CRN-Interview mit Michael Kleist von Cyberark
»Wenn es mehr Rollen als Mitarbeiter gibt, ist etwas falsch gelaufen«
Fortsetzung des Artikels von Teil 1
»Man sollte die ›Quick Wins‹ an den Anfang stellen«
CRN: Was sind typische Fehler, die in IAM-Projekten gemacht werden?
Kleist: Die häufigste Problematik ist, dass statt eines Programms ein Projekt definiert wird. Dieses nimmt dann eine Größe an, dass es keine regelmäßigen Erfolge vorweisen kann, sondern quasi nie fertig wird, weil sich das Geschäft zu schnell ändert. Wir raten daher dazu, schrittweise vorzugehen. Im Privileged Account Management (PAM) haben wir dazu das Cyber-Hygiene-Programm entwickelt, das eine Art Leitfaden dazu darstellt und die »Quick Wins« an den Anfang stellt.
CRN: Warum benötigen privilegierte Benutzer-Accounts einen besonderen Schutz?
Kleist: Privilegierte Accounts verbergen sich an vielen Stellen, die für ein IAM-System allein nicht erreichbar sind. Beispiele sind System-User wie »root« bei Linux oder der Datenbank-Admin. Diese Accounts sind nicht provisionierbar und können mit ihren weitreichenden Rechten nicht nur großen Schaden anrichten, sondern auch Kontrollregeln außer Kraft setzen. Deshalb bedarf es auch hier eines dedizierten Ansatzes. Die Isolation zwischen Endgerät und Serverlandschaft mit Aufzeichnungsmöglichkeit sei hier beispielhaft genannt. Ebenso sind die automatisierte Verwaltung und regelmäßige Änderung von Zugangsdaten in Skripten und Applikationen oder DevOps-Umgebungen Spezialdisziplinen, die ein reines IAM nicht bieten kann, die aber für die Sicherheit und Compliance zwingend erforderlich sind.
CRN: Warum sollten sich Systemhäuser und IT-Dienstleister mit den Themen IAM und PAM beschäftigen?
Michael Kleist: Wie gesagt: IAM- und auch PAM-Lösungen werden vor allem aus Sicherheits-, Compliance- und Vereinfachungsgründen benötigt. Was insbesondere den PAM-Bereich angeht, muss der Sicherheitsaspekt mit dem Risiko bewertet werden. Sollte ein Angreifer durch ungesicherte privilegierte Zugänge an zentrale Stellen des Unternehmens gelangen, stehen Millionen auf dem Spiel – neben dem Reputationsschaden. Dies zu ignorieren muss schon als fahrlässig gebrandmarkt werden, da wir in der jüngeren Vergangenheit genug Sicherheitsvorfälle gesehen haben. Und der Stand der Technik gibt es inzwischen her, sich zu schützen.
CRN: Welche Skills müssen Systemhäuser und IT-Dienstleister mitbringen, die in die Themen einsteigen wollen?
Michael Kleist: Prozesse sind hier ebenso entscheidend wie technisches Verständnis sowie die Fähigkeit, Angriffsszenarien durchzudenken. Wie arbeitet ein Administrator? Sicherheit, die sich effizient und nahtlos einfügt, wird gern angenommen. Wie denkt ein Angreifer? Wo muss ich daher Angriffswege schließen? Sicherheit orientiert sich nicht an theoretischen Werten, sondern an dem Machbaren. Dies schließt ein, dass Hersteller wie Partner über eine komplette Sicherheitsarchitektur sprechen, und nicht über ein Produkt und dessen Einführung. Wir selbst tragen dem auch Rechnung, indem wir eine Integrationen in andere Lösungen schaffen, damit vorhandene Technologien keine Inseln bleiben. Dies betrifft sowohl Sicherheitsprodukte wie beispielsweise Schwachstellenscanner oder SIEM-Werkzeuge ebenso wie IAM, wo wir etablierte Prozesse nutzen, um die Einheitlichkeit für den Anwender sicherzustellen.
CRN: Gibt es Möglichkeiten, IAM und PAM als gemanagten Service für Kunden anzubieten?
Michael Kleist: Ja natürlich. Managed Service ist zweifelsohne ein Trend, den wir sehen. Technisch ist das mit entsprechender Erfahrung nicht mehr herausfordernd, allerdings sind im Detail einige Dinge zu beachten, damit alle Eventualitäten abgedeckt sind.
- »Wenn es mehr Rollen als Mitarbeiter gibt, ist etwas falsch gelaufen«
- »Man sollte die ›Quick Wins‹ an den Anfang stellen«
Lesen Sie mehr zum Thema
