PAM Systeme im Vergleich

Sicherheit im IT-Umfeld muss stets einen Kompromiss mit der Nutzbarkeit eingehen. Jeder Schutz, den man hinzufügt, erhöht den technischen Aufwand oder den Aufwand, den der Nutzer bei der Verwendung hat. Paradoxerweise können höhere Anforderungen auch das Risiko erhöhen:

So sind beispielsweise komplexe Passwörter sicherer als einfache, führen aber dazu, dass es aufwendiger für den Nutzer ist, sich diese Passwörter zu merken. Die Konsequenz daraus ist, dass manche Nutzer sich ihre Passwörter aufschreiben

In Privilegierten Systemen (Admin-Accounts, Kritische Infrastruktur) werden häufig keine individualisierten Accounts verwendet, was dazu führt, dass sich mehrere Personen die Accounts teilen und die Berechtigungen einander weitergeben. Daher wissen Unternehmen häufig gar nicht, wer alles auf ihre Systeme Zugriff hat und können auch nicht nachvollziehen, wer welche Änderung durchgeführt hat. Beides führt zu Problemen falls es einen Sicherheitsvorfall zu untersuchen gilt.

Für beide Problemfelder gibt es technische Lösungen: Im Falle der Passwörter kann man beispielsweise einfache Passwörter mit einer 2 Faktor Authentifizierung verbinden. Im Falle der Privilegierten Systeme sollte ein PAM System verwendet werden.

PAM Systeme dienen grundsätzlich dazu Privilegierte Systeme zu verwalten und berechtigten Nutzern Zugriff zu gewähren. Dafür werden die Zugangsberechtigungen zu diesen Systemen im PAM System selbst vorgehalten und sind dem Benutzer in der Regel nicht bekannt. Wenn also beispielsweise ein Administrator nach den hinterlegten Regeln berechtigt ist ein bestimmtes System zu verwenden, wird ihm durch das PAM System entweder ein Passwort für einen Account auf dem System zur Verfügung gestellt (und geändert, wenn nicht mehr benötigt) oder eine Remote-Session auf das System vermittelt. Im Falle der Remote-Session kann das PAM-System dann als Proxy dienen und die Session überwachen. 

Um die Verwaltung zu vereinfachen werden außerdem Möglichkeiten der Automatisierung angeboten, beispielsweise indem neue Nutzer aus Directory-Systemen ausgelesen werden. Zudem können neue Systeme und neue Accounts auf diesen Systemen automatisiert erkannt und durch das PAM-System verwaltet werden.

Beyond Trust bietet sein Produkt, den Password Safe, als SaaS, als Hardware Appliance und als virtuelle Maschine an. Außerdem kann es auf einem regulären Windows-System installiert werden. Gründe auf Beyond Trust zu setzen sind der größere Umfang an Fremdsystemen, die angebunden werden und die vielfältigeren Möglichkeiten der Automatisierung. So ist Beyond Trust besonders für Unternehmen mit einer umfangreichen und vielfältigen Landschaft an unterschiedlichen Systemen interessant. Weiterhin wird es schon länger als SaaS angeboten und bietet die Möglichkeit, die angeschlossenen Systeme auf Sicherheitslücken zu überprüfen, wie beispielsweise vernachlässigte Sicherheitsupdates.

Wallix bietet sein Kernprodukt Bastion nur als virtuelle Maschine an, demnächst auch als SaaS Lösung. Besondere Stärke ist das Zusatzprodukt Access Manager, der exklusiven Zugang auf die Bastion für Nutzer außerhalb des Intranets ermöglicht und diesen Nutzern beispielsweise RDP und SSH Sessions ermöglicht. Diese werden über eine HTML5 Schnittstelle aufgebaut, ohne dass dafür ein eigenes Tool verwendet werden muss. Das ist vor allem für Fernwartungszugriffe sehr vorteilhaft. Außerdem bietet Wallix ein Lizenzmodell an, das sich ausschließlich nach der Anzahl von Nutzern oder den angebundenen Zielsystemen richten kann. Das ist besonders in Grenzsituationen interessant, wenn einer der Werte sehr gering ist und damit zu einem sehr attraktiven Gesamtpreis führt.

Safeguard besteht aus drei Produkten, die zusammen oder einzeln erworben werden können. SPP (Safeguard for Privileged Passwords) dem Passwortsafe, SPS (Safeguard for Privileged Sessions) der Sessionverwaltung, und SPA (Safeguard for Privileged Analytics). SPP und SPS werden dabei jeweils als Hardwareappliances oder virtuelle Maschinen angeboten. SPA ist in SPS enthalten, sofern es lizensiert wurde. Safeguard Alleinstellungsmerkmal sind die Hardware-Appliances, die ausschließlich für den Betrieb von Safeguard entwickelt und entsprechend gehärtet wurden. Das bietet Vorteile bezüglich der Sicherheit. Außerdem lassen sich die Daten durch den Betreiber nicht verändern, was interessant sein kann, wenn sie als Beweise vor Gericht verwendet werden. SPA bietet Funktionalität, um die Nutzer per KI-Systeme und Mustervergleich anhand diverser Verhaltensmuster zu erkennen und eventuelle Verbindungen zu unterbrechen, falls der Nutzer sich verdächtig verhält.

Ivo Burkatzki ist Consultant für IAM und PAM Systeme. Nach der Erlangung des Bachelor of Science in Wirtschaftsinformatik begann er seine Karriere in der IT als Softwareingenieur und ABAP Entwickler. Seit Anfang 2019 ist er in der IAM-Branche unterwegs. Dort setzt er nun Kundenanforderungen im OneIdentity Manager, OneIdentity Safeguard und Wallix um. Im OneIdentity Manager ist er besonders spezialisiert auf Webdesign und Frontend Entwicklung also die optische und funktionale Anpassung des in das Produkt integrierten Web-Shop.