Bild zum Expertenbericht über PAM Systeme

PAM Systeme im Vergleich

Beyond Trust, Wallix und OneIdentity Safeguard

Warum ein PAM-System?

Sicherheit im IT-Umfeld muss stets einen Kompromiss mit der Nutzbarkeit eingehen. Jeder Schutz, den man hinzufügt, erhöht den technischen Aufwand oder den Aufwand, den der Nutzer bei der Verwendung hat. Paradoxerweise können höhere Anforderungen auch das Risiko erhöhen:

So sind beispielsweise komplexe Passwörter sicherer als einfache, führen aber dazu, dass es aufwendiger für den Nutzer ist, sich diese Passwörter zu merken. Die Konsequenz daraus ist, dass manche Nutzer sich ihre Passwörter aufschreiben

In Privilegierten Systemen (Admin-Accounts, Kritische Infrastruktur) werden häufig keine individualisierten Accounts verwendet, was dazu führt, dass sich mehrere Personen die Accounts teilen und die Berechtigungen einander weitergeben. Daher wissen Unternehmen häufig gar nicht, wer alles auf ihre Systeme Zugriff hat und können auch nicht nachvollziehen, wer welche Änderung durchgeführt hat. Beides führt zu Problemen falls es einen Sicherheitsvorfall zu untersuchen gilt.

Für beide Problemfelder gibt es technische Lösungen: Im Falle der Passwörter kann man beispielsweise einfache Passwörter mit einer 2 Faktor Authentifizierung verbinden. Im Falle der Privilegierten Systeme sollte ein PAM System verwendet werden.

Wie funktionieren PAM-Systeme?

PAM Systeme dienen grundsätzlich dazu Privilegierte Systeme zu verwalten und berechtigten Nutzern Zugriff zu gewähren. Dafür werden die Zugangsberechtigungen zu diesen Systemen im PAM System selbst vorgehalten und sind dem Benutzer in der Regel nicht bekannt. Wenn also beispielsweise ein Administrator nach den hinterlegten Regeln berechtigt ist ein bestimmtes System zu verwenden, wird ihm durch das PAM System entweder ein Passwort für einen Account auf dem System zur Verfügung gestellt (und geändert, wenn nicht mehr benötigt) oder eine Remote-Session auf das System vermittelt. Im Falle der Remote-Session kann das PAM-System dann als Proxy dienen und die Session überwachen. 

Um die Verwaltung zu vereinfachen werden außerdem Möglichkeiten der Automatisierung angeboten, beispielsweise indem neue Nutzer aus Directory-Systemen ausgelesen werden. Zudem können neue Systeme und neue Accounts auf diesen Systemen automatisiert erkannt und durch das PAM-System verwaltet werden.

Beyond Trust

Beyond Trust bietet sein Produkt, den Password Safe, als SaaS, als Hardware Appliance und als virtuelle Maschine an. Außerdem kann es auf einem regulären Windows-System installiert werden. Gründe auf Beyond Trust zu setzen sind der größere Umfang an Fremdsystemen, die angebunden werden und die vielfältigeren Möglichkeiten der Automatisierung. So ist Beyond Trust besonders für Unternehmen mit einer umfangreichen und vielfältigen Landschaft an unterschiedlichen Systemen interessant. Weiterhin wird es schon länger als SaaS angeboten und bietet die Möglichkeit, die angeschlossenen Systeme auf Sicherheitslücken zu überprüfen, wie beispielsweise vernachlässigte Sicherheitsupdates.

Wallix

Wallix bietet sein Kernprodukt Bastion nur als virtuelle Maschine an, demnächst auch als SaaS Lösung. Besondere Stärke ist das Zusatzprodukt Access Manager, der exklusiven Zugang auf die Bastion für Nutzer außerhalb des Intranets ermöglicht und diesen Nutzern beispielsweise RDP und SSH Sessions ermöglicht. Diese werden über eine HTML5 Schnittstelle aufgebaut, ohne dass dafür ein eigenes Tool verwendet werden muss. Das ist vor allem für Fernwartungszugriffe sehr vorteilhaft. Außerdem bietet Wallix ein Lizenzmodell an, das sich ausschließlich nach der Anzahl von Nutzern oder den angebundenen Zielsystemen richten kann. Das ist besonders in Grenzsituationen interessant, wenn einer der Werte sehr gering ist und damit zu einem sehr attraktiven Gesamtpreis führt.

