Aktuelles

19. Juni 2019

Sichere Authentifizierung von Robotern mittels PAM

Einleitung

Im Zuge der digitalen Transformation in den Unternehmen werden eine Vielzahl von Aufgaben heute schon durch Automaten/Roboter erledigt. Diese Roboter – auch kurz ‚Bots‘ genannt – sind häufig Computerprogramme, die wiederholende Aufgaben ohne menschliche Interaktion automatisch abarbeiten. In diesem Kontext ist es meistens notwendig auf Fremdsysteme zuzugreifen, um z.B. geeignete Informationen für den aktuellen Bearbeitungsschritt zu sammeln. Hierfür werden spezielle Accounts verwendet, die Abhängig von der Anzahl der Bots, nicht mehr manuell durch einen Administrator verwaltet werden können. Weiterhin erfolgen die Zugriffe in vielen Fällen über sogenannte Shared Accounts bzw. Built-In Accounts. Shared Accounts sind Benutzerkonten, die von mehreren Personen genutzt werden. Demzufolge kennen alle Beteiligten Kennung und Passwort eines solchen Accounts, was ein Sicherheitsrisiko darstellt. Als Built-In Accounts bezeichnet man Accounts, die z.B. ein Betriebssystem standardmäßig bereitstellt. Hierbei handelt es sich in den meisten Fällen um privilegierte Accounts wie z.B. root (*NIX), Administrator (Windows) oder sysdba (Datenbanken). Die verbreitete Kenntnis der Passwörter dieser Built-In Accounts führt auch zu einem erhöhten Sicherheitsrisiko. Um die Risiken und den manuellen Arbeitsaufwand der Passwortverwaltung zu minimieren, ist der Einsatz eines Privileged Access Management (PAM) Systems eine geeignete Lösung, den Prozess zu automatisieren.

Die meisten Unternehmen verwalten die Stammdaten von Bots mittels einem zentralen Identity und Access Management (IAM) System, welches alle notwendigen Informationen bereitstellt und somit als ein Aktor innerhalb des Password-Verwaltungsprozesses fungiert. Das PAM System wiederum stellt Zwecks Automatisierung eine entsprechende Schnittstelle zur Verfügung.

Ein Password-Verwaltungsprozess für Bots umfasst u.a. die folgenden Use Cases:

  • On-Boarding
  • Password-Wechsel
  • Deaktivierung/Aktivierung
  • Off-Boarding

Diese werden im Folgenden detaillierter beschrieben um Möglichkeiten einer Automatisierung zu verdeutlichen.

Use Case On-Boarding

Einrichtung eines Bots im IAM System mit anschließender Initiierung der Provisionierung (On-Boarding im PAM System. Die entsprechenden Informationen werden aus dem IAM System via Automatisierungsschnittstelle dem PAM System zur Verfügung gestellt und mittels Trigger wird der Prozess im PAM System angestoßen. Das PAM System verifiziert diese Informationen und legt im Anschluss diese verschlüsselt ab. Ab diesem Zeitpunkt kann ein Bot auf das PAM System zugreifen und die entsprechenden Accounts – ohne weitere manuelle Benutzereingriffe – verwenden.

Use Case Password-Wechsel

Basierend auf den Sicherheitsanforderungen (sogenannte Policies) von Unternehmen sollen Passwörter alle x Tage unter Verwendung aller verfügbarer Zeichen (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen) geändert werden. Diese Anforderungen sind initial im PAM System hinterlegt. Im Kontext des Use Case ‚Password-Wechsel‘ ändert das PAM-System die Passwörter der verwalteten Accounts eigenständig auf den Zielsystemen anhand der hinterlegten Policies. Die Bots erhalten somit die aktuellen Passwörter der Accounts via PAM System um den Zugriff auf die Zielsysteme zu gewährleisten. Initiiert wird der Password-Wechsel durch das PAM System ohne weitere manuelle Benutzereingriffe in den Prozess.

Use Case Aktivierung/Deaktivierung

Sollen im PAM System registrierte Bots aktiviert/deaktiviert werden, geschieht dieses erneut mittels IAM System als Aktor/Trigger. Die Bots werden über die Automatisierungsschnittstelle im PAM System aktiviert/deaktiviert. Anschließend können diese nicht mehr bzw. wieder auf das PAM System zugreifen und somit keine Passwörter bzw. Passwörter der Accounts der Zielsysteme erhalten. Die Aktivierung/Deaktivierung innerhalb des PAM System erfolgt ohne weitere manuellen Eingriffe in den Prozess.

Use Case Off-Boarding

Initiator des Prozesses Off-Boarding ist wiederum das vorgelagerte IAM System. Die Bots werden über die Automatisierungsschnittstelle im PAM System gelöscht. Die Bots können im Anschluss nicht mehr auf das PAM System zugreifen und entsprechend keine Passwörter der Zielsysteme erhalten. Wie in allen vorangegangen Use Cases auch erfolgt das Off-Boarding ohne einen manuellen Eingriff in den Prozess.

Fazit

Automatisiertes Passwort-Management ist für Unternehmen ein wirtschaftlicher und deshalb signifikanter Vorteil, wenn eine Vielzahl an Bots eingesetzt werden. Schon im niedrigen dreistelligen Bereich und abhängig von der Häufigkeit des Passwortwechsels reduziert sich der administrative Aufwand – aufgrund der Verringerung der manuellen Prozesseingriffe – auf ein Minimum. Weil außerdem das PAM System als Administrator fungiert, tendiert die Fehleranfälligkeit eines Passwort-Wechsels gegen Null.

<< zurück