Wie MFA und PAM gemeinsam für mehr Sicherheit sorgen

Unternehmensnetzwerke sind in der Regel groß und verfügen über zahlreiche Zugangspunkte – jeder einzelne davon potenziell eine Schwachstelle, über die sich unbefugter Zugriff auf Systeme, Ressourcen und sensible Daten verschaffen lässt. Um solche Risiken zu minimieren, setzen Cybersicherheitsteams häufig auf eine Strategie der „Defense in Depth“: Dabei wird das Gesamtsystem durch mehrere Schutzschichten abgesichert, die jeweils gezielt einzelne Komponenten schützen.

Zwei dieser Sicherheitslayer, die oft gemeinsam eingesetzt werden, sind die Multi-Faktor-Authentifizierung (MFA) und das Privileged Access Management (PAM). Um das Prinzip der mehrschichtigen Verteidigung besser zu verstehen, lohnt es sich, einen genaueren Blick darauf zu werfen, was MFA und PAM jeweils leisten – und wie sie sich gegenseitig ergänzen, um einen effektiven Schutz vor unautorisierten Zugriffen zu gewährleisten.

Eine leistungsstarke MFA-Lösung vor dem PAM-System stellt sicher, dass Benutzer wirklich diejenigen sind, für die sie sich ausgeben – noch bevor sie überhaupt Zugriff erhalten.

Was genau ist MFA – und warum reicht ein Passwort nicht mehr aus?

Jeder kennt das klassische Login-Verfahren mit Benutzername und Passwort – sei es für E-Mail-Konten, Webseiten oder auch den Zugang zu Netzwerkressourcen wie Servern. Dieses Verfahren stellt jedoch lediglich einen einzigen Authentifizierungsfaktor dar: Wer das richtige Passwort kennt, erhält Zugang zu den geschützten Ressourcen hinter diesem Login. Das Problem dabei: Ein einzelner Faktor bietet nur eine sehr geringe Hürde. Passwörter können aus Datenbanken gestohlen, durch Phishing abgegriffen oder mit den richtigen Tools geknackt werden – insbesondere, wenn sie schwach oder mehrfach verwendet werden.

Multi-Faktor-Authentifizierung (MFA) löst dieses Problem, indem sie mehr als nur einen Nachweis der Identität verlangt. Neben dem, was der Benutzer weiß – etwa einem Passwort – verlangt ein MFA-Verfahren auch etwas, das nur der Benutzer besitzt und das eindeutig seiner Person zugeordnet ist. Durch diese Kombination entsteht eine zusätzliche Sicherheitsebene: Zwei Faktoren, die zusammen eine deutlich höhere Schutzwirkung entfalten.

Ein einfaches Beispiel: Wenn sich ein Benutzer an einem System anmeldet und per SMS einen Code an sein Mobiltelefon gesendet bekommt, kommt MFA zum Einsatz. Denn selbst wenn ein Angreifer das Passwort kennt, wird er höchstwahrscheinlich nicht auch Zugriff auf das Mobilgerät haben. Und ohne ein Szenario à la Mission: Impossible wird auch kaum jemand gleichzeitig im Besitz des Fingerabdrucks sein – ein weiteres Beispiel für einen eindeutigen Faktor, der schwer zu fälschen ist.

Was ist PAM – und warum nicht jeder alles sehen darf

Privileged Access Management (PAM) beschäftigt sich mit dem gezielten Schutz privilegierter Ressourcen innerhalb eines Netzwerks. Der Grundgedanke: Selbst innerhalb eines Unternehmensnetzwerks sind nicht alle Nutzer gleich – und sollten nur genau die Rechte erhalten, die sie für ihre jeweilige Aufgabe benötigen. Dieses Prinzip der minimalen Rechtevergabe („Least Privilege“) bedeutet zum Beispiel: Eine Datenbankadministratorin braucht erweiterten Zugriff auf die Datenbankserver, darf aber keine Einsicht in andere Systembereiche haben, die für ihre Arbeit irrelevant sind. Und ein Netzwerkadministrator wiederum benötigt Zugriff auf Router und Firewalls – nicht aber auf die Datenbankserver.

