Cybersecurity: Die Rolle und Bedeutung von "Access Management" und "PAM4ALL"

Stefan Rabben, Area Sales Director DACH & Eastern Europe bei WALLIX, spricht in diesem Jahr auf den Swiss Cyber Security Days 2022 von 16.25 bis 16.40 Uhr über die Rolle und Bedeutung von "Access Management" in der Cybersecurity. Die Swiss Cyber Security Days finden am 6. und 7. April in Fribourg/CH statt. Das Hauptthema der diesjährigen Messe lautet: "Cyber: die fünfte Dimension".

Die Swiss Cyber Security Days (SCSD) zählen zu den renommierten Cyber-Security-Veranstaltungen in Europa. Sie überbrücken die Wissenslücke zwischen Technologie und Gesellschaft und bieten Einblicke in aktuelle und künftige Lösungen zum Schutz kritischer Infrastrukturen und zur effektiven Zusammenarbeit zwischen privatem und öffentlichem Sektor. Zu ihren Zielgruppen gehören Manager von KMUs, IT-Verantwortliche von Großunternehmen, Studenten, Experten und Privatpersonen.

Der Vortrag von Stefan Rabben umkreist das Management von Zugriffen in Firmennetzwerke. Wenn es um Cybersecurity geht, ist die Hauptfrage im IT- und OT-Umfeld: Wer hat Zugriff auf die kritischen digitalen Systeme, Geschäftsprozesse und vertraulichen Daten? Genau hier kommt das Thema "Secure Access Management" ins Spiel, also die Zugangskontrolle von menschlichen und maschinellen Nutzern. Dabei geht es um die Überwachung und Aufzeichnung der gesamten Sitzung und um die Umsetzung der geltenden Sicherheitsregeln auf der Grundlage des BSI-Risikomodells - für einen effizienten Schutz aller kritischen Systeme.

WALLIX hat die sichersten Lösungen der Zutrittskontrolle in in einer Lösung namens PAM4ALL vereint. Das macht es Unternehmen leichter, einen wirkungsvollen Schutz zu implementieren. Denn wir leben heute in einer Zeit des Paradigmenwechsels, in der es keine Sicherheit an den Grenzen mehr gibt, in der die Benutzer - Menschen oder Maschinen - immer mobiler werden und jederzeit und überall auf die Daten von Organisationen zugreifen müssen. Die Daten selbst werden flüchtig (Cloud-Speicher, SaaS-Lösungen, Automatisierung usw.), um Kosten zu kontrollieren und Flexibilität zu gewinnen. Dies gilt für alle Sektoren, auch für die kritischsten wie beispielsweise das Gesundheitswesen, die Industrie, die Behörden, die dringend alle diese Zugriffe sichern müssen, um die Geschäftskontinuität und die Einhaltung gesetzlicher Vorschriften zu gewährleisten und vor allem die Daten so zugänglich zu machen, dass Innovationen möglich werden und die wirtschaftliche Wettbewerbsfähigkeit stärken.

Für die Sicherung der Zugänge sollten Unternehmen die folgenden Maßnahmen anstreben:

• Eine Multi-Faktor-Authentifizierung (MFA) zur Neutralisierung der mit kompromittierten Identifikatoren verbundenen Risiken.
• Die Verwaltung des Fernzugriffs auf Grundlage der neuesten Sicherheitstechnologien, denn dadurch wird der Fernzugriff für Lieferanten, Mitarbeiter oder Drittverwalter aufrechterhalten.
• Eine Sitzungsverwaltung: Zur Überwachung, Verfolgung und Prüfung von Sitzungen.
• Die Passwort-Verwaltung: Zur Sicherung und Rotation von Passwörtern und Schlüsseln sowie zum Entfernen von harten Passwörtern.
• Und schließlich die Verwaltung der geringsten Privilegien: Vergabe der richtigen Privilegien an den richtigen Benutzer zur richtigen Zeit und Unterbindung der Ausbreitung von Malware durch Blockieren von lateralen und vertikalen Bewegungen.

Es ist für die Zukunftssicherung von Unternehmen absolut notwendig, den gesamten Zugang zu sichern und nicht nur den von privilegierten Konten. Nach dem Prinzip der geringsten Privilegien werden alle gefährdeten Benutzer und Arbeitsstationen der Organisation absichert. Jeder hat in der täglichen Arbeit irgendwann einmal das Privileg, auf bestimmte Ressourcen innerhalb der Organisation zuzugreifen. Die Herausforderung besteht darin, zum richtigen Zeitpunkt und mit der richtigen Berechtigungsstufe Zugang zu gewähren, um die erwartete Aufgabe zu erfüllen, unabhängig davon, wo man sich befindet, ob innerhalb oder außerhalb des Unternehmens – und zwar

• für alle Benutzer: Mitarbeiter, Lieferanten, Partner, Menschen oder Maschinen etc.,
• für alle Sitzungen,
• auf alle strategischen Assets des Unternehmens und

auf allen Endgeräten des Unternehmens.