Share
Beitragsbild zu Welche Bedeutung hat Privileged Access Management (PAM)?

Welche Bedeutung hat Privileged Access Management (PAM)?

ISO 27001 ist das weltweit umfassendste und anerkannteste Rahmenwerk für Informations-Sicherheits-Managementsysteme (engl. Information Security Management System oder ISMS). Es bildet den Kern vieler Cybersicherheitsprogramme von Unternehmen; ISO 27001 wird als wesentliche Grundlage für eine Vielzahl von Compliance-Regelungen angesehen. Zugriffskontrollen, einschließlich PAM, sind in den Anforderungen der Norm weit verbreitet.

Was genau ist ISO 27001?

Die ISO 27001 wird von der International Standards Organization (ISO) herausgegeben. Das daraus resultierende ISMS dient der Sicherung kritischer Infrastrukturen. ISO 27001 ist umfassend und deckt nahezu alle Aspekte der Informationssicherheit ab. Die Kontrollen betreffen die Sicherheitspolitik, die physische Sicherheit und die Reaktion auf Vorfälle bzw. Angriffe. Dieses Sicherheitsrahmenwerk gewährleistet, dass die jeweilige Organisation international anerkannte und bewährte Verfahren im Bereich der Informationssicherheit anwendet.

Das Ziel von ISO 27001 ist die kontinuierliche Verbesserung der Sicherheitsstandards. Dieses Ethos ist in den Planungs-, Kontroll-, und Aktionsprozessen eingebettet, die es einer Organisation ermöglichen, sich selbst als ISO 27001-konform zu zertifizieren. Alternativ ist es möglich, eine unabhängige Zertifizierung zu erhalten. Diese kann von einer dritten Partei nach einem gründlichen Audit vergeben werden.

ISO 27001 und die Einhaltung von Vorschriften

Das Rahmenwerk hilft Organisationen bei der Einhaltung von Vorschriften wie der Datenschutz-Grundverordnung (DSGVO), dem HIPAA (Health Insurance Portability and Accountability Act) oder dem PCI-DSS (Payment Card Industry Data Security Standard), um nur einige zu nennen. Dies gilt aus zwei Gründen:

Erstens können die Kontrollen eines ISMS so konfiguriert werden, dass sie mit den Anforderungen von bestimmten Vorschriften übereinstimmen. Sollte beispielsweise die Verschlüsselung von Daten für die Einhaltung des HIPAA erforderlich sein, dann hilft es, die Verschlüsselung für das ISMS verpflichtend zu machen.

Das ISO 27001-Rahmenwerk hilft Organisationen zu verstehen, was sie tun müssen, um eine Vielzahl von Vorschriften einzuhalten.

Zweitens verlangt ISO 27001 die Einhaltung von Gesetzen als Teil des Zertifizierungsprozesses in Organisationen. Dies wird mit Hilfe von Abschnitt A.18.1, der den Titel „Einhaltung gesetzlicher und vertraglicher Anforderungen“ trägt, geregelt. Hier werden diese Kontrollen genauer definiert. Insbesondere der Unterabschnitt A.18.1.1. besagt, dass das ISMS ausdrücklich rechtliche und regulatorische Anforderungen identifizieren und dokumentieren muss.

Zugriffskontrollen in ISO 27001

Die ISO 27001 deckt das gesamte Spektrum der Informationssicherheit ab. Das Rahmenwerk umfasst Kontrollen für Sicherheitsrichtlinien, Asset Management, Kryptographie, Personalwesen, Backend-Wiederherstellung und mehr. Die Zugangskontrolle nimmt jedoch einen wichtigen Platz ein. Es gibt spezifische Kontrollen, die sich mit dem Zugriff befassen, jedoch ist die Frage des Zugriffs, der Autorisierung und der Authentifizierung für fast jeden Aspekt des Frameworks entscheidend. So ist es beispielsweise unmöglich, eine wirksame Datenverschlüsselung durchzuführen, wenn man nicht kontrollieren kann, wer Zugriff auf die Verschlüsselungssoftware hat.

