DSGVO-Compliance:

Das privilegierte Zugangsmanagement ist (nur) der erste Schritt

Der Countdown zur Datenschutzverordnung der Europäischen Union (DSGVO) läuft und die Uhr tickt schnell. Während die Medien voll sind mit Kommentaren, Leitfäden und Lösungsvorschlägen zu den Richtlinien der DSGVO, fehlen noch meist schlüssige Interpretationen der verschiedenen Aspekte. Die grundsätzliche Intention der DSGVO ist jedoch glasklar: Datenschutz, im Speziellen die Sicherheit personenbezogener Daten.

Der Begriff personenbezogene Daten ist in der DSGVO sehr breit definiert: Daten, die sich auf eine "identifizierbare natürliche Person" beziehen, werden als personenbezogene Daten klassifiziert. Organisationen verarbeiten und speichern in der Regel digitale Daten wie Kundennamen, E-Mail-Adressen, Fotos, Arbeitsinformationen, Gespräche, Mediendateien und viele weitere Informationen, mit deren Hilfe sich Einzelpersonen identifizieren lassen.

Personenbezogene Daten sind allgegenwärtig und finden sich in fast jeder IT-Abteilung. Wenn Ihr Unternehmen die DSGVO einhalten will, müssen Sie strenge Zugangskontrollen definieren und durchsetzen sowie den Datenzugriff genauestens tracken.

Privilegierter Zugang und Bedrohungen der Datensicherheit

Cyber-Angriffe können sowohl innerhalb der Unternehmensgrenzen als auch von außen ausgehen. Analysen der jüngsten hochkarätigen Cyber-Angriffe zeigen, dass sowohl externe als auch interne Hacker privilegierte Zugänge für Angriffe ausnutzen. Die meisten Angriffe gefährden personenbezogene Daten, die von IT-Anwendungen und -Geräten verarbeitet oder gespeichert werden. Sicherheitsforscher weisen darauf hin, dass fast alle Arten von Cyber-Angriffen heutzutage privilegierte Konten beinhalt

Privilegierte Konten: das Hauptziel von Cyberkriminellen

Sowohl bei internen als auch bei externen Angriffen, haben sich unberechtigte Zugriffe und Missbräuche von privilegierten Accounts als die „Schlüssel zum IT-Königreich“ herauskristallisiert. Administrative Passwörter, Systemstandardkonten sowie fest programmierte Anmeldeinformationen in Skripten und Anwendungen sind die Hauptziele, die Cyberkriminelle für den Zugriff nutzen.

Hacker starten gewöhnlich einen einfachen Phishing- oder Spear-Phishing-Angriff, um auf dem Rechner eines Benutzers Fuß zu fassen. Anschließend installieren sie Schadsoftware und suchen nach den allmächtigen Administratorkennwörtern, die unbegrenzte Zugriffsrechte gewähren, um sich durch das Netzwerk zu bewegen, alle Computer zu infizieren und Daten abzuschöpfen. In dem Moment, in dem der Hacker Zugang zu einem Administratorkennwort erhält, wird das gesamte Unternehmen anfällig für Angriffe und Datendiebstahl. Perimeter-Sicherheitsgeräte können Unternehmen nicht vollständig vor solchen Angriffen auf Privilegierte Accounts schützen.

Dritte und böswillige Insider

Organisationen müssen für eine Vielzahl von Zwecken mit Drittanbietern wie Lieferanten, Geschäftspartnern und Auftragnehmern zusammenzuarbeiten. Nicht selten erhalten Partner von Drittanbietern einen privilegierten Remote-Zugriff auf physische und virtuelle Ressourcen innerhalb des Unternehmens.

Selbst wenn Ihr Unternehmen über robuste Sicherheitskontrollen verfügt, wissen Sie nie, wie Dritte mit Ihren Daten umgehen. Hacker könnten leicht Schwachstellen in Ihrer Lieferkette ausnutzen oder Phishing-Angriffe gegen diejenigen starten, die Zugang zu Ihrem Netzwerk haben und sich so Zugriff verschaffen. Es ist unerlässlich, den privilegierten Zugang, der Dritten gewährt wird, genau zu kontrollieren, zu verwalten und zu überwachen.