OneIdentity Safeguard

Safeguard besteht aus drei Produkten, die zusammen oder einzeln erworben werden können. SPP (Safeguard for Privileged Passwords) dem Passwortsafe, SPS (Safeguard for Privileged Sessions) der Sessionverwaltung, und SPA (Safeguard for Privileged Analytics). SPP und SPS werden dabei jeweils als Hardwareappliances oder virtuelle Maschinen angeboten. SPA ist in SPS enthalten, sofern es lizensiert wurde. Safeguard Alleinstellungsmerkmal sind die Hardware-Appliances, die ausschließlich für den Betrieb von Safeguard entwickelt und entsprechend gehärtet wurden. Das bietet Vorteile bezüglich der Sicherheit. Außerdem lassen sich die Daten durch den Betreiber nicht verändern, was interessant sein kann, wenn sie als Beweise vor Gericht verwendet werden. SPA bietet Funktionalität, um die Nutzer per KI-Systeme und Mustervergleich anhand diverser Verhaltensmuster zu erkennen und eventuelle Verbindungen zu unterbrechen, falls der Nutzer sich verdächtig verhält.

Ivo Burkatzki ist Consultant für IAM und PAM Systeme. Nach der Erlangung des Bachelor of Science in Wirtschaftsinformatik begann er seine Karriere in der IT als Softwareingenieur und ABAP Entwickler. Seit Anfang 2019 ist er in der IAM-Branche unterwegs. Dort setzt er nun Kundenanforderungen im OneIdentity Manager, OneIdentity Safeguard und Wallix um. Im OneIdentity Manager ist er besonders spezialisiert auf Webdesign und Frontend Entwicklung also die optische und funktionale Anpassung des in das Produkt integrierten Web-Shop.

Titelbild zum Expertenbericht Securitiy - Cyberkriminalität
Blog 27.03.20

Cyberkriminalität – Schützen Sie Ihre Assets durch PAM.

Mit Privileged Account Management (PAM) schützen Sie Ihr Unternehmen wirksam gegen Wirtschaftsspionage und Cyber-Angriffe.

Blogbeitrag zu Pam, warum das jeder kennen sollte
Blog 06.07.20

Darum sollte PAM für Sie kein unbekanntes Wort sein!

Sicherlich haben Sie schon einmal mitbekommen, dass Unternehmen Ziel von Hackerangriffen geworden sind. Sind Sie sicher, dass Ihnen nicht das Gleiche passiert?

PAM Schäden
Blog 15.03.21

Pam beschützt Sie vor kostspieligen Schäden

Laut dem Forrester Wave Report (Q4, 2018) sind bei 80% aller Datenpannen kompromittierte privilegierte Rechte involviert. Entsprechend wichtig ist es, dass diese Accounts geschützt werden.

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 22.12.20

Administrationstiefe von IAM-Systemen

In unseren IAM-Projekten haben wir regelmäßig mit Prüferinnen und Prüfern der internen Revision zu tun. Insbesondere während der ersten Projektschritte ereilen uns immer wieder die Fragen: Woran erkenne ich denn jetzt im IAM-System, ob Herr Meier auf das Share XYZ Zugriff hat? Was sind aktuell seine wirksamen Berechtigungen?

Blogbeitrag, was bedeutet Zero Trust bedeutet
Blog 30.09.20

Zero Trust – oder lassen Sie jeden rein?

Was bedeutet Zero Trust? Wie funktioniert es und welchen Nutzen hat es? Diese und weitere Fragen beantworten wir in unserem Blogbeitrag!

Passwörter Gegenwart
Blog 19.05.21

Passwörter heute – der Status quo

Was hat sich bei Passwörtern vom Mittelalter bis heute verändert? Erfahren Sie alles zu Status Quo sowie aktuellen Zahlen & Fakten in Teil 2 der Blogserie „Passwörter – Vergangenheit, Gegenwart und Zukunft“ .

Das Thema IT-Security immer weiter in den Fokus
Blog 07.01.21

Warum der Überwacher überwacht werden muss

Nach dem SolarWinds Hack rückt das Thema IT-Security immer weiter in den Fokus. In unserem Blogbeitrag beschreiben wir alles zum SolarWinds-Hack, deren Folgen und was wir daraus lernen können.

