CRM, Digitale Transformation, Interviews

Interview: Ist Automatisierung in der IT automatisch sicher?

Im Vorfeld des Digitalsummit ScaleUp 360° IT Infrastructure & Operations hat we.CONECT Global Leaders mit Fabian Hotarek, Senior Sales Engineer bei CyberArk über die Automatisierung in der IT als einer der Schlüssel zur Optimierung auf dem Weg in die digitale Transformation gesprochen

we.CONECT: Zuerst würde ich Sie bitten, sich und Ihr Unternehmen für unsere Teilnehmer kurz vorzustellen.

Fabian Hotarek: CyberArk ist der globale Marktführer für Privileged Access Management und bietet eine kritische Schicht für IT-Sicherheit zum Schutz von Daten, Infrastruktur und Ressourcen im Unternehmen, in der Cloud und in der DevOps-Pipeline. CyberArk liefert die branchenweit kompletteste Lösung zur Minderung von Risiken im Zusammenhang mit privilegierten Anmeldeinformationen und vertraulichen Zugangsdaten. Weltweit führende Unternehmen, darunter mehr als 50 Prozent der Fortune-500-Firmen, vertrauen auf CyberArk zum Schutz vor externen Angreifern und böswilligen Insidern.

Seit über einem Jahrzehnt ist CyberArk der Marktführer für Lösungen zum Schutz vor Cyberangriffen, die unter dem Deckmantel von Insider-Privilegien operieren und auf kritische Unternehmensdaten abzielen. Nur CyberArkbietet eine neue Kategorie zielgerichteter Sicherheitslösungen an, mit denen Unternehmen nicht nur auf Cybergefahren reagieren können, sondern ihnen immer einen Schritt voraus sind. So wird die Eskalation von Angriffen verhindert, bevor der geschäftliche Schaden irreparabel wird.

Mit Niederlassungen und autorisierten Partnern in aller Welt steht CyberArk mehr als 6.000 globalen Unternehmen zur Seite – darunter:
– mehr als die Hälfte der Fortune 500 als Kunden
– Mehr als ein Drittel der Global 2000

CyberArk hat Büros in den USA, Israel, Großbritannien, Singapur, Australien, Frankreich, Deutschland, Italien, Japan, den Niederlanden, Spanien und in der Türkei.

we.CONECT: Die Automatisierung in der IT gilt als ein essenzielles Tool auf dem Weg in die digitale Transformation. Wenn Sie auf die deutschsprachige Unternehmenslandschaft schauen – wie etabliert ist die Automatisierung bereits in den Firmen?

Fabian Hotarek: Der Begriff „Automatisierung“ ist ein weit dehnbarer und vielfältig interpretierbarer Begriff. Auch die Nutzung von enfachen Stapelverarbeitungsjobs (Batch Jobs) ist eine einfache Form der Automatisierung. Was sich aber in den letzten fünf Jahren in der IT massive verändert hat ist, dass sich die Zahl der aktiven IT-Systemen in einem Unternehmen nicht mehr wirklich punktgenau bestimmen lässt. Durch den Einsatz von Virtualisierungslösungen, Containerisierung oder Microservices aber auch durch rapide steigende Benutzerzahlen im Bereich der menschlichen Anwender lassen sich administrative Operationen schlicht nicht mehr manuell in den gegeben Größenordnungen umsetzen. Hinzu kommt, dass durch einen sehr großen Abstraktionsgrad und hohe Komplexität viele neue Technologien z.B. im Bereich der Microservices gar keine interaktiven Schnittstellen mehr bieten und programmatischer, automatisierter Zugriff auf diese Services und Systeme ein Muss ist. Diesem Trend bzw. diesen geltenden Anforderungen kann sich heute nahezu kein Unternehmen entziehen und man kann durchaus behaupten, dass alle (größeren) Unternehmen sich mit dem Thema Automatiserung in der IT bereits auseinandersetzen bzw. diese aktiv nutzen. Es bleibt allerdings die Frage, in wie fortgeschritten der Automatisierungsgrad in den jeweiligen Unternehmen bereits ist und in wie weit das Thema „Absicherung und umfassender Schutz von Automatisierungslöungen“ addressiert wird. Gerade im Zusammenhnag mit der Nutzung privilegierter Zugägne im Zusammenhang mit Automatisierung in der IT gibt es noch viel Nachholbedarf.

we.CONECT: Die zunehmende Automatisierung verursacht dem ein oder anderen Sicherheitsexperten Bauchschmerzen. Wie groß ist das Risiko für die Sicherheit von IT-Systemen, wenn Maschinen privilegierte Zugänge zu Systemen erhalten?

