Company News

25. Aug 2010

Cyber-Ark: Passwörter haben im Programmcode von Applikationen nichts zu suchen

Im Bereich Passwort-Management beschäftigen sich nach Cyber-Ark-Erfahrung heute viele Unternehmen mit dem Thema ”privilegierte Administratoren-Accounts”. Gänzlich unbeachtet bleiben aber meistens die Bereiche Application-to-Application- und Application-to-Database-Accounts. Die Passwörter, die hier im Programmcode, in Skripten oder Konfigurationsdateien eingebettet sind, ermöglichen eine automatische Verbindung zu einer anderen Applikation oder Datenbank. Diese Passwörter liegen in der Regel im Klartext vor und werden selten oder nie geändert. Denn ein manuelles Passwortmanagement wäre hier sehr zeitaufwändig und zudem fehlerbehaftet. Zur Änderung dieser hart kodierten Passwörter müsste der Programmcode umgeschrieben werden, was unweigerlich zu einem kurzzeitigen Ausfall geschäftskritischer Anwendungen führen würde.

Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: „42 Prozent der von uns befragten Unternehmen geben an, ihre im Programmcode hinterlegten Passwörter für Anwendungen oder Stapelverarbeitungen nie zu ändern. Solche mangelhaft verwalteten Anwendungspasswörter stellen jedoch ein gravierendes Sicherheitsrisiko dar. Außerdem werden bei einer solchen Praxis ganz klar Compliance-Richtlinien verletzt.”

Unter Sicherheitsaspekten sind Software-Account-Passwörter im Klartext problematisch, da sie in der Regel einer großen Anzahl an Usern wie Systemadministratoren und Entwicklern - aber auch Ex-Mitarbeitern und ehemaligen Subunternehmen - zugänglich sind. Das bedeutet auch, dass ein nahezu unüberschaubarer Personenkreis eine Zugriffsmöglichkeit auf unternehmenskritische Datenbestände hat.

Aber auch Default-Passwörter können zum Problem werden. Koehler erklärt: ”Wenn es um die Sicherung von Application- oder Software-Accounts geht, darf man auch die Default-Passwörter nicht außer Acht lassen, die - zum Teil unerkannt - in den Systemen vorhanden und manchmal nur dem Software-Hersteller bekannt sind. Die Gefahr, die von solchen Passwörtern ausgeht, hat der Trojaner Stuxnet und sein groß angelegter Computer-Angriff auf Industrieanlagen mit Siemens-Software vor kurzem deutlich gezeigt.”

Wird kein striktes Passwortmanagement bei den Software-Accounts durchgeführt, werden auch Sicherheitsanforderungen verletzt. Laut Cyber-Ark sind gerade hart kodierte Passwörter im Klartext häufig der Grund, dass Unternehmen Revisionen nicht bestehen. So verpflichtet beispielsweise der Payment Card Industry Data Security Standard Unternehmen zur Einführung sicherer Systeme und Anwendungen, zum Entfernen von Benutzernamen und Passwörtern aus dem Programmcode sowie zur Umsetzung umfassender Zugangskontroll- und Authentifizierungsmechanismen für Systeme, die auf Kreditkartendaten zugreifen.

Die einzig sinnvolle Lösung für diese Problematik ist nach Cyber-Ark die Eliminierung eingebetteter Passwörter in Applikationen und die Implementierung einer Lösung, die eine automatische Verwaltung und sichere Abfrage von Applikationspasswörtern bietet.

Cyber-Ark hat für diese Anforderung den Application Identity Manager entwickelt. Mit dieser Lösung müssen Zugangsdaten nicht mehr in Anwendungen, Skripten oder Konfigurationsdateien gespeichert werden, sondern können zentral im patentierten Digital Vault (digitalen Datentresor) von Cyber-Ark abgelegt, überprüft und verwaltet werden. Bestandteil der Application-Identity-Management-Lösung ist der Application Password Provider, ein lokaler Caching-Proxy auf den Applikationsservern, der die Passwörter aus dem Vault abruft, sie verschlüsselt speichert und bereitstellt, wenn sie von der jeweiligen Anwendung benötigt werden. Dadurch bleiben die Anwendungen weiterhin - unabhängig von der Verfügbarkeit und Erreichbarkeit des zentralen Passwortspeichers - hochperformant, während die Unternehmenssicherheit deutlich verbessert wird.

Über Cyber-Ark

Das 1999 gegründete Unternehmen Cyber-Ark ist Marktführer im Bereich „Privileged Identity Management“. Cyber-Ark entwickelt und vertreibt auf Basis der patentierten Vaulting-Technologie Software-Lösungen zur Sicherung von vertraulichen und geheimen Informationen wie zum Beispiel Forschungsergebnissen, Finanzdaten oder Passwörtern von IT-Administratoren. Der Hauptsitz des Unternehmens befindet sich in Newton (Massachusetts, USA). In Deutschland ist Cyber-Ark seit 2008 mit einer eigenen Niederlassung vertreten.

Weitere Informationen:

Cyber-Ark Software Ltd.
Jochen Koehler
Director of Sales DACH
Tel. +49-7131-6441095
Fax +49-7131-6441096
jochen.koehler@cyber-ark.com
www.cyber-ark.com

PR-COM GmbH
Susanne Koerber
Account Manager
Tel. +49-89-59997-758
Fax +49-89-59997-999
susanne.koerber@pr-com.de
www.pr-com.de