ISO 27001: Die Bedeutung von Privileged Access Management (PAM) verstehen

ISO 27001 ist das weltweit umfassendste und anerkannteste Rahmenwerk für Informationssicherheitsmanagementsysteme (ISMS). Sie bildet den Kern vieler Cybersicherheitsprogramme von Unternehmen; ISO 27001 wird auch für eine Reihe von Compliance-Regelungen als wesentlich angesehen. Zugangskontrollen, einschließlich PAM, sind in den Anforderungen weit verbreitet.

Was ist ISO 27001?

ISO 27001 wird von der Internationalen Normungsorganisation (ISO) herausgegeben. Das daraus resultierende ISMS dient der Sicherung kritischer Infrastrukturen. ISO 27001 ist umfassend und deckt praktisch alle Aspekte der Informationssicherheit ab. Die Kontrollen betreffen die Sicherheitspolitik, die physische Sicherheit und die Reaktion auf Zwischenfälle. Sie gewährleistet, dass die Organisation international anerkannte Best Practices im Bereich der Informationssicherheit anwendet.

Das Ziel des Rahmens ist die kontinuierliche Verbesserung. Dieses Ethos ist in den Plan-Do-Check-Act-Prozess eingebettet, der es einer Organisation ermöglicht, sich selbst als ISO 27001-konform zu zertifizieren. Alternativ ist es möglich, eine unabhängige Zertifizierung durch einen Dritten nach einem Audit zu erhalten.

ISO 27001 und Konformität

Das Framework unterstützt Unternehmen bei der Einhaltung von Vorschriften wie GDPR, HIPAA und PCI-DSS. Dies ist aus zwei Gründen der Fall. Erstens können die Kontrollen eines ISMS so konfiguriert werden, dass sie den Anforderungen einer Vorschrift entsprechen, z. B. wenn die Verschlüsselung für die Einhaltung des HIPAA erforderlich ist, dann hilft es, die Verschlüsselung für das ISMS verbindlich zu machen.

Der ISO 27001-Rahmen hilft Organisationen zu verstehen, was sie tun müssen, um eine Vielzahl von Vorschriften einzuhalten.

Zweitens verlangt ISO27001 als Teil des Zertifizierungsprozesses buchstäblich die Einhaltung von Gesetzen. Abschnitt A.18.1 mit dem Titel “Einhaltung gesetzlicher und vertraglicher Anforderungen” enthält Kontrollen, die die Einhaltung der gesetzlichen und vertraglichen Verpflichtungen einer Organisation vorschreiben. Genauer gesagt, Unterabschnitt A.18.1.1. besagt, dass das ISMS ausdrücklich rechtliche und regulatorische Anforderungen identifizieren und dokumentieren muss.

Zugangskontrollen in ISO 27001

ISO 27001 deckt das gesamte Spektrum der Informationssicherheit ab. Der Rahmen umfasst Kontrollen für Sicherheitsrichtlinien, Asset Management, Kryptografie, Personalwesen, Back-End-Wiederherstellung und mehr. Die Zugangskontrolle spielt dabei jedoch eine wichtige Rolle. Spezifische Kontrollen befassen sich mit dem Zugang, aber die Fragen des Zugangs, der Autorisierung und der Authentifizierung sind für fast jeden Aspekt des Rahmens entscheidend. Schließlich ist es unmöglich, eine wirksame Datenverschlüsselung durchzuführen, wenn man nicht kontrollieren kann, wer Zugang zur Verschlüsselungssoftware hat.

PAM und ISO 27001

PAM ist ein Bereich der Sicherheit, der sich mit der Kontrolle und Überwachung von Benutzern mit administrativen (auch “Root”-) Rechten oder solchen, die privilegierte Konten verwenden, befasst. Ein privilegierter Benutzer ist jemand, der Zugang zu den Back-Ends kritischer Systeme hat. So kann ein privilegierter Benutzer beispielsweise berechtigt sein, eine Firewall zu konfigurieren oder ein Datenbankbenutzerkonto zu löschen. Privilegierte Benutzer konnten auch Daten löschen oder ändern sowie Software installieren und deinstallieren. Ein privilegierter Benutzer kann ein Angestellter, ein Auftragnehmer oder sogar eine automatisierte Anwendung sein. Da sie Zugang zu sensiblen Informationen und Systemen haben, muss der Zugang privilegierter Benutzer sorgfältig geregelt werden. ISO 27001 befasst sich sowohl direkt als auch indirekt mit dieser Anforderung. Abschnitt A.9.2.3, “Verwaltung von privilegierten Zugriffsrechten”, enthält eine Anforderung zur Kontrolle und Einschränkung privilegierter Zugriffsrechte. A.9.4.4, “Verwendung von privilegierten Dienstprogrammen”, fügt dem ISMS eine weitere PAM-Schutzmaßnahme hinzu, in der die Notwendigkeit der Kontrolle von Dienstprogrammen erörtert wird, die andere Kontrollen außer Kraft setzen können.

