Illustration Absmeier foto freepik

Sechs Aspekte, die bei der Suche nach einer geeigneten PAM-Lösung zu beachten sind.

Privileged Access Management (PAM) ist seit langem ein wichtiges Instrument zum Schutz von Passwörtern, zur Sicherung von Zugängen zu wichtigen Ressourcen in einem Unternehmen und zum Schutz sensibler oder vertraulicher Daten. Angesichts der wachsenden Bedrohungslage durch Cyberkriminalität ist eine robuste PAM-Lösung wichtiger denn je. Laut dem Verizon 2024 Data Breach Investigations Report werden bei 75 Prozent der Cyberangriffe kompromittierte privilegierte Zugangsdaten verwendet. Dies macht den privilegierten Zugriff zu einem der am häufigsten genutzten Angriffsvektoren.

In der Vergangenheit waren PAM-Lösungen sehr komplex zu implementieren und zu verwalten, was ihre Einführung auf große Unternehmen mit den notwendigen finanziellen und personellen Ressourcen beschränkte. Mit den modernen PAM-Lösungen hat sich dies jedoch geändert. Heute können Unternehmen PAM mit deutlich geringerem Aufwand implementieren und dabei die Funktionalität beibehalten oder sogar verbessern. Diese Lösungen sind einfacher zu implementieren, erfordern weniger Ressourcen für die laufende Verwaltung und bieten das gleiche Maß an Sicherheit, das bisher größeren Unternehmen vorbehalten war.

Dieser Wandel ist auf ein grundlegendes Umdenken in der PAM-Architektur zurückzuführen. Traditionelle PAM-Systeme basierten auf mehreren eigenständigen Komponenten – moderne Lösungen integrieren diese in eine zentralisierte Plattform. Diese besteht in der Regel aus einem Tresor, einer Cloud-basierten Komponente und einem Gateway, das als zentraler Dienst bereitgestellt wird – ohne dass Agenten im Netzwerk erforderlich sind. Dank dieses schlanken Ansatzes können auch kleine und mittelständische Unternehmen (KMU) eine voll funktionsfähige Zero-Knowledge PAM-Plattform implementieren.

Integrierter Schutz vor Cybersecurity

Eine moderne PAM-Architektur stellt sicher, dass die Ver- und Entschlüsselung von Geheimnissen, Verbindungen und Tunneln lokal auf dem Gerät des Benutzers über den Tresor erfolgt. Gleichzeitig ist der Zugriff auf die Ressourcen auf explizit autorisierte Benutzer beschränkt, so dass diese sichere Sitzungen oder Tunnel aufbauen können, ohne die zugrundeliegenden Anmeldedaten direkt zu erfahren. Durch die Einhaltung von Zero-Trust- und Zero-Knowledge-Prinzipien stellen moderne PAM-Lösungen sicher, dass Anmeldedaten jederzeit geschützt bleiben.

Traditionell werden die Rechte in einer PAM-Lösung über ein AD-Modell vergeben. Das bedeutet, dass bestimmte Konten für bestimmte Systeme freigegeben werden, wobei Tier 0 in der Regel den Domain Controller, Tier 1 die Server und Tier 2 die Workstations repräsentiert. Dieses Prinzip ist für viele Organisationen ausreichend und kann bei Bedarf sehr granular eingerichtet werden. Eine elegantere und vor allem sicherere Variante für moderne PAM-Lösungen ist das Zero-Standing-Privilege-Prinzip. Dieses ist nicht auf Tiering und einzelne Benutzer angewiesen. Bei diesem Prinzip meldet sich der Benutzer einfach auf seinem Gerät mit Multi-Faktor-Zugang bei seinem Tresor an. Das PAM verwendet dann keine klassischen Benutzerzugangsdaten mehr, sondern verwaltet alle Rechte ID-spezifisch. Das hat entscheidende Vorteile für die Cyberabwehr. Die Seitwärtsbewegung im Netzwerk wird auf ein Minimum reduziert, da Angreifer keinen Zugriff auf vorhandene Anmeldedaten für die Rechte an den Ressourcen haben.

