FH Salzburg optimiert Passwort-Management

Das Management von Administratoren-Passwörtern ist für jedes Unternehmen eine große Herausforderung. Nur wenn sie einerseits geschützt und andererseits jederzeit verfügbar sind, lassen sich missbräuchliche Zugriffe ausschließen und ungestörte Geschäftsabläufe sicherstellen. Mit dieser Herausforderung sah sich auch die FH Salzburg konfrontiert. Die noch relativ junge Bildungseinrichtung wurde 1995 gegründet und seitdem erfuhr ihre IT-Infrastruktur ein starkes Wachstum, das auch die Zahl der vorhandenen Serversysteme kontinuierlich nach oben trieb. Damit einher ging eine steigende Komplexität ihrer Passwort-Strukturen, deren Verwaltung bis dato über ein mit Zugriffsrechten abgesichertes IT-Abteilungsinternes Wiki gehandhabt wurde. In den dort vorgehaltenen Dokumentationen der Serversysteme wurden auch die Kennwörter für die Administratoren-Accounts abgelegt.

„Der Zugriff auf das Wiki und die Passwörter war natürlich mit entsprechenden Berechtigungen auf einen engen Personenkreis eingeschränkt“, erläutert Ralf Mitteregger, IT-Leiter der FH Salzburg. „Trotzdem barg diese Vorgehensweise ein gewisses Restrisiko, da nicht nachvollziehbar war, welche IT-Mitarbeiter zu bestimmten Zeitpunkten Passwörter verwendet haben“. Ein weiteres Problem: Manche in den Dokumentationen vorgehaltenen Passwörter konnten nicht regelmäßig geändert werden. Verließ ein Mitarbeiter die Abteilung oder die FH, waren stets Personalressourcen für die notwendigen manuellen Passwortänderungen gebunden. Bei Änderung eines Dienste-Passwortes musste daraufhin die Funktionstüchtigkeit aller betroffenen Systeme erneut überprüft werden.

Sicherheitsaspekt und ineffiziente Prozesse im Fokus
"Für die FH Salzburg ist Informationssicherheit eine Frage der Glaubwürdigkeit", sagt Geschäftsführer Raimund Ribitsch. "Wir verwalten mit großer Sorgfalt eine Vielzahl an persönlichen Daten unserer Studierenden, Absolventen, Lehrenden und Mitarbeiter. Darüber hinaus ist das Thema Security Lehrinhalt mehrerer Studiengänge und zentraler Forschungsgegenstand unseres Josef-Ressel-Zentrums." Deshalb war für Dr. Ralf Mitteregger klar: „Wir brauchen eine Lösung, um die Passwörter aus den Dokumentationen entfernen zu können und ihre regelmäßige Änderung zu gewährleisten.“
Neben dem reinen Sicherheitsaspekt waren mit dem Handling der Administratorenpasswörter aber auch ineffiziente Prozesse verbunden. Da die FH einige Anwendungen im Einsatz hat, die von externen Anbietern gewartet werden – etwa die Finanzbuchhaltung und die Lohnabrechnung –  müssen diese regelmäßig auf die entsprechenden Serversysteme zugreifen. Diese Zugänge freizuschalten und zu überwachen, war in der Vergangenheit sehr aufwändig. So musste die IT-Abteilung jedes Mal eine Teamviewer-Session starten und dabei bleiben, bis der Dienstleister seine Supporttätigkeiten beendet hatte.

Diese Themen trug der IT-Leiter schon einige Zeit in seinem Hinterkopf mit sich herum, als er auf einer Roadshow-Veranstaltung den Spezialisten für Sicherheitssoftware CyberArk und dessen Privileged Account Security Solution kennenlernte. Schnell war klar, dass sich mit dieser umfassenden Lösung für die sichere Verwaltung privilegierter Benutzerkonten auch die spezifischen Anforderungen der FH Salzburg optimal abdecken lassen. Zwar schauten sich Dr. Mitteregger und seine Kollegen auch noch andere Lösungen an, allerdings nicht mehr im Detail. „Die Vertreter von CyberArk haben von Anfang an einen sehr kompetenten Eindruck auf uns gemacht und uns hervorragend betreut“, begründet der IT-Leiter dieses Vorgehen. „Die einfache Bedienbarkeit der Lösung und ihr gutes Preis-Leistungs-Verhältnis haben uns dann endgültig überzeugt, sie bei uns einzuführen.“

Speziell gehärteter Server schützt Passwörter
Kernstück der Lösung ist ein digitaler Datentresor (Vault), in dem die Passwörter abgelegt werden. Der speziell gehärtete Server bietet mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen. Mit integrierten Authentifizierungs- und Zugriffskontroll-Features wie OneTimePasswort-Token, Zertifikat, Passwort oder LDAP wird sichergestellt, dass nur autorisierte Anwender Zugang zum System und den Passwörtern haben, die sich in verschlüsselter Form im Vault befinden. Für besonders kritische Daten und Passwörter kann optional auch eine Autorisierung mittels Vier-Augen-Prinzip erfolgen.

Ein Central Policy Manager sorgt für die regelmäßige und automatische Änderung der Passwörter auf den Zielsystemen. Komplexität und Änderungszyklus lassen sich dabei individuell entsprechend der eigenen Sicherheitsrichtlinien festlegen. Die FH Salzburg hat den Central Policy Manager so eingestellt, dass die Administratorenpasswörter einmal täglich zu einer bestimmten Uhrzeit selbstständig geändert werden. Dazu meldet er sich direkt am Zielsystem an, führt die Änderung des Passworts durch, verifiziert sie durch eine erneute Anmeldung und hinterlegt das neue Passwort als ab sofort gültiges im Vault.

