Der Wandel zu sofortigem, sicherem Zugriff: Vor und nach Fudo ShareAccess

8. Mai 2025

Die Verwaltung privilegierter Zugriffe war schon immer eine zentrale Herausforderung für die Sicherheit, die mit der Weiterentwicklung von Cloud-Diensten und der globalen Expansion von Unternehmen immer wichtiger geworden ist. Heutzutage verfügt ein Unternehmen möglicherweise über mehrere Systeme, die in verschiedenen Bereichen eingesetzt werden, und muss viele unterschiedliche Zugriffsrechte vergeben, was zu einer enormen Komplexität und kritischen Risiken führt. Sehen wir uns die Zugriffskontrollprozesse, die Ihr Unternehmen wahrscheinlich seit Jahren durchläuft, und die damit verbundenen täglichen Risiken einmal genauer an.

Identifizierung privilegierter Benutzer und Vergabe von Berechtigungsnachweisen

Als Erstes mussten Sie festlegen, wer in Ihrem Unternehmen über privilegierte Zugriffsrechte verfügen sollte.

Jede Rolle und jeder Mitarbeiter musste berücksichtigt werden, um sicherzustellen, dass die Zugriffsrechte ordnungsgemäß zugewiesen wurden. Sie haben wahrscheinlich festgestellt, dass dieser Prozess selbst mit hochwertigen Lösungen sehr aufwendig ist, da die korrekte Integration all dieser Daten oft eine schwierige Aufgabe war.

Daher war dieser Prozess auch anfällig für Fehler, die zu doppelten Konten und einer falschen Zuweisung von Zugriffsrechten führen konnten, was wiederum Fehler oder Verzögerungen zur Folge hatte und das Risiko eines unbefugten Zugriffs erhöhte und die Sicherheit des gesamten Unternehmens gefährdete.

Doch selbst nachdem Sie korrekt ermittelt und zugewiesen hatten, wer in Ihrem Unternehmen privilegierten Zugriff haben sollte, bestand der nächste Schritt darin, den Mitarbeitern und Lieferanten Anmeldedaten zu gewähren. Dieser Schritt umfasste die Erstellung, Verteilung und sichere Speicherung mehrerer Passwörter, Schlüssel und anderer Authentifizierungsdaten.

Angesichts der ständigen Veränderungen in der Teamstruktur kann die Verwaltung privilegierter Konten und ihrer Anmeldedaten zu einem Albtraum werden, insbesondere wenn Sie Konten von verschiedenen Lieferanten integrieren müssen, mit denen Sie möglicherweise zusammenarbeiten.

Wenn mehrere Benutzer Zugriff auf verschiedene Systeme benötigten, mussten sie oft mehrere unterschiedliche Passwörter speichern oder unterschiedliche Authentifizierungsmechanismen verwenden, was zu Verwirrung und einem erhöhten Potenzial für menschliche Fehler führte.

Ihre permanenten Risiken

Diese Fehler können schwerwiegende Folgen haben. Beispielsweise steigt das Risiko einer Kompromittierung, wenn die Anmeldedaten nicht ordnungsgemäß gesichert oder nicht häufig genug geändert werden. Wenn ein privilegierter Benutzer seine Anmeldedaten verliert oder kompromittiert, könnten Angreifer Zugriff auf kritische Systeme erhalten. In einem solchen Fall müssten Sie die Anmeldedaten aller Konten ändern und auf allen Systemen aktualisieren.

Verwaltung des Zugriffs auf verschiedene Systeme und Anwendungen

Nach der erfolgreichen Ausgabe von Anmeldedaten an privilegierte Benutzer war der nächste große Schritt die Verwaltung des Zugriffs auf verschiedene Systeme und Anwendungen, was eine komplexe Anpassung der Zugriffsrechte und die Integration in die bestehende Infrastruktur erforderte.

Für jeden System- oder Anwendungstyp mussten individuelle Zugriffsrechte konfiguriert werden, um den Zugriff auf Server nur über bestimmte Protokolle wie RDP und SSH zu ermöglichen, den Zugriff auf kritische Systemsegmente durch spezifische Authentifizierungsmechanismen wie Kerberos zu binden, Zugriffsrechte an bestimmte IP-Adressen zu binden und viele andere Konfigurationen vorzunehmen.