In mehreren Abschnitten des ISO 27001-Rahmenwerks heißt es, dass der Zugriff privilegierter Benutzer sorgfältig geregelt werden muss, und daher ist der Einsatz von PAM-Software ein guter Anfang für die Einhaltung der Vorschriften.

PAM taucht auch in den Abschnitten A.6 “Organisation der Informationssicherheit”, A.11 “Physische und Umweltsicherheit” und A.15 “Beziehungen zu Lieferanten” der ISO 27001 auf. PAM taucht indirekt in den Abschnitten A.5, “Informationssicherheitsrichtlinien”, A.12, “Betriebssicherheit”, A.16, “Informationssicherheitsmanagement” und A.18, “Einhaltung interner Anforderungen” auf. Jeder dieser Kontrollbereiche ist auf privilegierte Benutzer angewiesen, um wirksam zu sein.

Wie eine PAM-Lösung die ISO 27001-Kontrollen ermöglicht

Eine PAM-Lösung schützt eine Organisation vor versehentlichem oder absichtlichem Missbrauch von privilegiertem Zugriff. Sie kann (und sollte) ein entscheidendes Element eines ISMS sein. Die PAM-Lösung behält den Überblick über privilegierte Benutzer. Es ermöglicht die Umsetzung von ISO 27001 durch einen sicheren, zentralisierten und rationalisierten Mechanismus zur Autorisierung und Überwachung aller privilegierten Benutzer für alle relevanten Systeme:

PAM gewährt und entzieht Benutzern nur für Systeme, für die sie berechtigt sind, Privilegien.
PAM vermeidet die Notwendigkeit, dass privilegierte Benutzer lokale/direkte Passwörter haben oder benötigen.
PAM verwaltet schnell und zentral den Zugriff auf eine Vielzahl heterogener Systeme.
PAM erstellt einen unveränderlichen Prüfpfad für jede privilegierte Operation.

PAM ist ein wichtiges Element des ISMS, das es Unternehmen ermöglicht, alle Aktionen privilegierter Benutzer innerhalb ihrer IT-Infrastruktur zu verfolgen.

Die WALLIX PAM-Lösung für ISO 27001

WALLIX bietet eine vollständige PAM-Lösung an, die sich gut mit ISO 27001 vereinbaren lässt. Dank seiner agentenlosen Architektur ist es einfach zu implementieren, zu warten und zu ändern. Dank dieser Eigenschaft kann es Teil des ISMS sein, ohne das System zu starr zu machen. Die einzelnen Komponenten von WALLIX tragen zur Erfüllung der ISO 27001-Kontrollen und des ISMS bei:

WALLIX Zugriffsmanager – Regelt den Zugriff auf privilegierte Konten. Es zentralisiert die Zugangskontrolle, indem es einen einzigen Zugangspunkt schafft. Privilegierte Benutzer beantragen den Zugang zu einem System über den Access Manager, der die Definition und Durchsetzung der Zugriffskontrollpolitik nach ISO 27001 umsetzt. Access Manager kennt alle sensiblen Systeme, auf die ein Benutzer Zugriffsrechte hat. Superadministratoren können damit privilegierte Benutzerkonten hinzufügen, ändern oder löschen.

WALLIX Passwort Tresor – Verhindert, dass privilegierte Benutzer die tatsächlichen Passwörter oder Anmeldedaten für kritische Systeme kennen. Dies schließt manuelle Überschreibungen an physischen Geräten aus, ein Risiko, das in Abschnitt A.11 beschrieben wird.
WALLIX Sitzungsmanager – Verfolgt privilegierte Benutzerverbindungen und -aktivitäten und bietet Echtzeitüberwachung und -aufzeichnung aller Benutzeraktivitäten. Session Manager ermöglicht ein detailliertes Audit und eine präzise Reaktion auf Vorfälle, beides wesentliche Voraussetzungen für ISO 27001.

Die Zertifizierung und Prüfung nach ISO 27001 ist ein mühsamer Prozess. Jeder Satz von Kontrollen in diesem Rahmen muss sorgfältig umgesetzt werden. PAM kann dazu beitragen, den Prozess zu vereinfachen und die Einhaltung der Normen robuster und flexibler zu gestalten.

Wenn Sie mehr über Privileged Access Management und die Einhaltung von ISO 27001 erfahren möchten, laden Sie sich bitte das vollständige Dokument herunter.

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Dauer	Beschreibung
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Dauer	Beschreibung
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description