Account Handler: Wie Privileged Access Management das IAM erweitert
Wie lassen sich privilegierte Zugänge sicher verwalten, ohne bestehende IAM-Strukturen aufzubrechen? Ein Account Handler ermöglicht den sicheren Zugriff auf privilegierte Systeme ohne Passwortkenntnis. Temporär aktivierte Konten aus einem Pool erhalten bedarfsgerecht Admin-Rechte und werden nach Nutzung automatisch zurückgesetzt, deaktiviert und entzogen.
In Zeiten zunehmender Cyberangriffe und steigender regulatorischer Anforderungen ist die sichere Verwaltung privilegierter Zugänge zu IT-Systemen wichtiger denn je. Besonders im Enterprise Umfeld, in denen Administratorrechte über viele Systeme hinweg vergeben werden, sind Lösungen gefragt, die nicht nur sicher, sondern auch flexibel und skalierbar sind.
In der Praxis zeigt sich dieser Bedarf konkret: Bei jedem Mitarbeiterwechsel oder Rollenwechsel der Mitarbeiter müssen Admin-Rechte neu vergeben oder entzogen werden, Service-Accounts benötigen über ihren gesamten Lebenszyklus einen eindeutigen Eigentümer und bei Prüfungen nach MaRisk oder BAIT muss die Vergabe privilegierter Rechte lückenlos nachvollziehbar sein. Jede dieser Anforderungen einzeln zu lösen, bindet in vielen Instituten dauerhaft Kapazitäten in IT und Compliance.
Zurzeit besteht das Problem: Viele Privileged-Access-Management-Systeme (PAM) werden nur als umfassende Komplettlösungen oder als umfangreiche Komponentenpakete angeboten, was ihre Integration in bestehende Identity-Access-Management-Systeme (IAM) erschwert. Genau hier setzt unsere Lösung an: ein modularer Account Handler, der sich in bestehende IAM-Strukturen unabhängig vom Hersteller oder der vorhandenen Infrastruktur integrieren lässt.
Was ist ein PAM-System und wie ergänzt es IAM?
Privileged Access Management (PAM) ist ein Sicherheitsansatz zur Verwaltung und Kontrolle von Benutzerkonten mit besonders hohen Rechten, etwa Admin-, Root- oder Servicekonten. Diese privilegierten Accounts sind für den Betrieb essenziell, stellen jedoch ein erhebliches Sicherheitsrisiko dar, wenn sie kompromittiert werden.
In vielen Systemen verfügen Administratoren über einen zusätzlichen Admin-Account oder erhalten auf ihren regulären Benutzerkonten erweiterte Rechte. Diese privilegierten Konten erhöhen die Angriffsfläche auf die Systeme.
Ein PAM-System kann mit folgenden Maßnahmen Risiken minimieren:
- Reduktion der Anzahl privilegierter Konten
- Zeitlich begrenzte Rechtevergabe
- Protokollierung aller Aktivitäten
- Regelmäßige Passwortrotation
PAM ist dabei keine Konkurrenz zum Identity and Access Management (IAM), sondern dessen gezielte Erweiterung. Während IAM-Systeme alle Benutzeridentitäten verwalten und deren Zugriffe auf allgemeine Ressourcen steuern, fokussiert sich PAM auf besonders schützenswerte, kritische Konten. Gemeinsam sorgen beide Systeme für umfassende Sicherheit und Kontrolle in modernen IT-Umgebungen.
Account Handler – die smarte Steuerzentrale im PAM-Kontext
Unsere Lösung für einen Account Handler schlägt die Brücke zwischen Benutzeranforderungen und sicherem Zugriff auf privilegierte Konten. Diese zentrale Steuerkomponente verarbeitet Zugriffsanfragen, identifiziert benötigte Ressourcen und stellt die erforderlichen Rechte bereit, ohne dass Nutzer Passwörter oder direkte Zugangsdaten erhalten.
Dazu nutzt das System einen Account-Pool mit deaktivierten Konten. Erst bei einer konkreten Anfrage werden einem Account temporär die nötigen Admin-Rechte zugewiesen. Der Benutzer meldet sich automatisiert am Zielsystem an, ohne zu wissen, welcher Account gerade verwendet wird oder welches Passwort dieser besitzt.
Nach Abschluss der Tätigkeit oder Ablauf der definierten Zeitspanne wird der Account entzogen, zurückgesetzt und erneut deaktiviert. Ein erneuter Zugriff ist erst nach einer neuen Anforderung möglich. So entsteht eine vollständige Entkopplung zwischen Benutzer und Zugang. Die dynamische, kontextbasierte Rechtevergabe bietet Transparenz und Sicherheit.
Modularität und universelle Einsetzbarkeit
Das Herzstück unseres Ansatzes ist seine modulare Architektur. Über Adapter lässt sich der Account Handler an verschiedene IAM-Systeme anbinden. Diese Adapter fungieren als Schnittstellen, die Daten aus den Zielsystemen extrahieren, vereinheitlichen und dem Account Handler zur Verfügung stellen.
Der Nutzer erhält nie direkten Zugriff auf Passwörter oder Konten. Stattdessen baut das System im Hintergrund eine sichere Verbindung zum Zielsystem auf. Der Zugriff erfolgt automatisiert, zeitlich begrenzt und ohne manuelle Interaktion.
Dank seiner Flexibilität lässt sich unser Prototyp sowohl in klassische als auch in hybride oder heterogene IT-Landschaften integrieren, unabhängig davon, welches IAM- und IT-Service Management System (ITSM) bereits im Einsatz sind. Die Kombination aus Sicherheit, Kontrolle und Anpassungsfähigkeit unterstützt damit eine flexible, nachvollziehbare Verwaltung privilegierter Zugriffe.
Abbildung: Beispielhafte Einbindung des Account Handlers (zum Vergrößern auf das Bild klicken)
Fazit
Für Finanzinstitute bedeutet die Integration eines PAM-Systems in eine bestehende IAM-Landschaft meist ein Integrationsproblem, da die meisten Lösungen nur als Komplettlösungen vorhanden sind, was auch einen Austausch bei Verbundenen Systemen bedeuten würde. Ein modularer Account Handler verkleinert dieses Problem. Er lässt sich über Adapter an die vorhandene Infrastruktur anbinden, anstatt sie zu ersetzen. Für die Praxis bedeutet es, dass Zugriffsprozesse nachvollziehbar bleiben und die Architektur mit neuen Zielsystemen mitwachsen kann, ohne dass bei jeder Erweiterung neu verhandelt werden muss.


