09. Juni 2009
In Anwendungen, Skripten oder Konfigurationsdateien gespeicherte Passwörter sind nach Meinung des Sicherheitsanbieters Cyber-Ark in der Regel nicht nur unzureichend geschützt, sondern sorgen auch durch ihre lange Lebensdauer für heikle Schwachstellen beim Schutz von Unternehmensdaten.
Anders als privilegierte Accounts, die von Administratoren und damit Personen genutzt werden, greifen Applikationen meist automatisch auf Backend-Systeme zu, die eine Authentifizierung erfordern. Normalerweise werden die hierfür notwendigen Software-Account-Passwörter im Code, in Skripten oder in Config-Files auf dem Anwendungsserver bereitgestellt. Dieses Vorgehen ist mit einer Vielzahl von Risiken verbunden, nicht nur, weil solche Passwörter fast immer im Klartext vorliegen, sondern auch weil sie praktisch nie geändert werden und einer großen Anzahl an Benutzern – etwa Systemadministratoren und Entwicklern – zugänglich sind. Damit erhalte häufig ein nahezu unüberschaubarer Personenkreis Zugriffsmöglichkeiten auf unternehmenskritische Datenbestände.
Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: "Bei der Absicherung unternehmenskritischer Daten gegenüber unbefugtem Zugriff wird dieser Teilaspekt in der Regel völlig vernachlässigt. Über 40 % der von uns kürzlich befragten Unternehmen haben erklärt, dass sie eingebettete Application-Passwörter niemals ändern. Das ist eine klare Verletzung gültiger Compliance-Vorschriften. Im Hinblick auf die Speicherung von Kreditkarten-Transaktionen verstößt dies zum Beispiel eindeutig gegen die PCI-Regelungen." Als Abhilfe kommen neben organisatorischen Maßnahmen auch Lösungen zum automatisierten Passwort- und Identity-Management in Betracht.