Die Notfall-Passwörter der Administratoren befinden sich meistens im Unternehmenssafe – in den Zeiten der zunehmenden Digitalisierung tatsächlich nicht mehr State-of-the-Art. Eine virtuelle Alternative zum physikalischen Safe wird durch den Sicherheitsexperten CyberArk mit seinen digitalen Datentresor-Lösungen bereitgestellt. Die Vorgehensweise, dass die Notfall-Passwörter in einem Briefumschlag im Tresor liegen, ist in vielen Unternehmen nach wie vor gängige Praxis. Dies ist jedoch unnötig, wie die CyberArk-Lösung Enterprise Password Vault deutlich macht. Die Funktionsweise dieser Lösung ist vergleichbar mit derjenigen eines physikalischen Tresorraums, da ausschließlich die berechtigten Personen den digitalen Vault öffnen können. Dies wird über eine klar definierte Rollen- und Berechtigungsstruktur sowie eine eindeutige Identifikation des Anwenders durch die starke Authentifizierung gewährleistet. Ein zentraler Vorteil der Digitalisierung ist, dass der Verwaltungsaufwand deutlich reduziert wird. Das Öffnen des physikalischen Tresors, um die geänderten Passwörter zu hinterlegen, wird somit entbehrlich. Mittels der CyberArk-Lösung erfolgt dieser ganze Prozess vollelektronisch und automatisiert.

Jochen Koehler, der Regional Director bei der CyberArk Deutschland (DACH) GmbH, erklärte, dass sich die Frage, ob die Administratoren-Passwörter im physikalischen oder digitalen Tresor aufbewahrt werden, für die Unternehmen eigentlich absolut nicht stellen sollte. Diesbezüglich sind die Vorteile der virtuellen Lösung zu eindeutig: Diese reichen von den erheblich vereinfachten Administrationsmöglichkeiten wie den Compliance-konformen automatisierten Änderungsmechanismen bis hin zu den örtlich uneingeschränkten Zugriffsmöglichkeiten; letztendlich ist ein Zugang aus dem gesamten Unternehmensnetzwerk, auch von unterschiedlichen Standorten aus, realisierbar.

Durch den Enterprise Password Vault wird eine geschützte Verwahrung und die regelmäßige automatisierte Änderung von Passwörtern gewährt. Der Anwender kann hierbei die Komplexität und den Änderungszyklus beliebig festlegen. Die Passwörter befinden sich verschlüsselt in einem digitalen Tresor, dem Vault. Durch die vollumfängliche Zugriffskontrolle und Protokollierung kann der Gebrauch der entsprechenden Accounts jederzeit kontrolliert werden. Sämtliche Aktivitäten werden in einem Audit-Log dokumentiert. Somit entspricht diese Lösung den Anforderungen der externen Prüfungen, regulären Compliance-Vorschriften und gesetzlichen sowie aufsichtsrechtlichen Bestimmungen, die sich aus dem Sarbanes-Oxley Act, PCI, ISO 27001 oder Basel II ergeben.

Nicht nur die Passwort-Verwaltung, sondern ebenso die Sicherung sonstiger vertraulicher Informationen, wie der Finanz- oder Personaldaten, kann mit den CyberArk-Produkten digital erfolgen. Im Unterschied zu den anderen Lösungsansätzen setzt CyberArk hierbei auf die Integration unterschiedlichster Security-Maßnahmen. Im Vergleich zu den weit verbreiteten Insellösungen zur reinen Verschlüsselung von Daten wird der Verwaltungsaufwand hierdurch erheblich reduziert. Jochen Koehler erläuterte, dass die hohe Sicherheit durch die Komplexität wohl kaum die richtige Lösung sein kann.

Mittels der CyberArk-Lösung Sensitive Document Vault können die vertraulichen Dokumente geschützt gespeichert und verwaltet werden. Diese ermöglicht es den Unternehmen, geheime Dateien vom Rest des Datenbestandes zu trennen. Wie beim Enterprise Password Vault und ebenso vergleichbar zu einem physikalischen Tresorraum, wird ausschließlich den berechtigten Personen der Zugang zum Daten-Vault gewährt. Der Zugriff auf jede einzelne Datei kann hierbei von Anfang an auf die jeweils relevante Personengruppe beschränkt werden. Wenn ein Anwender auf den Vault zugreift, sieht er ebenfalls ausschließlich die für ihn freigegebenen Ordner und Dokumente. Sämtliche User-Aktivitäten,  wie der Zugriff auf das Löschen oder das Ändern von Dateien, werden im Protokoll des Vault erfasst. Demzufolge wird eine vollumfängliche Nachvollziehbarkeit der Verwendung von sensiblen Daten ebenso durch die berechtigten Anwender gewährleistet.

Ein zentraler Bestandteil sämtlicher CyberArk-Lösungen ist der digitale Vault, ein speziell gesicherter Server, der mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor den unbefugten Zugriffen bietet. Jochen Koehler bekräftigte, dass dadurch das System in der Praxis nicht zu knacken ist und dass die Lösung auf der Vaulting-Technologie von CyberArk, einer patentierten Sicherheitstechnologie zur Verwahrung von vertraulichen und geheimen Informationen, basiert. Mit den integrierten Authentifizierungs- und Zugriffskontroll-Features, wie OTP-Token, Zertifikat, Radius, Passwort oder LDAP, wird gewährleistet, dass ausschließlich die berechtigten Anwender einen Zugang zum System haben.

Hinsichtlich der besonders kritischen Daten und Passwörtern kann optional auch eine Autorisierung mittels eines Vier-Augen-Prinzips erfolgen. Der Zugriff ist ausschließlich über CyberArk-Clients oder -Gateways und das CyberArk-Protokoll möglich. Außerdem existiert eine vollumfängliche Access-Kontrolle: Für jeden Benutzer erfolgt eine individuelle Berechtigungsvergabe im Vault bezüglich der Möglichkeit zum Lesen, Speichern oder Löschen von Daten. Sämtliche Informationen auf dem Vault sowie die Kommunikation zwischen dem Vault und CyberArk-Clients/Gateways sind verschlüsselt. Darüber hinaus ist ebenso eine Separation of Duties vorhanden, das heißt, eine exakte Trennung zwischen der Administration und dem Anwender des Vault. Das bedeutet beispielsweise, dass der Administrator den Vault zwar verwalten kann, die darin gespeicherten Daten jedoch zu keiner Zeit zu sehen bekommt.

Info: https://www.cyberark.com/de/