Passwort-Manager: Was ein Passwort-Manager für Firmen können muss

Privi­legierte Service und Admin Accounts er­weisen sich zu­nehmend als kritische Schwach­stellen von Unter­nehmens­netzen. Wer damit herein­kommt, bekommt weit­reichende Rechte. Aber auch dieses Problem kann ein taugliches Pass­wort-Manage­ment in den Griff kriegen – wenn es die Hoheit über die Schlüssel behält.

Sicheres Login im Firmennetz

Von Christian Strobel, COO MATESO GmbH

Sicher ist, dass es bei Security-Software für die Netzwerksicherheit gute und riskante Lösungen gibt. Besonders bei der Wahl eines Passwort-Managers ist es ratsam, genau hinzusehen. Eine Grundentscheidung ist, ob man sein Passwort in die Hände eines Cloud-Anbieters legen möchte – dies ist ganz besonders heikel, wenn dieser Anbieter außerhalb Deutschlands seinen Sitz hat. Zudem besteht weiterer Klärungsbedarf: Wie kommen wir mit Cloud-Software an unsere Passwörter, wenn kein Internet verfügbar ist? Wie stellen wir sicher, dass der Anbieter die Daten sicher verwaltet? Und wurden die Algorithmen zur Ver- und Entschlüsselung überhaupt korrekt umgesetzt?

Mateso-Mehr-Augen-Prinzip.png
Bei Mateso Password Safe 8 ermöglicht das Mehr-Augen-Prinzip die Entnahme eines Passwortes erst nach Zustimmung definierter Personen. (Bild: Mateso)

Selbst ein ideal abgesichertes Unternehmensnetzwerk ist unsicher, wenn die Schlüssel dazu unbedacht organisiert sind, etwa wenn Admins in Shared Accounts ein identisches Passwort nutzen, um auf das System zuzugreifen und es zu verwalten, was bei Windows- oder Datenbanksystemen wie MS SQL häufig der Fall ist. Hier kann im Nachhinein niemand mehr nachvollziehen, wer welche Daten in der Hand hatte. Außerdem gehen Cyberkriminelle privilegierte Mitarbeiter oft ganz gezielt mit Social Engineering an, machen sich persönliche Informationen aus dem Web zunutze und erlangen so Zugangsrechte. Dagegen helfen aber automatisch generierte Passwörter, die nicht einmal der Rechteinhaber selbst kennen muss, oder Zugriffsregelungen nach dem Mehr-Augen-Prinzip.

Rechte, Richtlinien und Zeitschalter

In jedem Fall muss eine Passwortverwaltung so bequem handhabbar sein, dass die Mitarbeiter nicht zur Post-it-Merkhilfen und ähnlich grausamen Workarounds greifen. Das Unternehmen vertraut dieser Software schließlich seine wichtigsten Daten und Zugänge zu den Systemen an. Open-Source-Lösungen scheiden für Firmen praktisch aus, weil sie keinen Support bieten und keine Ansprechpartner haben. Gerade in puncto Sicherheit ist aber Transparenz, Vertrauen und Kundennähe extrem wichtig.

Ein sicheres Passwort-Management beginnt bereits beim Konzept. Dieses entsteht sinnvollerweise in enger Absprache mit der IT-Abteilung, die auch die meisten Passwörter im Unternehmen verwaltet. Meist profitieren davon weitere Abteilungen wie Marketing, Einkauf und bestenfalls das ganze Unternehmen. Denn: Nahezu jeder Mitarbeiter im Unternehmen hat mit Passwörtern zu kämpfen. Dem einzelnen Mitarbeiter muss die Entscheidung abgenommen werden, wo und wie er diese Daten abzulegen hat. Eine Excel-Datei oder eine lokale PC-Passworthilfe ist hier keine Lösung.

Christian-Strobel-Mateso.jpg

Christian Strobel ist Chief Operating Officer (COO) der MATESO GmbH. An der Seite von Thomas Malchar (CEO und Gründer von MATESO) forcierte er die Entwicklung der Software Password Safe and Repository. Heute liegt der Schwerpunkt des Diplom-Wirtschaftsinformatikers nach einer intensiven Zeit als Software-Entwickler im Bereich Vertrieb und im Produktmanagement.