Natürlich konnten zentralisierte Zugriffsrechtsverwaltungssysteme wie Active Directory oder ähnliche Lösungen oder sogar intern entwickelte kundenspezifische Lösungen verwendet werden. Aber selbst in diesem Fall war ein erheblicher manueller Konfigurations Aufwand erforderlich.

Dies stellte eine besondere Herausforderung in großen Infrastrukturen mit mehreren heterogenen Systemen dar, in denen die Integration jedes Systems einen maßgeschneiderten Ansatz erforderte. Angesichts der Dynamik der Branche und der zunehmenden Anzahl und Komplexität von Bedrohungen mussten regelmäßig neue Systeme hinzugefügt werden, was die Komplexität und die Kosten für die Wartung der Infrastruktur in die Höhe trieb.

Ihre permanenten Risiken

Eine solche unzureichende Integration zwischen Systemen sowie eine übermäßige und unsachgemäß abgegrenzte Integration können zu unbefugtem Zugriff oder der Unmöglichkeit, Rechte umgehend zu widerrufen, führen und trotz der Fülle integrierter Lösungen zusätzliche Sicherheitsrisiken, kritische Störungen im gesamten Unternehmen oder Datenverletzungen verursachen.

Überwachung und Protokollierung privilegierter Benutzeraktivitäten

Der nächste wichtige Schritt ist die Überwachung und Protokollierung privilegierter Benutzeraktionen, um alle Aktionen von Benutzern mit privilegiertem Zugriff zu verfolgen und potenzielle Bedrohungen rechtzeitig zu erkennen und darauf zu reagieren.

Die Integration verschiedener Datenquellen war eine der größten Herausforderungen. Beispielsweise unterschieden sich die Protokolle von Windows-Servern in Struktur und Inhalt erheblich von denen von Linux-Servern oder Cisco-Netzwerkgeräten. Es mussten komplexe Korrelationsregeln erstellt werden, um diese Daten zu kombinieren und eine einheitliche Ansicht der Benutzeraktivitäten zu erstellen. Dies erforderte einen erheblichen Aufwand und ein hohes Maß an Fachwissen.

Darüber hinaus konnte die von privilegierten Benutzern generierte Datenmenge überwältigend sein und die Überwachungs- und Analysesysteme zusätzlich belasten. Ihre bestehende Infrastruktur konnte mit Skalierbarkeitsproblemen konfrontiert sein, wenn sie das Log-Volumen einfach nicht bewältigen konnte, wodurch wichtige Ereignisse übersehen wurden.

Als zentralisiertes Überwachungssystem konnten Sie verschiedene Lösungen wie SIEM einsetzen, die Protokolle und Ereignisse aus verschiedenen Quellen sammeln. Dies können Betriebssysteme, Netzwerkgeräte, Anwendungen und Datenbanken sein.

Ihre permanenten Risiken

SIEMs sind jedoch keine Zugriffsmanagementsysteme, die privilegierte Sitzungsanalysen bieten, und verfügen oft nicht über Funktionen zur Verwaltung von Identitätsmechanismen, Zugriffsrichtlinien und Zugriffskontrollen oder zur automatischen Reaktion auf unbefugte Zugriffsversuche.

Sesionsverwaltung und temporäre Zugriffskontrolle

Eine der wichtigsten Aufgaben im Bereich der privilegierten Zugriffsverwaltung ist nach wie vor die Sesionsverwaltung und die temporäre Zugriffskontrolle, die häufig für einmalige oder bestimmte Aufgaben oder in Notfällen gewährt wird.

Wenn Sie Auftragnehmern oder externen Spezialisten temporären Zugriff gewähren mussten, mussten Sie separate Konten mit eingeschränkten Berechtigungen erstellen und Zeitlimits für deren Nutzung konfigurieren.

Erstens war die Erstellung temporärer Konten ressourcenintensiv, insbesondere wenn Sie schnell Zugriff gewähren mussten. Darüber hinaus war es schwierig, aktive Sitzungen in Echtzeit zu überwachen, insbesondere wenn der Zugriff über verschiedene Kanäle (z. B. VPN, RDP und SSH) gewährt wurde. Es konnte vorkommen, dass Sitzungen länger als geplant aktiv blieben oder temporäre Konten nicht rechtzeitig deaktiviert wurden.