Darüber hinaus könnten böswillige Insider wie verärgerte IT-Mitarbeiter, entlassene Mitarbeiter und IT-Mitarbeiter, die mit Dritten zusammenarbeiten, so genannte „logische Bomben“ platzieren oder Daten stehlen. Unkontrollierter administrativer Zugriff ist eine potenzielle Sicherheitsbedrohung, die Ihr Unternehmen gefährdet.

Beginnen Sie Ihre DSGVO-Reise mit privilegiertem Zugriffsmanagement

Steuern, überwachen und verwalten Sie den privilegierten Zugriff Ihres Unternehmens.

Die DSGVO verlangt von den Organisationen, dass sie die Einhaltung ihrer Datenschutzbestimmungen sicherstellen und nachweisen. Der Schutz personenbezogener Daten wiederum erfordert eine vollständige Kontrolle über privilegierte Zugänge. Die Steuerung des privilegierten Zugriffs erfordert folgende Maßnahmen:

  • Konsolidieren Sie alle privilegierten Konten und legen Sie sie in einen sicheren, zentralen Tresor.
  • Weisen Sie starke, eindeutige Passwörter zu und erzwingen Sie einen regelmäßigen Passwort-Wechsel.
  • Erzwingen Sie zusätzliche Kontrollen für die Freigabe der Passwörter von sensiblen Assets.
  • Überprüfen Sie alle Zugriffe auf privilegierte Konten.
  • Eliminieren Sie fest programmierte Berechtigungsnachweise in Skripten und Anwendungen vollständig.
  • Gewähren Sie, wo immer möglich, Fernzugriff auf IT-Systeme nur ohne die Zugangsdaten im Klartext preiszugeben.
  • Setzen Sie strenge Zugangskontrollen für Dritte durch und überwachen Sie ihre Aktivitäten genau.
  • Richten Sie doppelte Kontrollen ein, um privilegierte Zugriffssitzungen auf hochsensible IT-Ressourcen genau zu überwachen.
  • Zeichnen Sie privilegierte Sitzungen für forensische Audits auf.

Wie oben erläutert, erfordert die Steuerung, Überwachung und Verwaltung von privilegiertem Zugriff die Automatisierung dessen gesamten Lebenszyklus. Manuelle Ansätze für die Verwaltung privilegierter Zugriffsrechte sind zeitaufwändig, fehleranfällig und können möglicherweise nicht das gewünschte Maß an Sicherheitskontrollen bieten.

ManageEngine Password Manager Pro automatisiert die Verwaltung privilegierter Zugriffsrechte und hilft Ihnen, sich auf die DSGVO vorzubereiten.

Password Manager Pro ist eine Komplettlösung zur Steuerung, Verwaltung, Überwachung und Auditierung des gesamten Lebenszyklus eines privilegierten Zugriffs. Es bietet drei Lösungen in einem Paket: privilegiertes Account-Management, Remote Access Management und privilegiertes Session-Management.

Password Manager Pro verschlüsselt und konsolidiert alle Ihre privilegierten Konten vollständig in einer zentralen Datenbank, die mit granularen Zugriffskontrollen ausgestattet ist. Darüber hinaus werden Sicherheitsrisiken im Zusammenhang mit privilegiertem Zugriff minimiert. Außerdem wird Sicherheitsverletzungen und Compliance-Problemen vorgebeugt, bevor sie Ihr Unternehmen stören.

Zusammen ermöglichen diese Funktionen die vollständige Kontrolle über privilegierten Zugriff in Ihrem Unternehmen und schaffen so eine solide Grundlage für die Einhaltung der DSGVO-Richtlinien.


Haftungsausschluss:

Die vollständige Einhaltung der DSGVO erfordert eine Vielzahl von Lösungen, Prozessen, Menschen und Technologien.
Dieses Material dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung im Hinblick auf die Einhaltung der DSGVO dar. ManageEngine gibt keine ausdrücklichen, stillschweigenden oder gesetzlichen Garantien in Bezug auf die Informationen in diesem Material ab.

Mehr

Webinar zu OpManager:
» Freitag, 08. Juni 2018
» 11:00 Uhr
weitere Infos & Anmeldung

ManageEngine - Support


MicroNova AG
Unterfeldring 17
85256 Vierkirchen

   +49 8139 9300-456
   sales-manageengine@micronova.de

» Anfahrstplan