MATESO GmbH, Daimlerstraße 15, 86356 Neusäß, Tel.: 0821-747787-0, Fax: 0821-747787-11, info@mateso.de, www.mateso.de

Erfahrene Unternehmen nutzen heute meist eine zentrale Plattform für die Speicherung und Verwaltung von Passwörtern, Zugängen, Zertifikaten sowie von anderen sensiblen Daten. Eine Rechtevergabe bis auf Datensatz-, besser noch bis auf die Datensatzfeldebene hilft, die Zugänge sicher für die Mitarbeiter und Stellvertreter zu verwalten. Solche Lösungen verwalten alle Passwörter in einer sicheren zentralen Datenbank und generieren auf Knopfdruck sichere Passwörter nach hinterlegten Richtlinien für die entsprechenden Systeme.

Einige Passwort Manager bieten zudem die Möglichkeit, die Passwörter automatisiert in Webseiten oder Anwendungen einzutragen. Das sorgt für Sicherheit und spart zugleich Zeit. Auch Externe oder Praktikanten können mit einer solchen Lösung sicheren Zugang erhalten, denn dann ist das Login möglich, ohne dass der Mitarbeiter selbst das Passwort aufdecken kann. Eine andere Möglichkeit, den Schutz deutlich zu erhöhen, besteht darin, den Zugang bzw. das Passwort nach einer gewissen Zeit oder nach einer einstellbaren Zahl von Verwendungen automatisch zurückzusetzen.

Passwort-Manager im Unternehmenseinsatz
Die folgenden Merkmale darf man heute von einem Passwort-Manager für Firmen und Organisationen verlangen:

  • lokale Datenspeicherung,
  • fein gegliederte Rechteverwaltung,
  • Importfunktion für Benutzer- und Gruppenstrukturen und deren Abgleich (das erleichtert den Aufbau einer Rechtestruktur),
  • Audit-Möglichkeit und Mehr-Augen-Schutzsystem,
  • automatisches Generieren von komplexen und einzigartigen Passwörtern nach hinterlegten Richtlinien und Ausschlussverfahren,
  • Erleichterungen durch automatische Eintragung (mittels Agent und Add-ons),
  • Möglichkeit der Speicherung von Dateien und Anhängen (Zertifikaten, Lizenzen, Systemdokumentationen etc.),
  • optionaler Account-Schutz durch Mehrfaktor-Authentifizierung (dann muss sich eine Person mit einem weiteren Merkmal beim Login-Prozess bestätigen).

Für den Ernstfall sollte der Anbieter Service und Support mit eigenen Mitarbeitern sicherstellen können. Firmensitz und Entwicklung sollten zumindest in der EU, besser in Deutschland oder Österreich liegen, da hier die Datenschutzbestimmungen besonders streng sind.

Mateso-8-Anpassbare-Filter.png
Anpassbare Filter in Password Safe 8 sorgen für einen besseren Überblick und erhöhen die Effektivität (Bild: Mateso)

Verantwortung für Firmennetze

Zu bedenken ist außerdem: Je mehr Mitarbeiter auf den Passwort Manager vertrauen, desto wichtiger werden die leichte Bedienung und auch die Skalierbarkeit. Am schnellsten spielen sich Lösungen ein, die am Design von bekannten Microsoft-Office-Produkten wie Outlook orientiert sind und daher mit minimalem Schulungsaufwand auskommen.

Insgesamt ist ein zentraler Passwort Manager ein entscheidender Baustein im Risikomanagement. Ohne eine solche Software lassen sich die Zugriffe oft gar nicht nachvollziehen. Eine zentrale Ablage erhöht die Sicherheit und gibt den Mitarbeitern die Möglichkeit, ihre Passwörter sicher und zentral aufzubewahren. Hierdurch behalten Unternehmen den Überblick und sehen auf Anhieb, wo schlechte Passwörter intern verwendet werden. Letztlich muss der Abteilungsleiter dem Geschäftsführer berichten können, wie gut seine Systeme geschützt sind.

Kommunikation 2016-H2.jpg

Schwarz auf Weiß
Dieser Bei­trag erschien zuerst in unserer Magazin­reihe „Kom­munika­tion und Netze“. Einen Über­blick mit freien Links zu sämt­lichen Einzel­heften be­kommen Sie online im Presse­zentrum des MittelstandsWiki.

Nützliche Links