Cyber-Ark: Passwörter haben im Programmcode von Applikationen nichts zu suchen
ID: 247228
Heilbronn, 25. August 2010 - Frei zugängliche Passwörter, die in Anwendungen, Skripten oder Konfigurationsdateien gespeichert sind und einen automatischen Zugriff auf Backend-Systeme ermöglichen, bergen nach Meinung von Sicherheitsexperte Cyber-Ark ein erhebliches Sicherheitsrisiko. Sie sollten auf jeden Fall eliminiert und durch eine Lösung ersetzt werden, die eine automatische Verwaltung und Änderung von Applikationspasswörtern ermöglicht.
Jochen Koehler, Deutschland-Chef von Cyber-Ark, betont: „42 Prozent der von uns befragten Unternehmen geben an, ihre im Programmcode hinterlegten Passwörter für Anwendungen oder Stapelverarbeitungen nie zu ändern. Solche mangelhaft verwalteten Anwendungspasswörter stellen jedoch ein gravierendes Sicherheitsrisiko dar. Außerdem werden bei einer solchen Praxis ganz klar Compliance-Richtlinien verletzt."
Unter Sicherheitsaspekten sind Software-Account-Passwörter im Klartext problematisch, da sie in der Regel einer großen Anzahl an Usern wie Systemadministratoren und Entwicklern - aber auch Ex-Mitarbeitern und ehemaligen Subunternehmen - zugänglich sind. Das bedeutet auch, dass ein nahezu unüberschaubarer Personenkreis eine Zugriffsmöglichkeit auf unternehmenskritische Datenbestände hat.
Aber auch Default-Passwörter können zum Problem werden. Koehler erklärt: "Wenn es um die Sicherung von Application- oder Software-Accounts geht, darf man auch die Default-Passwörter nicht außer Acht lassen, die - zum Teil unerkannt - in den Systemen vorhanden und manchmal nur dem Software-Hersteller bekannt sind. Die Gefahr, die von solchen Passwörtern ausgeht, hat der Trojaner Stuxnet und sein groß angelegter Computer-Angriff auf Industrieanlagen mit Siemens-Software vor kurzem deutlich gezeigt."
Wird kein striktes Passwortmanagement bei den Software-Accounts durchgeführt, werden auch Sicherheitsanforderungen verletzt. Laut Cyber-Ark sind gerade hart kodierte Passwörter im Klartext häufig der Grund, dass Unternehmen Revisionen nicht bestehen. So verpflichtet beispielsweise der Payment Card Industry Data Security Standard Unternehmen zur Einführung sicherer Systeme und Anwendungen, zum Entfernen von Benutzernamen und Passwörtern aus dem Programmcode sowie zur Umsetzung umfassender Zugangskontroll- und Authentifizierungsmechanismen für Systeme, die auf Kreditkartendaten zugreifen.
Die einzig sinnvolle Lösung für diese Problematik ist nach Cyber-Ark die Eliminierung eingebetteter Passwörter in Applikationen und die Implementierung einer Lösung, die eine automatische Verwaltung und sichere Abfrage von Applikationspasswörtern bietet.
Cyber-Ark hat für diese Anforderung den Application Identity Manager entwickelt. Mit dieser Lösung müssen Zugangsdaten nicht mehr in Anwendungen, Skripten oder Konfigurationsdateien gespeichert werden, sondern können zentral im patentierten Digital Vault (digitalen Datentresor) von Cyber-Ark abgelegt, überprüft und verwaltet werden. Bestandteil der Application-Identity-Management-Lösung ist der Application Password Provider, ein lokaler Caching-Proxy auf den Applikationsservern, der die Passwörter aus dem Vault abruft, sie verschlüsselt speichert und bereitstellt, wenn sie von der jeweiligen Anwendung benötigt werden. Dadurch bleiben die Anwendungen weiterhin - unabhängig von der Verfügbarkeit und Erreichbarkeit des zentralen Passwortspeichers - hochperformant, während die Unternehmenssicherheit deutlich verbessert wird.
Diese Presseinformation kann unter www.pr-com.de abgerufen werden.Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
Über Cyber-Ark
Das 1999 gegründete Unternehmen Cyber-Ark ist Marktführer im Bereich „Privileged Identity Management“. Cyber-Ark entwickelt und vertreibt auf Basis der patentierten Vaulting-Technologie Software-Lösungen zur Sicherung von vertraulichen und geheimen Informationen wie zum Beispiel Forschungsergebnissen, Finanzdaten oder Passwörtern von IT-Administratoren. Der Hauptsitz des Unternehmens befindet sich in Newton (Massachusetts, USA). In Deutschland ist Cyber-Ark seit 2008 mit einer eigenen Niederlassung vertreten.
Cyber-Ark Software Ltd.
Jochen Koehler
Director of Sales DACH
Tel. +49-7131-6441095
Fax +49-7131-6441096
jochen.koehler(at)cyber-ark.com
www.cyber-ark.com
PR-COM GmbH
Susanne Koerber
Account Manager
Tel. +49-89-59997-758
Fax +49-89-59997-999
susanne.koerber(at)pr-com.de
www.pr-com.de
Datum: 25.08.2010 - 13:44 Uhr
Sprache: Deutsch
News-ID 247228
Anzahl Zeichen: 4438
Kontakt-Informationen:
Ansprechpartner: PR-COM GmbH, Susanne Koerber
Kategorie:
New Media & Software
Meldungsart: Unternehmensinformation
Versandart: Veröffentlichung
Freigabedatum: 25.08.10
Diese Pressemitteilung wurde bisher 396 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Cyber-Ark: Passwörter haben im Programmcode von Applikationen nichts zu suchen"
steht unter der journalistisch-redaktionellen Verantwortung von
Cyber-Ark Software (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
