Business Disruption). Schlimmer noch: Im Fall eines erfolgten ungewollten Zugriffs, kann nicht kontrolliert werden, welcher Mitarbeiter ein Konto wann und wozu verwendet hat, da eine revisionssichere Überprüfung der Verwendung eines generischen Kontos bis auf die Personenebene oft nicht möglich ist.
Hinsichtlich der privilegierten IT-Berechtigungen besteht ein erhöhter regulatorischer Druck und immenses Eigentinteresse der Bank speziell die Aktivitäten administrativer Accounts über eine entsprechende Aufzeichnung (detektiv) und angemessene Überwachung (präventiv) abzusichern. Ziel ist es, diesbezügliche Vorgaben des Regulators einzuhalten, Bedrohungen zu minimieren und Berechtigungsmissbrauch zu vermeiden, bzw. nachvollziehbar zu machen. Eine wesentliche Rahmenbedingung ist hierbei die Performance und Kostensituation der IT.
Hier steht das Risk- und Security Management der Finanzdienstleister zunächst in der Pflicht die privilegierten Zugriffe risikobewusst zu verwalten, sieht sich allerdings bei der Festlegung und Verwaltung privilegierter Rechte erheblichen Aufwänden gegenüber. Gleichzeitig sollen die Service-Leistungen der IT durch das Management privilegierter Zugriffe nicht übermäßig beeinträchtigt werden. Vielmehr sollen sie mit Blick auf die Umsetzung von Sicherheitsvorgaben möglichst unterstützt und verbessert werden. Hier besteht Handlungsbedarf: ein innovativer Ansatz, der klassisches Identity und Access Management um das Management privilegierter Identitäten & Konten erweitert, ist erforderlich. Identity-& Access- Management befasst sich im klassischen Sinne mit der Verwaltung und Pflege von Befugnissen von Identitäten der gesamten IT Infrastruktur. D. h. Wer darf welche Berechtigungen haben? Privileged Access Management erweitert diese Funktionalität um den Anspruch der Überprüfbarkeit aller Aktionen, die mit priviligierten Berechtigungen innerhalb der Applikation bzw. IT-Komponente durchgeführt wurden. D. h. Wer hat was konkret mit seinen Berechtigungen innerhalb einer Anwendung real getan? Für IT-Systeme, welche keine ausreichende Protokollierung aller Aktivitäten selbst vorhalten wird dies typischerweise mit markgängigen sog. PAMLösungen technologisch über bspw. Session Recording erzielt. Das heißt Aktivitäten werden auf Videobasis aufgezeichnet. Dennoch ist insbesondere die Frage der zeitnahen Auswertbarkeit solcher massen haften Videodaten mit vertretbarem Aufwand einer der wichtigsten Erfolgsfaktoren für laufende PAM-Projekte im Bankenmarkt. Doch das stichprobenhafte Überprüfen dieser Videos hat sich bislang als sehr kostenintensiv und damit nicht langfristig zielführend erwiesen. Gemäß aktueller EZB Prüfungen werden hierbei mangels erweiterter Auswertungsmöglichkeiten bis zu 20 Prozent Stichproben von der Grundgesamtheit erwartet. Dennoch bieten diese Aufzeichnungen selbst bei nicht ausreichender Auswertbarkeit zumindest forensisch (d. h. detektiv) die Möglichkeit im Nachgang betrügerische Handlungen nachzuvollziehen. Diese komplexen Hürden lassen sich durch innovative Ansätze in einem effizienten und nachhaltigen PxM überwinden.
Abb.1: Typische Angriffsfaktoren im Kontakt des PAM-Lösungsraum
Transparente Protokollierung – angemessene Überwachung
Die Verantwortlichkeit für die Einführung der Überwachung und Steuerung privilegierter Rechte liegt typischerweise im Informationssicherheitsmanagement, speziell im Berechtigungsmanagement, der Finanzdienstleister. Bei der Implementierung eines effizienten PxM stehen diese erfahrungsgemäß zunächst folgenden Schlüsselfragen gegeüber:
Werden die regulatorisch und informationssicherheitsrelevanten Vorgaben in der Governance und den Prozessen berücksichtigt?
Ist ein umfassendes Eventmanagement im Sinne der Überwachung und Protokollierung von sicherheitsrelevanten Vorfällen (SIEM – Security Incident & Eventmanagement) etabliert?
Ist die Implementierung eines PAM Tools in den Systemen hinsichtlich der Überwachung, Protokollierung und Auswertbarkeit realisierbar?
Sind informationsrisikomitigierende Maßnahmen bis hin zu organisatorischen Regelungen im Rahmen eines umfassenden PAMs im Unternehmen etabliert und anerkannt/akzeptiert?
Der Anspruch an die komplexe Funktionalität von PxM setzt ein umfassendes Vorgehensmodell bei der Realisierung voraus. Hierbei sind zunächst alle IT-Berechtigungen in Abhängigkeit vom Schutzbedarf über alle Ebenen des „IT-Stacks“, d. h. von der Anwendungsschicht bis hin zu den Netzwerkkomponenten zu überwachen. PxM-relevant sind dabei vornehmlich die Berechtigungen der höheren Schutzklassen, die es Usern ermöglichen, sich über Beschränkungen, Vorgaben und Kontrollen hinwegzusetzen. Zum Beispiel sind das Rechte, die das Umgehen/Aushebeln von Sicherheitsmechanismen oder die Veränderung von Konfigurationseinstellungen ermöglichen.
Anschließend an diese Bewertung des Berechtigungsbestands müssen Anzahl und Umfang im Rahmen einer Bereinigung und anschließenden Rezertifizierung minimiert werden. Das Prinzip der minimalen Rechte wird somit auch im Rahmen privilegierter Berechtigungen erzwungen und die Menge der privilegierten Konten wird auf ein nötiges Minimum reduziert. Für betroffene Systeme müssen PAM-Prozesse und Steuerelemente eingeführt und in die bestehenden IAM Prozesse integriert werden. Ein möglicher Ansatz hierfür ist die Implementierung eines PAM-Tools, das vertrauenswürdige Authentifizierungsmethoden für privilegierte Zugriffe und die Protokollierung sowie Überwachbarkeit mittels Session Recording sicherstellt.
Geeignete PAM-Tools und andere kompensierende Methoden, etwa innerhalb der Systeme oder über ein existierendes Security Information & Event Management (SIEM) müssen dafür evaluiert werden. Aufeinander abgestimmt kann so ein effektives Zugriffs- und Aktions-Management implementiert werden, welches eine toolbasierte veränderungssichere Protokollier- und Überwachbarkeit aller Aktivitäten im Zusammenhang mit privilegierten Rechten ermöglicht.
In einem weiteren Schritt ist die Zuweisung privilegierter Berechtigungen durch eine definierte Verantwortlichkeit (Regulatorik- konform und auf Basis entsprechender Governance) zu managen. Auch die Möglichkeit der zeitlichen Beschränkung ist hierbei vorzusehen. So kann eine privilegierte Zugriffsverwaltung/-steuerung in Kraft treten und es werden lediglich kurzfristig Mindestprivilegien gewährt, die zur Ausführung entsprechender Tätigkeiten erforderlich sind.
Mit Blick auf die Nachhaltigkeit ermöglicht dieses Vorgehen auch nach einer initialen Bereinigung die Menge der privilegierten Konten und Rechte dauerhaft sicherzustellen. Denn das Ziel einer solch komplexen und aufwändigen Methodik ist die langfristige Gewährleitung der vollumfänglichen Transparenz über die Nutzung der relevanten privilegierten Konten sowie deren Aktivitäten und die Möglichkeit zeitnaher mitigierender Maßnahmen.
Abb. 2: Überblick einer typischen PxM Architektur im Zusammenhang des IAM
Fazit – Der Mehrwert effizient verwalteter Rechte ist vielfältig
Bisher umgesetzte regulatorische Vorgaben im Rahmen IAM waren der initiale Baustein für ein effizientes und nachhaltiges Berechtigungsmanagement. Ein Risiko- orientierter Blickwinkel richtet sich nun auf die Notwendigkeit des PxM und einhergehende risikomitigierende Vorteile. Im Jahr 2021 werden Unternehmen mit Privileged Identity & Access Management ein um mindestens 50 Prozent geringeres Risiko durch die Auswirkungen von Advanced Threats als Marktteilnehmer ohne entsprechend umgesetzte Maßnahmen aufweisen.
Der aktuelle Umsetzungsstand unserer Kunden zeigt uns wie herausfordernd die Umsetzung eines integrierten Ansatzes ohne entsprechende Best Practices Erfahrungen ist. Geichwohl ein Großteil der Finanzdienstleister bereits mit der Einführung sogenannter PAM-Tools begonnen hat, so gilt es nun die angeschafften Technologien sinnvoll und effizient zu orchestrieren. Aus Angemessenheits- und Kostensicht sind zudem die Regelwerke institutsspezifisch zu optimieren, da das Handling von übermäßig vielen „false positives“ wichtige und essentielle Ressourcen bindet.
Unsere Autoren: Christoph Eckert, Karina Karsten & Fuad Sahinovic