Ihre permanenten Risiken

Wenn der temporäre Zugriff nicht ordnungsgemäß kontrolliert wurde oder nur über eingeschränkte oder zu komplexe Konfigurationen verfügte, entstanden erhebliche Sicherheitsrisiken. Beispielsweise konnte ein Auftragnehmer, der einen Auftrag abgeschlossen hatte, weiterhin mit seinen Anmeldedaten auf die Systeme zugreifen. Solche unzureichend kontrollierten Sitzungen stellten auch ein Risiko für kritische Systeme dar, da Angreifer eine offene Sitzung ausnutzen konnten, um unbefugte Aktionen durchzuführen.

Vorfallmanagement und Reaktion auf Bedrohungen

Nach der Einrichtung der Überwachungsprozesse bleibt die Verwaltung von Sicherheitsvorfällen und die Reaktion auf Bedrohungen die wichtigste Aufgabe.

Sie mussten Verfahren zur schnellen Erkennung und Behebung von Vorfällen entwickeln und implementieren, darunter die Erstellung ausgefeilter Pläne für die Reaktion auf Vorfälle, die Schulung der Mitarbeiter und die regelmäßige Überprüfung dieser Pläne auf ihre Wirksamkeit.

Anschließend mussten Sie Mechanismen einrichten, um schnell auf Vorfälle reagieren zu können, darunter die Sperrung von Konten, die Einschränkung des Zugriffs auf bestimmte Systeme oder sogar die vorübergehende Abschaltung kritischer Dienste, um weiteren Schaden zu verhindern.

Die unnötige Komplexität ergab sich aus der Notwendigkeit, mehrere Lösungen von Drittanbietern zu nutzen und manuelle Abstimmungen zwischen verschiedenen Abteilungen vorzunehmen, was den Reaktionsprozess verlangsamen und den potenziellen Schaden vergrößern konnte. Jede Abteilung hat ihre eigenen Prioritäten und Anforderungen, was die Organisation koordinierter Maßnahmen erschwert.

Ihre permanenten Risiken

Wenn Sicherheitsvorfälle nicht rechtzeitig erkannt und behoben wurden und die Reaktion darauf nicht automatisiert war, konnte Ihr Unternehmen erhebliche Verluste erleiden, darunter Datenverluste, Ausfälle kritischer Systeme und die Gefährdung der Sicherheit des gesamten Unternehmens.

Fudo ShareAccess läutet das Zeitalter der sicheren Direktverbindungen ein

Fudo ShareAccess stellt einen revolutionären Schritt im Bereich der Zugriffsverwaltung dar. Basierend auf einer sicheren Cloud-nativen Infrastruktur ermöglicht es Unternehmen, den Zugriff für interne Teams und externe Parteien zu delegieren und zu kontrollieren, ohne dabei die Sicherheit oder die operative Flexibilität zu beeinträchtigen.

Unternehmen verbinden sich über einen von Fudo Enterprise initiierten Reverse-SSH-Tunnel mit ShareAccess, sodass keine VPNs oder eingehenden Firewall-Regeln erforderlich sind. Administratoren können über ein zentrales Panel festlegen, wer wann und wie lange auf welche Ressourcen zugreifen darf.

Die Plattform nutzt ein föderiertes Zugriffsmodell, das sicherstellt, dass jedes Unternehmen die volle Kontrolle über seine Benutzer, Infrastruktur und Ressourcen behält und gleichzeitig sicher zusammenarbeiten kann.

Skalierbare Zusammenarbeit zwischen mehreren Organisationen

Fudo ShareAccess ermöglicht eine sichere Zusammenarbeit zwischen Unternehmen und Dritten durch den Aufbau vertrauenswürdiger Verbundbeziehungen. Jede Organisation behält die volle Kontrolle über ihre internen Identitäten, Infrastruktur und Richtlinien und kann gleichzeitig bestimmte Ressourcen wie RDP- und SSH-Endpunkte sicher gemeinsam nutzen. Sobald Vertrauen aufgebaut ist, wird der Zugriff auf Ressourcen über richtliniengesteuerte Safes gewährt – ohne dass externe Benutzer in der internen Umgebung bereitgestellt werden müssen. Dieser Ansatz eliminiert das Risiko lateraler Bewegungen und sorgt für saubere, überprüfbare Zugriffspfade über Organisationsgrenzen hinweg.

