Die Begriffe „Privileged Access“ und „Privilegiertes Konto“ sind derzeit in aller Munde. Fast täglich hört man über Sicherheitsverletzungen, die durch den Missbrauch mangelhaft geschützter Anmeldeinformationen privilegierter Konten verursacht werden. Der Missbrauch der Zugangsdaten zu privilegierten Konten macht es Übeltätern leicht, auf sensible Daten zuzugreifen oder diese zu stehlen. Leider dauert es oft Monate oder sogar Jahre, um solche Vorfälle zu erkennen und aufzuklären – bis dahin sind der Angreifer und die Daten längst über alle Berge.
Das Problem, mit dem viele Unternehmen konfrontiert sind, wenn sie versuchen, privilegierte Konten zu schützen, besteht darin, dass es schwierig ist, festzustellen, welche Konten privilegierten Zugriff haben, und noch schwieriger, zu verfolgen, wer Zugriff auf diese Konten hat. Die Kontrolle der Zugriffe auf solche privilegierten Konten wird seit langem mit PAM-Technologien (Privileged Account Management) sichergestellt. Herkömmliche PAM-Lösungen sind jedoch oft eigenständig und nicht in IGA-Technologien (Identity Governance and Administration) integriert. Infolgedessen behindern sie die Kontrolle, Transparenz und Governance von Benutzern und deren Zugriff auf privilegierte Ressourcen erheblich.
Zu den Vorteilen der Privileged Access Governance gehören:
Wenn Sie eine IGA-Lösung einsetzen, zielen Sie darauf ab, die Herausforderungen des Identitätslebenszyklusmanagements und der Governance für das gesamte Unternehmen zu bewältigen, einschließlich Zertifizierung, Bescheinigung und Aufgabentrennung. IGA-Lösungen erfüllen diese Anforderungen in hervorragender Weise, während Privileged Account Governance die Governance-, Risiko- und Compliance-Funktionen einer IGA-Lösung auf das PAM-System ausweitet. Während die meisten IGA-Plattformen das Risiko in erster Linie auf der Grundlage von Benutzerkonten und deren Rollen und Gruppenzugehörigkeiten bewerten, berücksichtigt Privileged Access Governance auch die aus der PAM-Umgebung gewonnenen „Root“-Zugangsdaten, indem es diese wichtigen Informationen in die Implementierung von Identity Governance-Regeln einbezieht und das Risiko für das gesamte Unternehmen ermittelt.
Viele Unternehmen behandeln ihre IGA- und PAM-Umgebungen getrennt und verwalten den Zugriff isoliert in zwei verschiedenen Systemen. Das IGA-System enthält Informationen über die Identität und ihren organisatorischen Kontext (z. B. Abteilung, Rolle, Position, Standort und Kostenstelle) sowie die Konten, die diese Identität in verschiedenen Systemen und Anwendungen im gesamten Unternehmen besitzt (z. B. das AD-Domänenkonto, E-Mail, SharePoint, SAP, Salesforce und andere Geschäftsanwendungen).
Das PAM-System ist anders. Die Identität ist zwar im PAM-System vorhanden, aber es fehlen die organisatorischen und kontextbezogenen Daten, über die die IGA-Systeme verfügen. Das PAM-System gewährt Zugriff auf Systeme oder Anwendungen, indem es die erforderlichen Schlüssel oder Anmeldeinformationen für das Konto der Zielplattform bereitstellt. Die IGA- und PAM-Systeme unterscheiden sich in der Art und Weise, wie sie Identitäten speichern, Identitätslebenszyklen verwalten und den Zugriff auf Systeme und Anwendungen erleichtern. Beide Systeme spielen jedoch eine entscheidende Rolle bei der Bekämpfung von Cyber-Bedrohungen und Risiken, einschließlich Insider-Bedrohungen. Sie tragen dazu bei, den am wenigsten privilegierten Zugriff aus Sicht der IGA durchzusetzen und Anmeldeinformationen zu sichern, während sie Sitzungen auf Systemen und Anwendungen aufzeichnen.
Privileged Access Governance bietet folgende Kernfunktionen:
Es ist entscheidend, einen vollständigen Überblick über all Ihre Identitäten und ihre Rechte zu haben – von Standard- bis zu privilegierten Benutzern. Privileged Access Governance schließt die Lücke zwischen Sicherheit und Verwaltung. Unternehmen, die Privileged Access Management (PAM) und IGA-Technologien immer noch als getrennte Silos betreiben, lassen mehrere wichtige Funktionen ungenutzt, die sich erheblich auf ihren Sicherheitsstatus auswirken:
Der unabhängige Betrieb dieser Systeme verhindert, dass Unternehmen einen umfassenden Überblick über alle Identitäten und die zugehörigen Benutzerkonten, Berechtigungen und Aktivitäten erhalten.