Fabian Hotarek: Privilegierte Accounts sind in dern Händen von Menschen, wie auch bei der Nutzung durch Automatisierungsprozess schlagkräftige und risikobehaftete Werkzeuge, der Nutzung kontrolliert und kontrollierbar sein muss. Es mag paradox klingen, aber generell steckt in der Automatisierung von IT-Administration sehr viel Potential steckt, den Schutz von Daten und System zu erhöhen. Eine Automatisierungsroutine macht was sie soll bzw. wofür sie gebaut wird. Ein „Ausbrechen“ oder das Ausführen zusätzlicher, nicht vorgesehener oder nicht gewünschter Aktionen auf den Zielsystemen finden nicht statt. Voraussetzung ist natürlich, dass der Automatisierungsprozess korrekt definiert wurde und mit Fehlerzuständen umgehen kann, aber eben auch, dass Automatisierungsprozesse nicht von Dritten mißbraucht werden können. Hier sehen wir natürlich in erster Linie den Mißbrauch durch Menschen, die eine Automatisierungslösung fremdsteuern bzw. für ihre Zwecke mißbrauchen und es stellt sich nun die Frage und die Herausforderung, wie schwer man es einem Anwender macht eine Automatisierungslösung zu mißbrauchen und für weitere unerwünschte Aktionen zu nutzen. Im einfachsten Fall kann die Automatisierungsroutine um weitere Schritte und Aktionen erweitert werden, d.h. die Integrität der Routine wird gestört und das Programm macht viel mehr (oder weniger) als es soll.
Zurückkommend auf die privilegierten Account heißt das, dass erforderliche Anmeldeinformationen nicht schlicht im Klartext im „Automatisierungsprogramm“ oder in einem schlecht gesicherten Speicher (Credential Store) hinterlegt sind. Das öffnet Tür und Tor für weitere Zugriffe und Aktionen durch den Mißbrauchenden. Denken Sie z.B. ein Passwort für die Anmeldung an einer Datenbank oder einen Server, das in der Klartextdefinition, dem Programm einer Automatisierungsroutine steht. Dieses Passwort könnte nur direkt von einem Menschen gegen die Datenbank verwendet werden, im Kontext und den Berechtigungen, die der Automatisierungsroutine für ganz andere Zwecke zugestanden werden. Das Problem ist nicht die Nutzung von privilegierten Zugängen durch Maschinen, sondern deren oftmals unzureichende Absicherung und hier vorallem der Schutz von privilegierten Zugangsdaten.

we.CONECT: Welche Ansätze zur Sicherung automatisierter IT sind Ihrer Meinung nach am vielversprechendsten?

Fabian Hotarek: Neben grundlegenden Anforderungen wie eingeschränkter, kontrollierter Zugriff auf die Automatisierungsplattform und der Sicherstellung der Integrität der Automatisierungsroutinen (Programme) kommt dem „Secrets Management“ bei der Automatisierung eine besondere Beudetung zu. Mit „Secrets Management“ beschreibt man die Umsetzung einer technischen Lösung zum Zugriffsschutz auf privilegierte Anmeldeinformationen wie Passwörter, SSH Keys, API Keys, etc. bei die Anmeldeinformationen entkoppelt von eigentlich Programm und Tool, hier also der Automatisierungslösung gespeichert und geschützt werden. Benötigt eine Automatisierungsroutine ein “Secret“ stellt die Secrets Management Lösung eine Schnittstelle wie z.B. eine API bereit und die Anmeldeinformationen werden erst zur Laufzeit der Routinen, quasi Just-in-Time an die Automatisierungsjobs übergeben. Mit diesem Ansatz wird es auch möglich, die Secrets regelmäßig zu rotieren, das das zur Laufzeit anfragende Programm das immer dann gültige „Secret“ bekommt und dieses nicht mehr im Quellcode stehen.

we.CONECT: Im Rahmen der ScaleUp 360° IT Infrastructure & Operations halten Sie einen Vortrag zum Thema „Ist Automatisierung in der IT automatisch sicher?“ – können Sie kurz erläutern, auf welche Aspekte Sie sich im Vortrag besonders konzentrieren werden?

Fabian Hotarek: Wie sich bereits herauskristalisiert hat, ist Automatisierung ein weit dehnbarer Begriff, sodass ich innerhalb des Vortrags zuerst auf die Herausforderungen der heutigen Automatisierungslandschaft mit den Umgang von priviligierten Zugangsinformationen eingehe. Darauf aufbauend führe ich die Teilnehmer durch die Grundlagen der Entkopplung von Secrets innerhalb von Applikationen, Automatisierungs-Tools, Skripten und Containerisierung bis wir zu speziefischen Beispielen der Integration mit der CyberArk Plattform kommen, damit sich automatisierte Prozesse zur Laufzeit mit den richtigen Secrets selbst versorgen. Die weite Spanne an Integrationsmöglichkeiten führt meist zu einer Herausforderung in der Herangehensweise und Planung. Somit werde ich zum Ende des Vortrag mit bewährten Best Practices abschließen, welche Automatisierungen leicht und schnell mit einer Secrets Management Lösung integrierbar sind und welche durchaus mehr Aufwand und Planung bedarf. Ich freue mich auf zahlreiche Teilnehmer und daraus resultierende Fragen und aufkommende Projekte.

we.CONECT: Vielen Dank für das Interview!

Für tiefere Einsichten zum Thema, nehmen Sie am ScaleUp 360° IT Infrastructure & Operations teil:

Der Digitalsummit für IT Entscheider zu Konzepten und Lösungen im praktischen Umgang mit hybriden Umgebungen sowie zum Einsatz von Virtualisierungs- und Software-Defined-Technologien zur Transformation von Infrastrukturen.