Passwort-Management an der FH Salzburg Lösung cum Laude

Redakteur: Susanne Ehneß

Mit einer speziellen Software für die Verwaltung privilegierter Benutzerkonten sichert die FH Salzburg die Administratoren-Passwörter für ihre Serversysteme. Die neue Lösung minimiert Risiken, sorgt für effiziente Prozesse – und nimmt dem IT-Leiter der Hochschule eine Last von den Schultern.

Firmen zum Thema

17 Bachelor- und 9 Masterstudiengänge sowie zwei postgraduale Master-Lehrgänge machen die FH Salzburg zu einem leistungsstarken Bildungsanbieter
17 Bachelor- und 9 Masterstudiengänge sowie zwei postgraduale Master-Lehrgänge machen die FH Salzburg zu einem leistungsstarken Bildungsanbieter
(Bild: FH Salzburg)

Das Management von Administratoren-Passwörtern ist für jedes Unternehmen eine große Herausforderung. Nur wenn sie einerseits geschützt und andererseits jederzeit verfügbar sind, lassen sich missbräuchliche Zugriffe ausschließen und ungestörte Geschäftsabläufe sicherstellen. Mit dieser Herausforderung sah sich auch die FH Salzburg konfrontiert. Die noch relativ junge Bildungseinrichtung wurde 1995 gegründet, und seitdem erfuhr ihre IT-Infrastruktur ein starkes Wachstum, das auch die Zahl der vorhandenen Serversysteme kontinuierlich nach oben trieb.

Damit einher ging eine steigende Komplexität ihrer Passwort-Strukturen, deren Verwaltung bis dato über ein mit Zugriffsrechten abgesichertes IT-Abteilungsinternes Wiki gehandhabt wurde. In den dort vorgehaltenen Dokumentationen der Serversysteme wurden auch die Kennwörter für die Administratoren-Accounts abgelegt.

„Der Zugriff auf das Wiki und die Passwörter war natürlich mit entsprechenden Berechtigungen auf einen engen Personenkreis eingeschränkt“, erläutert Dr. Ralf Mitteregger, IT-Leiter der FH Salzburg. „Trotzdem barg diese Vorgehensweise ein gewisses Restrisiko, da nicht nachvollziehbar war, welche IT-Mitarbeiter zu bestimmten Zeitpunkten Passwörter verwendet haben“.

Ein weiteres Problem: Manche in den Dokumentationen vorgehaltenen Passwörter konnten nicht regelmäßig geändert werden. Verließ ein Mitarbeiter die Abteilung oder die Fachhochschule, waren stets Personalressourcen für die notwendigen manuellen Passwortänderungen gebunden. Bei Änderung eines Dienste-Passwortes musste daraufhin die Funktionstüchtigkeit aller betroffenen Systeme erneut überprüft werden.

Sicherheit und ineffiziente Prozesse

„Für die FH Salzburg ist Informationssicherheit eine Frage der Glaubwürdigkeit“, konkretisiert Geschäftsführer Raimund Ribitsch. „Wir verwalten mit großer Sorgfalt eine Vielzahl an persönlichen Daten unserer Studierenden, Absolventen, Lehrenden und Mitarbeiter. Darüber hinaus ist das Thema Security Lehrinhalt mehrerer Studiengänge und zentraler Forschungsgegenstand unseres Josef-Ressel-Zentrums.“

Deshalb war für Dr. Ralf Mitteregger klar: „Wir brauchen eine Lösung, um die Passwörter aus den Dokumentationen entfernen zu können und ihre regelmäßige Änderung zu gewährleisten.“

Neben dem reinen Sicherheitsaspekt waren mit dem Handling der Administratorenpasswörter aber auch ineffiziente Prozesse verbunden. Da die FH einige Anwendungen im Einsatz hat, die von externen Anbietern gewartet werden – etwa die Finanzbuchhaltung und die Lohnabrechnung – müssen diese regelmäßig auf die entsprechenden Serversysteme zugreifen. Diese Zugänge freizuschalten und zu überwachen, war in der Vergangenheit sehr aufwändig. So musste die IT-Abteilung jedes Mal eine Teamviewer-Session starten und dabei bleiben, bis der Dienstleister seine Supporttätigkeiten beendet hatte.

Lesen Sie auf der nächsten Seite weiter.