Wo sich PAM und ISO 27001 kreuzen

PAM ist ein Bereich der Sicherheit, der die Kontrolle und Überwachung von Nutzern mit administrativen (auch „Root“-) Rechten oder von Benutzern, die privilegierte Konten verwenden, umfasst. Dieses Privileg erlaubt Benutzern den Zugang zu den Back-Ends kritischer Systeme. So kann ein privilegierter Benutzer beispielsweise berechtigt sein, eine Firewall zu konfigurieren oder ein Datenbank-Benutzerkonto zu löschen. Sie können zudem Daten löschen oder ändern sowie Software installieren und deinstallieren. Zu dieser privilegierten Gruppe können Angestellte, ein Auftragnehmer oder sogar eine automatisierte Anwendung zählen. Da sie alle damit Zugang zu sensiblen Informationen und Systemen haben bzw. hätten, muss der Zugang privilegierter Benutzer sorgfältig geregelt werden. Die ISO 27001 befasst sich sowohl direkt als auch indirekt mit dieser Anforderung:

  • Abschnitt A.9.2.3, „Management von privilegierten Zugriffsrechten“, enthält eine Anforderung zur Kontrolle und Einschränkung privilegierter Zugriffsrechte
  • A.9.4.4, „Nutzung von privilegierten Anwendungsprogrammen“, fügt dem ISMS eine weitere PAM-Schutzmaßnahme hinzu, in der die Notwendigkeit der Kontrolle von Dienstprogrammen erörtert wird, die andere Kontrollen außer Kraft setzen können.

In mehreren Abschnitten des ISO 27001-Rahmens wird darauf hingewiesen, dass der Zugriff privilegierter Benutzer sorgfältig geregelt werden muss, so dass der Einsatz von PAM-Software eine solide Basis bildet für die Einhaltung weiterer Vorschriften.

PAM taucht zudem in den Abschnitten A.6, „Organisation der Informationssicherheit“, A.11, „Physische und Umweltsicherheit“ und A.15, „Lieferantenbeziehungen“ der ISO 27001 auf.

Indirekt ist PAM auch in den Abschnitten A.5, „Informationssicherheitsrichtlinien“, A.12, „Betriebliche Sicherheit“, A.16, „Informationssicherheitsmanagement“ und A.18, „Einhaltung interner Anforderungen“ aufgeführt. Jeder dieser Kontrollbereiche ist auf privilegierte Benutzer angewiesen, um wirksam zu sein.

Wie eine PAM-Lösung die ISO 27001-Kontrollen ermöglicht

Eine PAM-Lösung schützt eine Organisation vor versehentlichem oder absichtlichem Missbrauch von privilegiertem Zugriff. Sie kann (und sollte) ein wichtiges Element eines ISMS sein. Sie behält den Überblick über privilegierte Benutzer. Sie ermöglicht die Umsetzung von ISO 27001 durch einen sicheren, zentralisierten und rationalisierten Mechanismus zur Autorisierung und Überwachung aller privilegierten Benutzer für alle relevanten Systeme:

  • PAM gewährt und entzieht den Benutzern nur für die Systeme, für die sie berechtigt sind, Privilegien.
  • PAM macht es überflüssig, dass privilegierte Benutzer lokale/direkte Passwörter haben oder benötigen.
  • PAM verwaltet schnell und zentral den Zugriff auf eine Vielzahl heterogener Systeme.
  • PAM erstellt einen unveränderlichen Prüfpfad für jede privilegierte Operation.

PAM ist ein wichtiges Element des ISMS, das es Unternehmen ermöglicht, alle privilegierten Benutzeraktionen innerhalb ihrer IT-Infrastruktur zu verfolgen.

Die Rolle der WALLIX PAM-Lösungen für ISO 27001

WALLIX bietet eine vollständige PAM-Lösung, die sich gut mit ISO 27001 vereinbaren lässt. Durch die agentenlose Architektur ist sie einfach zu implementieren, zu warten und zu modifizieren. Dank dieser Eigenschaft kann sie Teil des ISMS sein, ohne das System zu sehr einzuschränken. Die Komponenten von WALLIX tragen alle zur Erfüllung der ISO 27001-Kontrollen und des ISMS bei:

