MaRisk, DSGVO & PIM: „Überwachung privilegierter Benutzerkonten greift zu kurz“ – Interview NTT Security
Viel Panikmache gibt es momentan rund um die Datenschutz-Grundverordnung der EU. Unternehmen seien darauf nicht adäquat vorbereitet, heißt es. Nehmen wir das Thema Privileged Identity Management (PIM). So finden sich schon in der MaRisk Vorgaben für die Vergabe und Überwachung von Zugriffsrechten. Reicht das nicht? Wir wollen von Frank Balow, Senior Manager, CISSP, NTT Security, wissen ob – und wenn ja wie – die EU-DSGVO Banken also überhaupt betrifft.
Herr Balow – jetzt mal unter uns: Bringt die DSGVO bei Banken überhaupt etwas Neues?
In der Tat gibt es im Finanzdienstleistungsbereich etliche Richtlinien und Compliance-Regelungen zur Verwaltung von Zugriffsrechten: nicht nur in den MaRisk, sondern etwa auch in den PCI-DSS-Richtlinien. Die Einhaltung der MaRisk-Vorgaben hinsichtlich der Zugriffsrechte ist bereits seit Jahren auch häufig Gegenstand von Sonderprüfungen nach § 44 KWG.
In der EU-Grundverordnung heißt es lediglich etwas nebulös, dass personenbezogene Daten jeweils nur für einen bestimmten Verwendungszweck verarbeitet werden dürfen und dass die Zugänglichkeit zu regeln ist. Für Banken ändert sich dadurch im Bereich Privileged Identity Management in der Tat also rein gar nichts.”
Besteht im Finanzbereich tatsächlich ein Bedarf an PIM-Lösungen? Sind sie nicht schon längst Standard?
Richtig ist, dass ein Benutzermanagement in aller Regel standardmäßig vorhanden ist. Und auch privilegierte Benutzerkonten werden oft verwaltet, gesichert und überwacht. Doch das Thema Privileged Identity Management greift wesentlich weiter. Dabei geht es etwa auch um Application Accounts oder Software Accounts, also um die Passwörter, die in Applikationen, Skripten oder Konfigurationsdateien gespeichert sind. Sie werden für den direkten, automatischen Zugriff von Anwendungen auf Backend-Systeme benötigt, zum Beispiel auf Datenbanken. Da die Passwörter in aller Regel im Klartext eingebettet sind und nie geändert werden, stellen sie ein erhebliches Sicherheitsrisiko dar.
Eine moderne PIM-Lösung bietet die Möglichkeit, diese statischen Passwörter zu eliminieren und alle Application Accounts zentral abzulegen, zu verwalten und regelmäßig zu ändern.”
Und hier muss festgehalten werden, dass solche Lösungen heute keineswegs flächendeckend genutzt werden, im Gegenteil, sie werden lediglich vereinzelt eingesetzt. Dafür gibt es natürlich auch Gründe: Vor allem ist die Implementierung mit der Ermittlung und Eliminierung der Passwörter ein sehr aufwändiger Prozess. Es stellt sich aber schon die Frage, ob dieser Aufwand nicht doch in Kauf genommen werden sollte. Schließlich sind die damit verbundenen Sicherheitsgefahren für ein Institut erheblich.
Genügt denn das Management und die Überwachung der privilegierten und Application Accounts? Wäre eine Bank dann schon auf der sicheren Seite?
Keineswegs, ein wesentlicher Punkt fehlt noch: das Privileged Session Management, das heißt die Protokollierung von Sessions, um eine vollständige Transparenz über alle Vorgänge bei privilegierten Zugriffen zu erhalten. Damit ist eine revisionssichere Nachvollziehbarkeit aller Aktionen vom Zeitpunkt der Anmeldung an einem System bis zur Abmeldung gegeben. Eine solche Lösung bietet zahlreiche Vorteile, nicht nur im Hinblick auf das Erkennen und Verhindern von Betrugsversuchen, sondern vor allem hinsichtlich des schnellen Aufdeckens von Fehlern. Es ist damit auch kein Tool für die Mitarbeiterüberwachung, wie verschiedentlich fälschlich geäußert, sondern es dient eher dem Mitarbeiterschutz. Gerade bei der Einbindung externer Dienstleister oder Service-Provider in die eigene IT ist eine solche Privileged-Session-Management-Lösung unter Sicherheitsaspekten quasi unverzichtbar.
PIM-Lösungen sind ja zentrale Systeme, ist damit nicht automatisch eine höhere Verwundbarkeit gegeben?
Dieses Argument greift nicht. Moderne Lösungen sind mehrfach geschützte Systeme mit Sicherheitsfeatures wie Verschlüsselung, starker Authentifizierung, rollenbasiertem Autorisierungskonzept und einer Separation of Duties. Für die permanente Verfügbarkeit sorgen technische High-Availability- und Disaster-Recovery-Funktionen.
Und wieso sei gerade die Finanzbranche gefordert, adäquate PIM-Maßnahmen zu treffen?
Das dürfte auf der Hand liegen, schließlich ist sie ein Hauptangriffsziel von Cyber-Attacken. Das belegt auch unser kürzlich vorgestellter Global Threat Intelligence Report 2017, für den wir 3,5 Billionen Logdateien und 6,2 Milliarden Angriffe ausgewertet haben. Ein zentrales Ergebnis dabei war, dass in der Region EMEA 54% der Cyber-Angriffe Unternehmen in nur drei Branchen galten: dem Finanzwesen (20%), dem herstellenden Gewerbe (17%) und dem Einzelhandel (17%).
Sagen wir, eine Bank nutzt bereits eine PIM-Lösung – was würden Sie im nächsten Schritt empfehlen?
Wie immer gilt, Insellösungen in der IT-Sicherheit empfehlen sich nicht. Auf jeden Fall sollte eine PIM-Lösung zum Beispiel mit einem SIEM-System vernetzt sein, das in der Banken-IT heute Standard ist.
Etliche PIM-Hersteller versprechen leichte Implementierung, eine einfache Bedienung – sogar intuitiv habe ich in dem Zusammenhang schon gelesen. Geringer Wartungsaufwand wird immer wieder gerne proklamiert. Ist das wirklich so?
Eindeutig nein. Das Motto „Install and forget“ ist auf PIM-Lösungen nicht anwendbar. Eine saubere Implementierung ist zunächst einmal eine Grundvoraussetzung.”
Und sie erfordert eine nahtlose Integration in die gesamte Prozesslandschaft. Allein schon das Thema Beseitigung der Application Accounts ist mit einem nicht zu unterschätzenden Aufwand verbunden. Und dass eine regelmäßige Pflege und Aktualisierung des Systems erforderlich ist, sollte wie bei jeder Sicherheitslösung eigentlich auf der Hand liegen.
Und das Preisargument? Wie steht es damit?
Auch an diesem Punkt ist Vorsicht angebracht, um im Nachhinein nicht eine böse Überraschung zu erleben. Eine CAPEX- und OPEX-Betrachtung empfiehlt sich auf jeden Fall. Ohnehin ist es immer wichtig, die Gesamtkosten im Blickfeld zu haben. Viele meinen, dass es mit der Berücksichtigung der reinen Softwarelizenzkosten getan ist. Das ist aber eindeutig falsch.
Unsere Erfahrung zeigt beispielsweise, dass bei einer PIM-Lösung rund 50% der Kosten auf die Implementierung und 50% auf die Softwarelizenzen entfallen.”
Herr Balow, vielen Dank für das Gespräch!aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/52506
Schreiben Sie einen Kommentar