Ein Webfrontend, das sich mit jedem beliebigen Internet-Browser über HTTPS nutzen lässt, ermöglicht die intuitive und schnelle Abfrage beziehungsweise Nutzung eines Passworts. Nach erfolgreicher Authentifikation und gegebenenfalls einem optionalen Genehmigungsprozess kann sich der Anwender die für ihn freigegebenen Passwörter anzeigen lassen. Zudem kann er sich gleich direkt mit den jeweiligen Accounts auf den Zielsystemen verbinden lassen, ohne dass er ein Passwort eingeben muss. Da der Nutzer das Passwort so überhaupt nicht mehr zu sehen bekommt, erhöht sich die Sicherheit weiter.

Eine weitere Komponente der CyberArk Privileged Account Security Solution, die die FH Salzburg nutzt, ist der Privileged Session Manager. Er sichert und überwacht Zugriffe auf privilegierte Zugänge nicht nur im Hinblick auf das „Wer“, sondern auch auf das „Was“. Mit einer durchgängigen Protokollierung der Sessions sind sämtliche Vorgänge bei privilegierten Zugriffen transparent und vollständig nachvollziehbar. Sämtliche Protokolle werden dabei im Vault archiviert. So sind alle Aktionen vom Zeitpunkt der Anmeldung am System bis zur Abmeldung revisionssicher aufgezeichnet.

Im Livebetrieb von Leistungsfähigkeit überzeugt
Bei der Einführung der Lösung verzichtete die FH Salzburg auf einen Testbetrieb im eigentlichen Sinne. Stattdessen banden Dr. Mitteregger und seine Kollegen gleich drei ausgewählte Serversysteme an die Lösung an und überzeugten sich direkt im Livebetrieb von der Leistungsfähigkeit, der einfachen Nutzung und der Zuverlässigkeit der Software. In einem zweiten Schritt migrierten sie dann die unkritischen Systeme auf CyberArk, derzeit werden in einem dritten Schritt auch die kritischen Serversysteme an die Lösung angebunden. Die Implementierung führt die FH Salzburg weitestgehend in Eigenregie durch, und wenn sie einmal Unterstützung benötigt, kann sie auf den schnellen und zuverlässigen Support des Anbieters vertrauen. Eine individuelle Anpassung der Software war dabei bislang aber nicht nötig, so dass die Hochschule sie „Out of the Box“ nutzen kann. Die Mitarbeiter werden durch Individualeinweisungen im Team mit der Lösung vertraut gemacht, eine kurze Dokumentation der IT-Abteilung klärt über die wichtigsten Themen und Fragen auf.

Die anfänglichen Bedenken einiger Mitarbeiter konnten schnell ausgeräumt werden: „Im Vergleich zu früher schränken wir mit der neuen Lösung die Zugriffsrechte der IT-Mitarbeiter ein, was zunächst ihre Akzeptanz etwas beeinträchtigte. Als Wissensorganisation haben wir im Gegensatz zu einem Unternehmen eine sehr kooperative Führungskultur“, erläutert der IT-Leiter. „Deshalb müssen wir hier sehr sensibel vorgehen. Mittlerweile sind aber alle restlos von dem neuen System überzeugt, weil sie die große Vereinfachung erlebt haben, die es mit sich bringt. Das Projekt hat dadurch noch einmal an Fahrt aufgenommen, so dass jede Woche ein neues Zielsystem dazukommt.“

So sind von den insgesamt rund 150 Serversystemen der FH Salzburg mittlerweile knapp 50 an CyberArk angebunden, etwa 150 Administratorenpasswörter liegen derzeit im Vault. Primäres Ziel der Hochschule ist es, zunächst sämtliche Windows-Systeme auf die neue Lösung zu migrieren, später sollen dann auch die UNIX/Linux-Systeme folgen. Derzeit arbeiten rund 20 Mitarbeiter der IT-Abteilung mit der Lösung, ihre Ausweitung auf weitere Abteilungen ist aber bereits angedacht – und wird laut Dr. Mitteregger von diesen auch aktiv nachgefragt.

Zertifizierung nach ISO-Norm 27001 geplant
„Für mich war die Ablage von Passwörtern im abgesicherten IT-Abteilungsinternen Wiki ein gewisses Risiko, das sich durch CyberArk nun in Luft aufgelöst hat“, so das Fazit des IT-Leiters. „Wir verfügen jetzt über ein sicheres und zuverlässiges Benutzermanagement für die Administratorenkonten, das den Vorgaben der ISO-Norm 27001 entspricht, nach der wir uns demnächst zertifizieren lassen wollen.“ Neben der Risikominimierung profitiert die FH Salzburg aber auch an vielen Stellen von optimierten Prozessen. So vereinfacht etwa der „One Click“-Zugriff über die Weblinks den Zugang zu den Serversystemen ganz erheblich. Und die Fähigkeit, Sessions aufzuzeichnen, macht beispielsweise die Fehlersuche deutlich einfacher, weil dazu nun nicht mehr umständlich die Logfiles durchgesehen werden müssen.

Bei externen Wartungsarbeiten an Anwendungen können darüber hinaus nun die Fachabteilungen den Dienstleistern selbstständig einen Zugriff zur Verfügung stellen, der alle ihre Aktivitäten aufzeichnet. Für Dr. Mitteregger einer der größten Vorteile überhaupt: „Das ist eine riesige Erleichterung, weil ich dazu nun nicht mehr jedes Mal einen IT-Mitarbeiter abstellen muss. Die Personalabteilung beispielsweise kann nun Support von außen in Anspruch nehmen, ohne dass dadurch die Ressourcen der IT-Abteilung belastet werden.“