Sorgt mit der neuen Lösung für eine revisionssichere Aufzeichnung privilegierter System-Zugriffe: Dr. Ralf Mitteregger, IT-Leiter der FH Salzburg
Sorgt mit der neuen Lösung für eine revisionssichere Aufzeichnung privilegierter System-Zugriffe: Dr. Ralf Mitteregger, IT-Leiter der FH Salzburg
(Bild: FH Salzburg)
Diese Themen trug der IT-Leiter schon einige Zeit in seinem Hinterkopf mit sich herum, als er auf einer Roadshow-Veranstaltung den Spezialisten für Sicherheitssoftware CyberArk und dessen „Privileged Account Security Solution“ kennenlernte. Schnell sei klar gewesen, dass sich mit dieser umfassenden Lösung für die sichere Verwaltung privilegierter Benutzerkonten auch die spezifischen Anforderungen der FH Salzburg optimal abdecken ließen.

Zwar schauten sich Dr. Mitteregger und seine Kollegen auch noch andere Lösungen an, allerdings nicht mehr im Detail. „Die Vertreter von CyberArk haben von Anfang an einen sehr kompetenten Eindruck auf uns gemacht und uns hervorragend betreut“, begründet der IT-Leiter dieses Vorgehen. „Die einfache Bedienbarkeit der Lösung und ihr gutes Preis-Leistungs-Verhältnis haben uns dann endgültig überzeugt, sie bei uns einzuführen.“

Speziell gehärteter Server

Kernstück der Lösung ist ein digitaler Datentresor (Vault), in dem die Passwörter abgelegt werden. Der speziell gehärtete Server bietet mit mehreren unterschiedlichen Security-Layern zuverlässigen Schutz vor unbefugten Zugriffen. Mit integrierten Authentifizierungs- und Zugriffskontroll-Features wie OneTimePasswort-Token, Zertifikat, Passwort oder LDAP soll sichergestellt werden, dass nur autorisierte Anwender Zugang zum System und den Passwörtern haben, die sich in verschlüsselter Form im Vault befinden.

Für besonders kritische Daten und Passwörter kann optional auch eine Autorisierung mittels Vier-Augen-Prinzip erfolgen. Ein „Central Policy Manager“ soll für die regelmäßige und automatische Änderung der Passwörter auf den Zielsystemen sorgen. Komplexität und Änderungszyklus lassen sich dabei individuell entsprechend der eigenen Sicherheitsrichtlinien festlegen.

Die FH Salzburg hat den Central Policy Manager so eingestellt, dass die Administratorenpasswörter einmal täglich zu einer bestimmten Uhrzeit selbstständig geändert werden. Dazu meldet er sich direkt am Zielsystem an, führt die Änderung des Passworts durch, verifiziert sie durch eine erneute Anmeldung und hinterlegt das neue Passwort als ab sofort gültiges im Vault.

Ein Webfrontend, das sich mit jedem beliebigen Internet-Browser über HTTPS nutzen lässt, ermöglicht die intuitive und schnelle Abfrage beziehungsweise Nutzung eines Passworts. Nach erfolgreicher Authentifikation und gegebenenfalls einem optionalen Genehmigungsprozess kann sich der Anwender die für ihn freigegebenen Passwörter anzeigen lassen. Zudem kann er sich gleich direkt mit den jeweiligen Accounts auf den Zielsystemen verbinden lassen, ohne dass er ein Passwort eingeben muss. Da der Nutzer das Passwort so überhaupt nicht mehr zu sehen bekommt, erhöht sich die Sicherheit weiter.

Eine weitere Komponente der Lösung ist der „Privileged Session Manager“. Er sichert und überwacht Zugriffe auf privilegierte Zugänge nicht nur im Hinblick auf das „Wer“, sondern auch auf das „Was“. Mit einer durchgängigen Protokollierung der Sessions sind alle Vorgänge bei privilegierten Zugriffen transparent und vollständig nachvollziehbar. Sämtliche Protokolle werden dabei im Vault archiviert. So sind alle Aktionen vom Zeitpunkt der Anmeldung am System bis zur Abmeldung revisionssicher aufgezeichnet.

Lesen Sie auf der nächsten Seite weiter.