Sechs wichtige Aspekte bei der Auswahl einer PAM-Lösung

Wenn Unternehmen – unabhängig von ihrer Größe – über einen Wechsel oder die Implementierung einer neuen PAM-Lösung nachdenken, sind wichtige Aspekte zu beachten, um letztlich das gewünschte Sicherheitsniveau zu erreichen:

Cloud-basierte Zero-Trust- und Zero-Knowledge-Sicherheit

Datenumgebungen in Unternehmen sind heute weitgehend Cloud-basiert. Viele herkömmliche PAM-Produkte wurden jedoch ursprünglich für lokale Infrastrukturen entwickelt und die Cloud-Funktionen wurden oft erst später hinzugefügt. Moderne PAM-Lösungen hingegen wurden von Grund auf für die Cloud entwickelt und nutzen die Vorteile der Cloud-Funktionen voll aus. Dazu gehört die Möglichkeit, Cloud-Ressourcen automatisch nach Bedarf zu skalieren, sowie Zero-Trust-Sicherheit und Zero-Knowledge-Verschlüsselung.

Granulare Zugriffskontrolle und Richtlinien

Granulare Zugriffskontrollen helfen Unternehmen, eine sichere, effiziente und konforme Umgebung zu schaffen, indem sie den Zugriff auf genau die Benutzer oder Systeme beschränken, die sie benötigen. Sie werden in der Regel mit der rollenbasierten Zugriffskontrolle (Role-Based Access Control, RBAC) und dem Zugriff mit den geringsten Privilegien (auch bekannt als Just-Enough-Privilege oder JEP) kombiniert, so dass die Berechtigungen für den Zugriff auf Systeme und Daten von der Arbeitsfunktion des jeweiligen Mitarbeiters abhängen. Damit soll sichergestellt werden, dass Benutzer nur auf die Ressourcen zugreifen können, die sie für ihre Arbeit wirklich benötigen. Da granulare Zugriffskontrolle, RBAC und Least Privilege/JEP die Eckpfeiler moderner Zero-Trust-Sicherheitsumgebungen sind, sollte eine PAM-Lösung diese Funktionen unbedingt unterstützen.

Sitzungsverwaltung, Überwachung und Aufzeichnung

Im Zusammenhang mit der Verwaltung des privilegierten Zugangs sind Sitzungsverwaltung, Überwachung und Aufzeichnung wichtige Funktionen. Sie bieten einen Überblick, Kontrolle und Verantwortlichkeit für die Aktivitäten privilegierter Benutzer. Die Funktionen moderner PAM-Lösungen stellen sicher, dass die von privilegierten Konten durchgeführten Aktionen sorgfältig verfolgt, protokolliert und geprüft werden, um das Risiko zu mindern und die Identifizierungs- und Wiederherstellungsphasen zu unterstützen – falls ein Vorfall eintritt.

Unterstützung für Passkeys

Passkeys sind eine moderne, phishing-resistente Authentifizierungsmethode, die herkömmliche Passwörter ersetzen kann und von einer modernen PAM-Lösung unterstützt werden sollte. Die passwortlose Login-Technologie erhöht sowohl die Sicherheit als auch die Benutzerfreundlichkeit. Mit Passkeys können Unternehmen ihre Sicherheit deutlich verbessern und die Komplexität, die mit der traditionellen Passwortverwaltung verbunden ist, reduzieren.

Aufbewahrung und Verwaltung von Passwörtern mit automatischer Rotation

Automatisierte Passwortrotation und Vaulting sind Merkmale moderner PAM-Lösungen. Sie erhöhen die Sicherheit und erleichtern die Verwaltung privilegierter Konten durch die Automatisierung der Passwortverwaltung und die sichere Speicherung von Passwörtern.

Die automatisierte Passwort-Rotation ändert die Passwörter privilegierter Accounts in festgelegten Intervallen oder nach jeder Nutzung automatisch. Die automatische Passwortrotation verringert das Risiko eines unbefugten Zugriffs, der durch gefährdete oder veraltete Anmeldeinformationen verursacht wird.

