08.06.2009 – Kategorie: IT

Application Accounts sind unbeachtetes Sicherheitsrisiko

In Anwendungen, Skripten oder Konfigurationsdateien gespeicherte Passwörter sind nach Meinung von Sicherheitsexperte Cyber-Ark in der Regel nur unzureichend geschützt. Im Unterschied zu privilegierten Accounts, die von Administratoren und damit Personen genutzt werden, greifen Applikationen automatisch auf Backend-Systeme zu, die eine Authentisierung erfordern. In der Regel werden solche Software-Account-Passwörter im Code, in Skripten oder in Config-Files auf dem Anwendungsserver bereitgestellt. Das ist mit einer Vielzahl von Risiken verbunden, da die Passwörter in der Regel nie geändert werden, fast immer im Klartext vorliegen und einer groß;en Anzahl an Usern wie Systemadministratoren und Entwicklern zugänglich sind. Das bedeutet auch, dass ein nahezu unüberschaubarer Personenkreis eine Zugriffsmöglichkeit auf unternehmenskritische Datenbestände hat.

Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: „Bei der Absicherung unternehmenskritischer Daten gegenüber einem unbefugten Zugriff wird ein Teilaspekt in der Regel völlig vernachlässigt. Über 40 Prozent der von uns kürzlich befragten Unternehmen haben erklärt, dass sie eingebettete Application-Passwörter niemals ändern. Das ist eine klare Verletzung gültiger Compliance-Vorschriften. Im Hinblick auf die Speicherung von Kreditkarten-Transaktionen verstöß;t dies zum Beispiel auch eindeutig gegen die PCI-Regelungen. Mit unserem Application Identity Manager steht nun eine kostengünstige Lösung zur Verfügung, mit der diese unternehmenskritischen Zugangsdaten automatisch und sicher verwaltet werden können.“

Info: http://www.cyber-ark.com/

Teilen Sie die Meldung „Application Accounts sind unbeachtetes Sicherheitsrisiko“ mit Ihren Kontakten: