(Teil-)Automatismen für Admin-Konten

Norbert Drecker, Geschäftsführer und IT-Architekt beim Kölner Beratungsunternehmen Twinsec, meint ebenfalls, dass sauber aufgesetzte Admin-Konten vor allem vom Druck der gesetzlichen Bestimmungen und der internen Kontrollvorgaben abhängen. »Die verbindliche Einhaltung von Richtlinien«, so Drecker, »kann heute durch eine Vielzahl von Automatismen und Teilautomatismen im Bereich Identitätsmanagement unterstützt werden«. Ein Beispiel sei ein Single-Sign-on-System, das unter anderem den Wechsel der Kennwörter automatisch anstoße und dabei verbind­liche Syntax- und Längenvorgaben mache. Solche Systeme entfalteten auch gegenüber den Administratoren ihre volle Wirkung. Diese Aussage darf wohl – Stand heute – in Zweifel ­gezogen werden. Zwar meint auch Martin Kuppinger, auf Identitätsmanagement und IT-Governance spezialisierter Analyst bei Kuppinger Cole, dass Funktionen für privilegierte Konten, also insbesondere ­Admin-Accounts, »in Zukunft auch Teil von Provisioning-Lösungen werden«, im Moment sieht er aber »einen deutlichen Anstieg bei der Nachfrage nach spezialisierten Werkzeugen«. Für die Verwaltung privilegierter Konten gebe es dementsprechend eine wachsende Zahl von Anbietern für solche Lösungen. Solche Anbieter seien unter anderem Lieberman Software (in Deutschland und Österreich unter anderem von Clement EDP vertreten), Quest Software und Cyber-Ark. Richard Diez-Holz von RDS Consulting weiß indes aus seiner täglichen Beratererfahrung, dass man in vielen Fällen, in denen derartige Mittel eingesetzt werden, nur die normalen Anwender adressiert und die Adminis­tratoren vergisst. Das sei schon deshalb mehr als fahrlässig, als »diese Personengruppe in der Regel sowohl das Wissen als auch die Möglichkeiten hat, Spuren zu verwischen und damit einer Erkennung zu entgehen«. Manipulationen könnten also oftmals gar nicht erst bemerkt werden.