Der Begriff »Passwort-Tresor« bezieht sich auf die sichere Speicherung von Kontodaten, einschließlich Passwörtern, Passkeys und Geheimnissen, in einem verschlüsselten Speicher, dem sogenannten Tresor. Benutzer oder Systeme müssen sich bei der PAM-Lösung authentifizieren, um Passwörter für den Zugriff auf Ressourcen abrufen zu können. Der Zugriff auf den Tresor wird durch Richtlinien wie RBAC eingeschränkt. Anmeldedaten können für bestimmte Sitzungen abgerufen werden und bleiben für die Benutzer verborgen. Dies verhindert die Speicherung sensibler Zugangsdaten auf verschiedenen Systemen oder persönlichen Geräten.

Schutz für das gesamte Unternehmen, nicht nur für die IT-Abteilung

Einige herkömmliche PAM-Produkte sind so konzipiert, dass sie nur IT-Administratoren, DevOps-Mitarbeiter oder andere hoch privilegierte Benutzer schützen. Es ist jedoch wichtig, dass alle Benutzer und Ressourcen im Unternehmen geschützt werden – nicht nur diejenigen mit privilegiertem Zugriff. Traditionell wurde dies mit einer Kombination aus einer PAM- und einer IAM-Lösung gelöst, die einzeln verwaltet und gepflegt werden müssen. Dies bedeutet mehr Arbeit für IT- und Sicherheitsteams. Moderne PAM-Lösungen vereinen diese Funktionen in einem einzigen Sicherheits-Ökosystem. Sie konsolidieren die kritischen Funktionen in einem Cloud-Tresor, der den sicheren Zugriff auf jede geschützte Ressource ermöglicht. Über eine einheitliche Schnittstelle bietet eine moderne Cloud-native PAM-Plattform die Verwaltung von Passwörtern, Passkeys und Geheimnissen sowie die Verwaltung von Verbindungen, Zero-Trust-Zugang und Remote-Browser-Isolierung.

Pawel Jankowski, Senior Account Executive EMEA bei Keeper Security

Über Keeper Security:

Keeper Security verändert die Cybersicherheit für Millionen von Einzelpersonen und Tausende von Unternehmen weltweit. Die intuitive Cybersicherheitsplattform von Keeper ist mit einer End-to-End-Verschlüsselung ausgestattet und genießt das Vertrauen von Fortune-100-Unternehmen, um jeden Benutzer auf jedem Gerät und an jedem Standort zu schützen. Unsere patentierte Zero-Trust- und Zero-Knowledge-Lösung für das Privileged Access Management vereint die Verwaltung von Unternehmenspasswörtern, Geheimnissen und Verbindungen mit Zero-Trust-Netzwerkzugriffen und Remote-Browser-Isolation. Durch die Kombination dieser wichtigen Identitäts- und Zugriffsverwaltungskomponenten in einer einzigen cloudbasierten Lösung bietet Keeper beispiellose Transparenz, Sicherheit und Kontrolle und gewährleistet gleichzeitig die Einhaltung von Compliance- und Audit-Anforderungen. Erfahren Sie unter KeeperSecurity.com, wie Keeper Ihr Unternehmen vor den heutigen Cyberbedrohungen schützen kann.

239 Artikel zu „Privileged Access Management“

News | Trends Security | IT-Security | Trends 2023

Neuer Gartner Magic Quadrant für Privileged Access Management (PAM)

18. September 2023

Das IT-Analystenhaus Gartner hat den neuesten »Magic Quadrant for Privileged Access Management« (September 2023) vorgelegt. Die Ausgabe 2023 des Marktforschungsberichts analysiert unterschiedliche Technologieanbieter im PAM-Markt anhand von aussagekräftigen Bewertungskategorien. Der »Magic Quadrant« bietet eine grafische Wettbewerbspositionierung von Technologieanbietern in Märkten, in denen das Wachstum hoch ist und die Anbieter sich deutlich unterscheiden: Leaders (Führer) setzen…