  • WALLIX Access Manager – Regelt den Zugang zu privilegierten Konten. Er zentralisiert die Zugriffskontrolle, indem er einen einzigen Zugangspunkt schafft. Privilegierte Benutzer beantragen den Zugriff auf ein System über den Access Manager, der die Definition der Zugriffskontrollrichtlinien und die Durchsetzung der Richtlinien nach ISO 27001 umsetzt. Der Access Manager kennt alle sensiblen Systeme, auf die ein Benutzer Zugriffsrechte hat. Superadministratoren können damit privilegierte Benutzerkonten hinzufügen, ändern oder löschen.
  • WALLIX Password Vault – Verhindert, dass privilegierte Benutzer die tatsächlichen Passwörter oder Anmeldeinformationen für kritische Systeme kennen. Dies schließt manuelle Überschreibungen auf physischen Geräten aus, ein Risiko, das in Abschnitt A.11 beschrieben wird.
  • WALLIX Session Manager – Verfolgt die Verbindungen und Aktivitäten privilegierter Benutzer und ermöglicht die Überwachung und Aufzeichnung aller Benutzeraktivitäten in Echtzeit. Der Session Manager ermöglicht eine detaillierte Prüfung und genaue Reaktion auf Vorfälle, die beide für ISO 27001 unerlässlich sind.

Die Zertifizierung und Prüfung nach ISO 27001 ist ein mühsamer Prozess. Jeder Satz von Kontrollen im Rahmenwerk muss sorgfältig implementiert werden. PAM kann dazu beitragen, den Prozess zu vereinfachen und eine robustere, flexiblere Einhaltung der Standards zu erreichen.

Quelle: WALLIX

 

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Fachartikel

Featured image for “Was ist bei einem Zero-Click-Angriff zu erwarten?”

Was ist bei einem Zero-Click-Angriff zu erwarten?

Featured image for “Erste Schritte zur Einhaltung des PCI DSS”

Erste Schritte zur Einhaltung des PCI DSS

Featured image for “Kubernetes auf dem Vormarsch”

Kubernetes auf dem Vormarsch

Featured image for “Strategien für eine fortgeschrittene digitale Hygiene”

Strategien für eine fortgeschrittene digitale Hygiene

Featured image for “Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen”

Mit LogRhythm 7.16 können Sie das Dashboard-Rauschen reduzieren und Log-Quellen leicht zurückziehen

Studien

Featured image for “Drei Viertel aller DACH-Unternehmen haben jetzt CISOs – nur wird diese Rolle oft noch missverstanden”

Drei Viertel aller DACH-Unternehmen haben jetzt CISOs – nur wird diese Rolle oft noch missverstanden

Featured image for “AI-Security-Report 2024 verdeutlicht: Deutsche Unternehmen sind mit Cybersecurity-Markt überfordert”

AI-Security-Report 2024 verdeutlicht: Deutsche Unternehmen sind mit Cybersecurity-Markt überfordert

Featured image for “Cloud-Transformation & GRC: Die Wolkendecke wird zur Superzelle”

Cloud-Transformation & GRC: Die Wolkendecke wird zur Superzelle

Featured image for “Threat Report: Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 %”

Threat Report: Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 %

Featured image for “Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen”

Studie zu PKI und Post-Quanten-Kryptographie verdeutlicht wachsenden Bedarf an digitalem Vertrauen bei DACH-Organisationen

Whitepaper

Featured image for “Geopolitische Unruhen führen zu einer DDoS-Angriffswelle”

Geopolitische Unruhen führen zu einer DDoS-Angriffswelle

Featured image for “Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier”

Netskope Threat Labs: IoT-Botnets und Infostealer haben den Einzelhandel verstärkt im Visier

Featured image for “Schutz von SAP im Zeitalter der Cyber-Gesetzgebung”

Schutz von SAP im Zeitalter der Cyber-Gesetzgebung

Featured image for “Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen”

Aktive Cyberattacken auf geschäftskritische SAP-Anwendungen

Featured image for “IT-Sicherheit in 5G-Campusnetzen”

IT-Sicherheit in 5G-Campusnetzen

Unter4Ohren

Featured image for “Datenklassifizierung: Sicherheit, Konformität und Kontrolle”

Datenklassifizierung: Sicherheit, Konformität und Kontrolle

Featured image for “Die Rolle der KI in der IT-Sicherheit”

Die Rolle der KI in der IT-Sicherheit

Featured image for “CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft”

CrowdStrike Global Threat Report 2024 – Einblicke in die aktuelle Bedrohungslandschaft

Featured image for “WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand”

WatchGuard Managed Detection & Response – Erkennung und Reaktion rund um die Uhr ohne Mehraufwand

Featured image for “KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI”

KI und Compliance: Die Notwendigkeit von Regulierung und Compliance im Bereich der KI