Cyber-Ark: Passwörter haben im Programmcode von Applikationen nichts zu suchen

25.08.2010 | Heilbronn
Frei zugängliche Passwörter, die in Anwendungen, Skripten oder Konfigurationsdateien gespeichert sind und einen automatischen Zugriff auf Backend-Systeme ermöglichen, bergen nach Meinung von Sicherheitsexperte Cyber-Ark ein erhebliches Sicherheitsrisiko. Sie sollten auf jeden Fall eliminiert und durch eine Lösung ersetzt werden, die eine automatische Verwaltung und Änderung von Applikationspasswörtern ermöglicht.

Im Bereich Passwort-Management beschäftigen sich nach Cyber-Ark-Erfahrung heute viele Unternehmen mit dem Thema "privilegierte Administratoren-Accounts". Gänzlich unbeachtet bleiben aber meistens die Bereiche Application-to-Application- und Application-to-Database-Accounts. Die Passwörter, die hier im Programmcode, in Skripten oder Konfigurationsdateien eingebettet sind, ermöglichen eine automatische Verbindung zu einer anderen Applikation oder Datenbank. Diese Passwörter liegen in der Regel im Klartext vor und werden selten oder nie geändert. Denn ein manuelles Passwortmanagement wäre hier sehr zeitaufwändig und zudem fehlerbehaftet. Zur Änderung dieser hart kodierten Passwörter müsste der Programmcode umgeschrieben werden, was unweigerlich zu einem kurzzeitigen Ausfall geschäftskritischer Anwendungen führen würde.

Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: "42 Prozent der von uns befragten Unternehmen geben an, ihre im Programmcode hinterlegten Passwörter für Anwendungen oder Stapelverarbeitungen nie zu ändern. Solche mangelhaft verwalteten Anwendungspasswörter stellen jedoch ein gravierendes Sicherheitsrisiko dar. Außerdem werden bei einer solchen Praxis ganz klar Compliance-Richtlinien verletzt."

Unter Sicherheitsaspekten sind Software-Account-Passwörter im Klartext problematisch, da sie in der Regel einer großen Anzahl an Usern wie Systemadministratoren und Entwicklern - aber auch Ex-Mitarbeitern und ehemaligen Subunternehmen - zugänglich sind. Das bedeutet auch, dass ein nahezu unüberschaubarer Personenkreis eine Zugriffsmöglichkeit auf unternehmenskritische Datenbestände hat.

Aber auch Default-Passwörter können zum Problem werden. Koehler erklärt: "Wenn es um die Sicherung von Application- oder Software-Accounts geht, darf man auch die Default-Passwörter nicht außer Acht lassen, die - zum Teil unerkannt - in den Systemen vorhanden und manchmal nur dem Software-Hersteller bekannt sind. Die Gefahr, die von solchen Passwörtern ausgeht, hat der Trojaner Stuxnet und sein groß angelegter Computer-Angriff auf Industrieanlagen mit Siemens-Software vor kurzem deutlich gezeigt."

Wird kein striktes Passwortmanagement bei den Software-Accounts durchgeführt, werden auch Sicherheitsanforderungen verletzt. Laut Cyber-Ark sind gerade hart kodierte Passwörter im Klartext häufig der Grund, dass Unternehmen Revisionen nicht bestehen. So verpflichtet beispielsweise der Payment Card Industry Data Security Standard Unternehmen zur Einführung sicherer Systeme und Anwendungen, zum Entfernen von Benutzernamen und Passwörtern aus dem Programmcode sowie zur Umsetzung umfassender Zugangskontroll- und Authentifizierungsmechanismen für Systeme, die auf Kreditkartendaten zugreifen.

Die einzig sinnvolle Lösung für diese Problematik ist nach Cyber-Ark die Eliminierung eingebetteter Passwörter in Applikationen und die Implementierung einer Lösung, die eine automatische Verwaltung und sichere Abfrage von Applikationspasswörtern bietet.

Cyber-Ark hat für diese Anforderung den Application Identity Manager entwickelt. Mit dieser Lösung müssen Zugangsdaten nicht mehr in Anwendungen, Skripten oder Konfigurationsdateien gespeichert werden, sondern können zentral im patentierten Digital Vault (digitalen Datentresor) von Cyber-Ark abgelegt, überprüft und verwaltet werden. Bestandteil der Application-Identity-Management-Lösung ist der Application Password Provider, ein lokaler Caching-Proxy auf den Applikationsservern, der die Passwörter aus dem Vault abruft, sie verschlüsselt speichert und bereitstellt, wenn sie von der jeweiligen Anwendung benötigt werden. Dadurch bleiben die Anwendungen weiterhin - unabhängig von der Verfügbarkeit und Erreichbarkeit des zentralen Passwortspeichers - hochperformant, während die Unternehmenssicherheit deutlich verbessert wird.

Quelle: Pressemeldung Cyber-Ark Software Ltd.

Dieser Beitrag wurde bisher 157 mal gelesen.
(Rang 310 auf team-biz.de)