Flexibler und schneller Zugriff mit Just-in-Time-Modi

Fudo ShareAccess unterstützt drei flexible Just-in-Time (JIT)-Zugriffsmodelle: „Immediate“, „Scheduled“ und „On-Demand“. „Immediate JIT“ ermöglicht einen zeitlich begrenzten Zugriff, der sofort nach der Genehmigung gewährt wird. Mit „Scheduled JIT“ können Administratoren genaue Zugriffsfenster für geplante Wartungsarbeiten oder Einsätze definieren. Der On-Demand-Modus bietet einen hybriden Workflow, bei dem der Benutzer die Ressource in seinem Panel sehen kann, aber jedes Mal Zugriff anfordern muss. Alle Modi werden über zentralisierte Genehmigungen verarbeitet und automatisch mit Fudo Enterprise synchronisiert, wodurch eine präzise Kontrolle und Rückverfolgbarkeit ohne manuelles Eingreifen gewährleistet ist.

Keine Gefährdung der Infrastruktur

Die gesamte Architektur ist so konzipiert, dass eingehende Verbindungen vermieden werden. Fudo Enterprise richtet ausgehende SSH-Tunnel zu ShareAccess ein und schafft so isolierte, verschlüsselte Kommunikationspfade für Sitzungsprotokolle und API-Datenverkehr. Jeder Tunnel legt zufällige, kurzlebige Ports für RDP-, SSH- und WebClient-Verbindungen offen, die nur für authentifizierte Benutzer und nur für ihre autorisierten Ressourcen sichtbar sind. Dadurch muss Fudo Enterprise nicht dem Internet ausgesetzt oder die Firewall-Topologie des Unternehmens geändert werden, was das Risiko und die Reibungsverluste bei der Bereitstellung erheblich reduziert.

Zero-Knowledge-Ansatz

Fudo ShareAccess implementiert ein Zero-Knowledge-Sicherheitsmodell durch lokale Verschlüsselung, browserbasierte Schlüsselgenerierung und kryptografische Signaturprüfung. Benutzerschlüssel werden im Browser erstellt und entschlüsselt, während alle sensiblen Vorgänge – einschließlich Anmeldung, OTP-Generierung und Signatur von Anfragen – auf der Client-Seite stattfinden. Es werden keine Benutzeranmeldedaten, Passwörter oder Sitzungsinhalte auf der Plattform gespeichert. Selbst Plattformbetreiber haben keine Möglichkeit, auf private Schlüssel zuzugreifen oder Daten zu entschlüsseln, wodurch eine echte Isolation zwischen der Plattform und den Geheimnissen des Benutzers gewährleistet ist.

Transparente Lizenzierung und Anbieterunterstützung

Fudo ShareAccess führt ein faires und skalierbares Lizenzmodell ein: Nur Organisationen, die ihre eigenen Ressourcen teilen, zahlen für aktive Mitglieder und Verbundbeziehungen. Externe Benutzer und Drittanbieter, die auf gemeinsam genutzte Ressourcen zugreifen, entstehen keine Kosten, wodurch die Plattform auch in großem Maßstab wirtschaftlich rentabel ist. Lizenzen werden jährlich pro Organisation erworben und können dynamisch verwaltet werden, indem Benutzer nach Bedarf aktiviert oder deaktiviert werden.

Einfache Bereitstellung und Roadmap-fähige Architektur

Die Bereitstellung von Fudo ShareAccess erfordert keine Inbound-Netzwerkregeln, VPN-Konfigurationen oder architektonische Überarbeitungen. Dank Cloud-nativem Hosting auf AWS (in EU- und US-Regionen) und einem Reverse-Tunnel-basierten Design dauert die Integration nur wenige Minuten. Die Ressourcen- und Zugriffskonfiguration verbleibt in Fudo Enterprise, während Zugriffsanfragen und Genehmigungen in ShareAccess bearbeitet werden. Die bevorstehende Roadmap umfasst die Unterstützung neuer Protokolle, erweiterte RBAC, OIDC-Integration und KI-gestützte Anomalieerkennung – alles abgestimmt auf die sich wandelnden Anforderungen von Unternehmen, ohne die aktuelle Sicherheitslage zu beeinträchtigen.