Passwörter Geschichte
Blog 14.05.21

Kleine Geschichte des Passworts

Passwörter gibt es schon länger als sie vielleicht denken. Im ersten Blogbeitrag der Serie „Passwörter – Vergangenheit, Gegenwart und Zukunft“ nehmen wir Sie mit auf eine Reise zu den Ursprüngen des Passworts.

Blog Spoofing Fishing Teaser
Blog 21.10.20

Spoofing und Phishing

Heutzutage gilt es mehr denn je, sich effektiv vor Daten- und Identitätsdiebstahl zu schützen. In dem Kontext fallen häufig Begriffe wie „Spoofing“ und „Phishing“ . Wir erklären Ihnen, was es damit auf sich hat!

Blogbeitrag, wie Sie One Identity Safeguard und One Identity Manager verkuppeln
Blog 24.11.20

So verheiraten Sie One Identity Safeguard & -Manager

Sie haben zwei Produkte des gleichen Herstellers bei einem Kunden implementiert, aber die beiden Akteure vertragen sich noch nicht so richtig. In unserem Blogbeitrag zeigen wir, wie Sie One Identity Safeguard und One Identity Manager verkuppeln.

Titelbild zum Expertenbericht Securitiy - Fernzugriff aus dem Ausland
Blog 03.08.20

Fernzugriff aus dem Ausland

Anders als im Cloud-Umfeld ist der Fernzugriff auf on premise-Applikationen sehr wenig geregelt. Unternehmen tun gut daran, genau diese Lücke zu schliessen.

Zero Trust – Ein neues Zeitalter der Cyber Security
Blog 24.08.20

Ein neues Zeitalter der Cyber Security

Cyber Security hat eine neue Ära erreicht: Das Zero Trust-Zeitalter verändert den Blick auf Sicherheitsbedrohungen und stellt neue Anforderungen an den Schutz digitaler Systeme.

Blogbeitrag, wie das optimale IAM Tool gefunden werden kann
Blog 20.07.20

So finden Sie das optimale IAM-Tool für sich!

Fragen Sie sich auch, wie Sie ein geeignetes IAM-Tool finden können, das zu Ihren Anforderungen und Vorstellungen passt?

Blogbeitrag zur Authentifizierung als Schutz von Unternehmen
Blog 17.08.20

Warum Authentifizierung unser ständiger Begleiter ist

Eine der wichtigsten Grundlage zum Schutz Ihres Unternehmens ist die Authentifizierung. Daher wollen wir Ihnen in diesem Blogbeitrag die Bedeutung des Authentifizierungsverfahren vorstellen.

die bayerische
Referenz 22.02.24

PAM und IAM für «die Bayerische»

Das Versicherungsunternehmen «die Bayerische» schützt die sensiblen Daten seiner Kunden mit IAM und PAM. Damit werden alle regulatorischen Anforderungen erfüllt sowie die Cybersicherheit unterstützt.

Partner

Beta Systems

Beta Systems bietet innovative Identity & Access Management Lösungen zur sicheren Verwaltung digitaler Identitäten und Zugriffe sowie zur Minimierung interner und externer Risiken.

Partner

Beta Systems

Beta Systems bietet innovative Identity & Access Management Lösungen zur sicheren Verwaltung digitaler Identitäten und Zugriffe sowie zur Minimierung interner und externer Risiken.

 Experten Pirmin Gisler und Daniele Miracco
News 13.09.24

Mehr Power und Expertise für PAM-Lösungen

Die Experten Pirmin Gisler und Daniele Miracco erweitern BeyondTrust PAM-Kompetenz bei IPG.

Teaserbild KPT Referenz IAM
Referenz 13.11.23

Effizientes IAM für Cloud-Systeme bei der KPT

Mit einer neuen IAM-Lösung behält KPT die Kontrolle über Benutzerkonten und Berechtigungen, um einen effizienten und sicheren Betrieb ihrer Cloud-Systeme zu gewährleisten. ✅ Lesen Sie mehr dazu.

Risiko Management im Bereich der Governance immer wichtiger
Referenz

Einführung eines Identity Management Systems (IDM)

Einführung eines Identity Management Systems (IDM) in einem Konzernbereich mit dem Schwerpunkt, die Joiner-/Mover-/Leaver-Prozesse zu automatisieren. Zusätzlich sollte eine Datenbereinigung im Bereich Benutzer erfolgen, um auch eine Reduzierung der Lizenzkosten zu ermöglichen.