“Sicherheitslücke privilegierte Accounts”

Jochen Koehler, Deutschland-Chef des Sicherheitsunternehmens Cyber-Ark, spricht im silicon.de-Interview über IT-Administratoren als Sicherheitslücke, die zunehmende Gefahr von Datenverlusten und sichere Passwörter.

Koehler hat in den vergangenen zehn Jahren für verschiedene IT-Sicherheitsunternehmen gearbeitet und sich dabei auf die Einführung neuer Lösungen in den deutschsprachigen Markt konzentriert. Seit 2008 verantwortet er das Business Development für Cyber-Ark in Deutschland, Österreich und der Schweiz.

silicon.de: Cyber-Ark stellt Lösungen zur Sicherung vertraulicher Informationen her. Gehört es da nicht zum Geschäft, aus einer kleinen Bedrohung eine riesige Gefahr zu machen?

Koehler: Hier von einer kleinen Bedrohung zu sprechen, halte ich für unangebracht. Die zahlreichen Datenskandale der jüngsten Vergangenheit sprechen da klar eine andere Sprache. Und ich bin mir sicher, dass kein Unternehmen das Risiko eingehen will, die Kreditkarteninformationen seiner Kunden zu verlieren. Niemand wird hier von einer kleinen Bedrohung sprechen.

silicon.de: Oft werden die Anwender die “größte IT-Sicherheitsgefahr” genannt. Sie haben dagegen IT-Administratoren als eine zentrale Sicherheitslücke in der IT bezeichnet. Das dürfte Ihnen unter den IT-Administratoren nicht nur Freunde gemacht haben…

Koehler: Der Bereich ‘privilegierte Accounts’ ist eine Sicherheitslücke, der bisher in den meisten Unternehmen viel zu wenig Aufmerksamkeit gewidmet wurde. Und dass Admins unser Lösungsangebot primär als Überwachungstool ansehen, trifft das Ganze auch nicht richtig.

Administratoren sind ja aufgrund der unternehmenseigenen Security Policy zur Änderung und Verwaltung von Passwörtern verpflichtet, die dann, wenn kein entsprechendes Tool implementiert ist, nur manuell erfolgen kann. Der damit verbundene Zeitaufwand ist enorm. Mit unserer Lösung, die alle hier erforderlichen Prozesse automatisiert, kann einfach und schnell Abhilfe geschaffen werden.

silicon.de: Wie ich IT-Administratoren kenne, stehen diese Lösungen eher skeptisch gegenüber, durch die sie sich kontrolliert fühlen…

Koehler: Wie gesagt, Admins sehen durchaus in erster Linie die Vorteile, die eine automatische Verwaltung und Änderung von privilegierten Accounts bringt. Man darf auch nicht außer Acht lassen, dass privilegierte Accounts oft nicht von einer einzelnen Person, sondern vielmehr von einer ganzen Gruppe von Administratoren verwendet werden können, man spricht hier von so genannten Shared Accounts.

Eine Nachvollziehbarkeit, welche Person einen solchen Account wann und wozu verwendet hat, ist damit praktisch ausgeschlossen. Mit Sicherheit kann es auch unter Administratoren schwarze Schafe geben. Das Problem bei Shared Accounts ist dann, dass ein Generalverdacht auf alle Administratoren fällt, falls Daten abhanden kommen. Und das ist nun wirklich nicht im Sinne der Administratoren.

silicon.de: Im Mai haben Sie gewarnt, dass die Rezession die Gefahr von Datendiebstahl erhöhen könnte. Haben Sie Recht behalten?

Koehler: Eindeutig ja, die kontinuierliche Zunahme von Datendiebstahl-Delikten in letzter Zeit zeigt dies deutlich, auch wenn natürlich nicht alle Fälle im Zusammenhang mit der Rezession zu sehen sind.

silicon.de: Was empfehlen Sie – wie können sich Unternehmen in der aktuellen Situation vor Datendiebstahl sichern?

Koehler: Im Bereich der privilegierten Accounts besteht auf Unternehmensseite eindeutig der größte Handlungsbedarf. Passwörter sind schließlich der Schlüssel zu allen unternehmenskritischen Daten. Und Status quo ist leider immer noch: Auf den IT-Systemen finden sich häufig identische und meistens leicht zu entschlüsselnde Passwörter, die so gut wie nie geändert werden.

Sicherlich ist auch die Einführung von Data-Leakage-Prevention-Lösungen ein Thema. Damit kann die unerlaubte, aber auch versehentliche Übertragung von Unternehmensdaten nach außen zuverlässig unterbunden werden.

Auch wenn es hier unterschiedlichste Lösungsvarianten gibt, eines muss in unseren Augen immer beachtet werden: Nur wenn unternehmenskritische Daten entsprechend gesichert und auch nur einem berechtigten Personenkreis zugänglich sind, kann eine DLP-Lösung erfolgreich eingeführt und betrieben werden.

silicon.de: Sind von Cyber-Ark neue Produkte zu erwarten?

Koehler: Neben dem Ausbau unseres Flaggschiffs ‘Enterprise Password Vault’ und der ‘Privileged Identity Management Suite’ gilt unser Augenmerk nun wieder verstärkt der Weiterentwicklung des ‘Sensitive Document Vault’. Die Lösung ermöglicht es Unternehmen, vertrauliche und geheime Dateien vom Rest des Datenbestandes zu trennen und sicher zu speichern.