Die Administratorenpasswörter von rund 150 Server-Systemen wird die FH Salzburg künftig mit ihrer CyberArk-Lösung sichern und verwalten
Die Administratorenpasswörter von rund 150 Server-Systemen wird die FH Salzburg künftig mit ihrer CyberArk-Lösung sichern und verwalten
(Bild: FH Salzburg)

Im Livebetrieb

Bei der Einführung der Lösung verzichtete die FH Salzburg auf einen Testbetrieb im eigentlichen Sinne. Stattdessen banden Dr. Mitteregger und seine Kollegen gleich drei ausgewählte Serversysteme an die Lösung an und überzeugten sich direkt im Livebetrieb von der Leistungsfähigkeit, der einfachen Nutzung und der Zuverlässigkeit der Software. In einem zweiten Schritt migrierten sie dann die unkritischen Systeme auf CyberArk, derzeit werden in einem dritten Schritt auch die kritischen Serversysteme an die Lösung angebunden.

Die Implementierung führt die FH Salzburg weitestgehend in Eigenregie durch. Eine individuelle Anpassung der Software war bislang nicht nötig, so dass die Hochschule sie „Out of the Box“ nutzen kann. Die Mitarbeiter werden durch Individualeinweisungen im Team mit der Lösung vertraut gemacht, eine kurze Dokumentation der IT-Abteilung klärt über die wichtigsten Themen und Fragen auf.

Die anfänglichen Bedenken einiger Mitarbeiter konnten schnell ausgeräumt werden: „Im Vergleich zu früher schränken wir mit der neuen Lösung die Zugriffsrechte der IT-Mitarbeiter ein, was zunächst ihre Akzeptanz etwas beeinträchtigte. Als Wissensorganisation haben wir im Gegensatz zu einem Unternehmen eine sehr kooperative Führungskultur“, erläutert der IT-Leiter. „Deshalb müssen wir hier sehr sensibel vorgehen. Mittlerweile sind aber alle restlos von dem neuen System überzeugt, weil sie die große Vereinfachung erlebt haben, die es mit sich bringt. Das Projekt hat dadurch noch einmal an Fahrt aufgenommen, so dass jede Woche ein neues Zielsystem dazukommt.“

So sind von den insgesamt rund 150 Serversystemen der FH Salzburg mittlerweile knapp 50 an CyberArk angebunden, etwa 150 Administratorenpasswörter liegen derzeit im Vault. Primäres Ziel der Hochschule ist es, zunächst sämtliche Windows-Systeme auf die neue Lösung zu migrieren, später sollen dann auch die UNIX/Linux-Systeme folgen. Derzeit arbeiten rund 20 Mitarbeiter der IT-Abteilung mit der Lösung, ihre Ausweitung auf weitere Abteilungen ist aber bereits angedacht – und wird laut Dr. Mitteregger von diesen auch aktiv nachgefragt.

Zertifizierung geplant

„Für mich war die Ablage von Passwörtern im abgesicherten IT-Abteilungsinternen Wiki ein gewisses Risiko, das sich durch CyberArk nun in Luft aufgelöst hat“, so Mittereggers Fazit. „Wir verfügen jetzt über ein sicheres und zuverlässiges Benutzermanagement für die Administratorenkonten, das den Vorgaben der ISO-Norm 27001 entspricht, nach der wir uns demnächst zertifizieren lassen wollen.“ Neben der Risikominimierung profitieré die FH Salzburg aber auch an vielen Stellen von optimierten Prozessen. So vereinfache etwa der „One Click“-Zugriff über die Weblinks den Zugang zu den Serversystemen ganz erheblich. Und die Fähigkeit, Sessions aufzuzeichnen, mache beispielsweise die Fehlersuche deutlich einfacher, weil dazu nun nicht mehr umständlich die Logfiles durchgesehen werden müssen.

Bei externen Wartungsarbeiten an Anwendungen können darüber hinaus nun die Fachabteilungen den Dienstleistern selbstständig einen Zugriff zur Verfügung stellen, der alle ihre Aktivitäten aufzeichnet. Für Dr. Mitteregger einer der größten Vorteile überhaupt: „Das ist eine riesige Erleichterung, weil ich dazu nun nicht mehr jedes Mal einen IT-Mitarbeiter abstellen muss. Die Personalabteilung beispielsweise kann nun Support von außen in Anspruch nehmen, ohne dass dadurch die Ressourcen der IT-Abteilung belastet werden.“

(ID:43436020)