PAM-Lösungen müssen daher nicht nur wissen, wer ein Nutzer ist, sondern auch, auf welche Ressourcen dieser Nutzer Zugriff erhalten darf – und in welchem Umfang. Um die Sicherheit weiter zu erhöhen, bringen leistungsfähige PAM-Systeme zusätzliche Schutzmechanismen mit: Sie beschränken Zugriffsrechte nicht nur auf bestimmte Rollen, sondern auch abhängig von Faktoren wie Zeitfenster oder Standort. So wird sichergestellt, dass auch ein korrekt authentifizierter Nutzer nur dann und nur auf genau das zugreifen kann, was in diesem Moment erforderlich ist.

Ein einfaches Beispiel: Ein Nutzer mit der Rolle „Server-Administrator“ erhält privilegierten Zugriff auf einen Server, um ein Update durchzuführen. Aus Sicherheitsgründen – oder aus geschäftlicher Vorsicht – beschränken die PAM-Verantwortlichen diesen Zugriff aber auf ein Zeitfenster von zwei Stunden, etwa ab Mitternacht. Außerhalb dieses Zeitraums bleibt der Zugriff selbst mit gültigen Zugangsdaten gesperrt – sei es für versehentliche oder böswillige Aktionen.

Wie MFA und PAM sich ideal ergänzen

Im Kontext von Privileged Access Management gibt es einen zentralen Punkt, den man nicht übersehen darf: Sobald sich ein Nutzer erfolgreich am System authentifiziert hat, gewährt das PAM-System ihm den zuvor definierten privilegierten Zugriff. Das ist grundsätzlich richtig – sofern es sich tatsächlich um die berechtigte Person handelt. Wird jedoch ein privilegierter Zugang von jemandem genutzt, der sich nur als diese Person ausgibt, kann das katastrophale Folgen haben.

Starke PAM-Lösungen verfügen über Schutzmechanismen, um genau solche Situationen zu erkennen und zu verhindern. Session-Management-Tools beispielsweise können Alarm schlagen oder eine Sitzung automatisch beenden, wenn ein privilegierter Nutzer ungewöhnliches Verhalten zeigt – etwa wenn ein angeblicher Datenbankadministrator plötzlich eine Vielzahl an Abfragen auf mehreren Datenbanken in kurzer Zeit durchführt.

Aber was passiert, wenn ein Angreifer die Zugangsdaten eines DBA gestohlen hat, sich damit Zugang verschafft – und sich dann ganz unauffällig verhält, etwa indem er gelegentlich eine Abfrage startet, wie es auch der echte DBA tun würde?

Genau solche Szenarien lassen sich verhindern, wenn PAM und MFA zusammenarbeiten.
Während ein starkes PAM-System dafür sorgt, dass nur die richtigen Personen auf sensible Ressourcen zugreifen können, stellt eine vorgeschaltete MFA-Lösung sicher, dass diese Personen auch wirklich die sind, für die sie sich ausgeben – noch bevor überhaupt entschieden wird, welche Zugriffsrechte sie erhalten.

Diese mehrschichtige Strategie – „Defense in Depth“ – gibt Sicherheitsteams und Administratoren ein effektives Werkzeug an die Hand, um Netzwerke besser vor Angriffen zu schützen. Und angesichts der Tatsache, dass heutige Infrastrukturen permanenten Scan- und Angriffsversuchen ausgesetzt sind, ist genau das ein zentraler Baustein für eine starke Cybersicherheitsstrategie.

Sie möchten mehr erfahren? Dann zögern Sie nicht, unser Expertenteam von WALLIX zu kontaktieren – wir beantworten Ihre Fragen gerne!

Cookie	Dauer	Beschreibung
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Dauer	Beschreibung
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Dauer	Beschreibung
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Dauer	Beschreibung
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Dauer	Beschreibung
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Wie MFA und PAM gemeinsam für mehr Sicherheit sorgen

Was genau ist MFA – und warum reicht ein Passwort nicht mehr aus?

Was ist PAM – und warum nicht jeder alles sehen darf

Wie MFA und PAM sich ideal ergänzen

Verwandte Inhalte

Verwandte Ressourcen

PRODUKTE

RESSOURCEN

SUPPORT

ÜBER

FOLGEN SIE UNS

Wie MFA und PAM gemeinsam für mehr Sicherheit sorgen

Was genau ist MFA – und warum reicht ein Passwort nicht mehr aus?

Was ist PAM – und warum nicht jeder alles sehen darf

Wie MFA und PAM sich ideal ergänzen

Diesen Eintrag teilen

Verwandte Inhalte

Verwandte Ressourcen

PRODUKTE

RESSOURCEN

SUPPORT

ÜBER

FOLGEN SIE UNS