Geschäftliche Vorteile in großem Maßstab

Zugriffszeit von Wochen auf Sekunden reduziert

Mit Fudo ShareAccess sind für die externe Zusammenarbeit keine tagelangen oder wochenlangen IT-Abstimmungen, VPN-Einrichtungen, Änderungen an Firewall-Regeln oder die Einrichtung temporärer Konten mehr erforderlich. Durch die Entkopplung der Identitätsverwaltung vom Infrastrukturzugriff und die Nutzung von Verbundvertrauen können Unternehmen neue Anbieter innerhalb weniger Minuten einbinden und ihnen Zugriff auf kritische Systeme gewähren – ohne die interne Sicherheit zu beeinträchtigen oder die IT-Teams zu überlasten.

Geringerer Betriebs- und Verwaltungsaufwand

Die herkömmliche Zugriffsverwaltung umfasst manuelle Konfiguration, ticketbasierte Bearbeitung von Anfragen und ständige Identitätsabgleich mit externen Parteien. Fudo ShareAccess macht dies überflüssig, indem es Lieferanten die Verwaltung ihrer eigenen Benutzer und die Automatisierung von Anforderungsworkflows mit Just-in-Time-Richtlinien ermöglicht. Dadurch entfällt die Notwendigkeit der Kontoeinrichtung, Passwortzurücksetzung und Benutzerentfernung, was Verwaltungszeit spart und die Gesamtbetriebskosten (TCO) erheblich senkt.

Höhere Sicherheit und Compliance ohne zusätzliche Komplexität

Fudo ShareAccess setzt von Grund auf auf geringstmögliche Berechtigungen, Multi-Faktor-Authentifizierung und vollständige Nachverfolgbarkeit von Sitzungen. Administratoren können sicherstellen, dass der Zugriff nur bei Bedarf, nur den richtigen Personen und nur für die erforderliche Dauer gewährt wird – ohne interne Netzwerke offenzulegen oder sensible Daten in der Cloud zu speichern. Dies stärkt die Einhaltung von Vorschriften wie DSGVO, HIPAA und NIS2 und beseitigt gleichzeitig häufige Fehlerquellen, die bei herkömmlichen VPN- oder gemeinsamen Anmeldedatenmodellen auftreten.

Reibungslose Erfahrung für Dritte

Externe Auftragnehmer, Partner und Dienstleister müssen keine VPN-Clients mehr installieren, mehrere Anmeldedaten verwalten oder auf langwierige Kommunikation warten. Sie erhalten eine Einladung, richten ihr Konto mit integrierter MFA ein und sehen sofort die Ressourcen, auf die sie Zugriff haben. Diese optimierte Erfahrung verbessert die Zufriedenheit der Lieferanten, beschleunigt Projektabläufe und unterstützt agile Geschäftsabläufe über Grenzen und Zeitzonen hinweg.

Auditfähige Zugriffskontrolle für jede Sitzung

Jede Zugriffsanforderung, jede Richtlinienentscheidung, jeder Sitzungsstart und jede Benutzerinteraktion wird protokolliert und kann in Fudo Enterprise einem autorisierten Workflow zugeordnet werden. Indem Sie Sitzungsdaten und Ressourcenrichtlinien innerhalb des Unternehmens speichern und nur die Zugriffsanforderungsebene für ShareAccess freigeben, gewährleisten Sie die Integrität Ihrer Audits und erhalten gleichzeitig vollständige Transparenz über die Aktivitäten von Drittanbietern. Dies reduziert den Zeitaufwand für die Auditvorbereitung und unterstützt bei Bedarf forensische Untersuchungen.

Zusammenfassung

Fudo ShareAccess beseitigt VPN-Verzögerungen, Firewall-Risiken und die unkontrollierte Verbreitung von Anmeldedaten durch die Einführung eines föderierten, zeitgebundenen Zugriffs zwischen Unternehmen und Dritten. Basierend auf Reverse-Tunneln, Zero-Knowledge-Verschlüsselung und browserbasierten Workflows verwandelt es PAM von einem reibungsbehafteten Prozess in eine sofort einsatzbereite Lösung. Entdecken Sie Fudo ShareAccess und finden Sie heraus, wie es zu Ihrer Umgebung passt!

Vereinbaren Sie noch heute eine kostenlose Beratung!

Kontaktieren Sie uns: sales@fudosecurity.com

Quelle: FUDO Security-Blog

---

Bild/Quelle: https://depositphotos.com/de/home.html