Ihre „normalen“ Benutzerkonten in den wichtigsten Systemen bekommen immer mehr Unternehmen zwar in den Griff. Aber für die viel sensitiveren privilegierten Benutzerkonten fehlt es oft noch an einem ausreichenden Management. PAM-Lösungen (Privileged Account Management) versprechen die Lösung dafür. Aber wie so oft stellen sich gleich mehrere Fragen: Wer braucht solche Lösungen? Wo ist der Business Value? Wie ausgereift sind die Produkte? Wohin entwickelt sich der Markt? Und welche Lösung ist die Richtige?

PAM – manchmal auch als PIM (Privileged Identity Management) oder PUM (Privileged User Management) bezeichnet – ist nicht neu. Im UNIX-/Linux-Umfeld gibt es bereits seit langem Lösungen für das Zugriffsmanagement für Root Accounts. Außerdem findet sich UNIX-/Linux-Umfeld auch Sudo als einfachere Standardfunktionalität.

Der Markt hat aber in den vergangenen ein bis zwei Jahren deutlich an Momentum gewonnen. Und mit Novell hat nun auch einer der großen Anbieter im IAM-Markt (Identity and Access Management) einen der Spezialisten (Fortefi) übernommen. Novell wird wohl nicht der letzte Hersteller sein, der hier zukauft – im Gegenteil.

Der wichtigste Treiber für das Wachstum in diesem Markt ist, dass die mit privilegierten Benutzerkonten verbundenen Risiken immer mehr ins Blickfeld rücken – nicht nur von den Administratoren, sondern auch von den CSOs (Chief Security Officers) und vor allem auch den Wirtschaftsprüfern, die ein fehlendes Management solcher Konten immer häufiger bemängeln.

Zu den privilegierten Benutzerkonten zählen nicht nur Root-Accounts bei Unix und Linux, sondern beispielsweise auch administrative Konten bei Windows, Systemkonten und technische Benutzerkonten. Kurz gesagt geht es um alle Benutzerkonten, die besondere Berechtigungen haben.

Eine weitere Gemeinsamkeit der Konten ist, dass diese in den meisten Fällen keine individuellen Benutzerkonten sind, sondern häufig von mehreren Benutzern verwendet werden (oder zumindest verwendet werden könnten). Zudem sind sie oft nicht in das Lebenszyklusmanagement von Identity Provisioning-Lösungen eingebunden. Die Kombination aus umfassenden Berechtigungen, der Nutzbarkeit durch mehrere Personen (und entsprechend auch von Kennwörtern, die dazu tendieren, Allgemeingut zu werden) und einem Mangel an klaren Management-Konzepten führt dazu, dass hier erhebliche Sicherheitsrisiken entstehen.

PAM-Lösungen zielen darauf ab, Sicherheitsrisiken zu reduzieren und Sicherheitsrichtlinien besser einhalten zu können. In Anbetracht dessen, dass die meisten schweren Schäden durch Computerkriminalität immer noch durch interne Benutzer verursacht werden, ist das auch unabdingbar.

Allerdings zeigt sich beim Blick auf die Lösungen auf, dass es dort durchaus noch einige Schwachstellen gibt. Die Ansätze variieren von der Bereitstellung von nur kurzzeitig gültigen Kennwörtern über die Überwachung von Zugriffen bis hin zur Beschränkung von Berechtigungen, durchaus in unterschiedlichen Kombinationen.

Derzeit sind aber viele der Werkzeuge noch entweder auf Unix/Linux oder auf Windows fokussiert. Umfassende Lösungen für alle Systemwelten, die auch die jeweiligen Spezifika berücksichtigen, sind noch rar. Die professionellen Produkte sind aber immerhin meist auf das zentrale Management auch sehr vieler Systeme in Netzwerken ausgelegt. Dennoch gibt es noch einigen Handlungsbedarf.

Die Akquisition von Fortefis Technologien durch Novell zeigt zudem noch einen weiteren wichtigen Trend auf: Die Integration von PAM in übergeordnete Konzepte, sowohl bezüglich der Überwachung und Analyse als auch beim Lifecycle Management.

Es ist unerlässlich, sich heute mit PAM-Konzepten auseinanderzusetzen, plattformübergreifend und in Integration mit den IAM- und GRC-Strategien. Bei der Tool-Auswahl wird man aber häufig noch unterschiedliche Systeme für Unix/Linux und Windows einsetzen müssen, wenn man jeweils optimale Ansätze für diese Plattformen haben möchte. Das wird sich aber wohl relativ schnell ändern – in 12 bis 18 Monaten wird eine starke Unterstützung unterschiedlicher Systemplattformen Standard sein.

Zu dem Thema „Wer war Root? Was Sie über Privileged Account Management (PAM) wissen sollten“ veranstaltet das Analystenhaus KCP am 19. März ein Webinar.

Alle wichtigen Trends im Identity Management diskutiert auch die European Identity Conference von KCP vom 5. bis 8. Mai in München.