Passwort-Management-Systeme – Warum Sie nicht darauf verzichten sollten

Wäre ich ein Hacker, würde ich versuchen irgendwie an die Identitäten eines Unternehmens zu kommen und dort Admin-Rechte zu erlangen. Beispielsweise über Bruteforce-Attacken lassen sich Identitäten automatisiert knacken und somit auch Zugang zu administrativen Accounts erhalten.

Als Unternehmen möchte ich mich natürlich vor solchen Angriffen so gut wie möglich schützen. Dieser Schutz beginnt schon bei der Vergabe von Passwörtern. Da wir sehr bequem sind, kommt es nicht selten vor, dass wir für viele verschiedene Systeme ein und dasselbe Kennwort verwenden. Dies ist ein ziemlich hohes Sicherheitsrisiko, da im Falle eines erfolgreichen Hacks des Passworts sämtliche Plattformen für den Hacker zugänglich sind und diese von dem Angreifer missbraucht werden können. Deshalb sollte für jede einzelne Plattform ein eigenes Passwort vergeben werden, damit das Ausmaß durch die Folge eines Identitätsdiebstahls auf ein Minimum reduziert werden kann. Um sich die vielen Passwörter merken zu können, hilft die Verwendung eines professionellen Passwort-Management-Systems (PMS).

Bei den Passwort-Management-Systemen gibt es verschiedene Versionen. Von frei zugänglicher bis kostenpflichtiger Software wird alles angeboten. Passwort-Management-Systeme für Unternehmen sind in der Regel kostenpflichtig und bieten einen breiteren Funktionsumfang im Vergleich zu Privatanwendern. Sie werden auch als Enterprise Password Managementsysteme (EPM) bezeichnet. In diesem Beitrag wird der Oberbegriff Passwort-Management-Systeme (PMS) verwendet, welcher sich auf alle Passwort-Management-Systeme bezieht.

Viele kennen Passwort-Management-Systeme aus ihrem privaten Bereich, wie beispielsweise KeePass oder die Password Manager von Firefox oder iOS. Für Unternehmen ist es umso wichtiger, die Kontrolle über ihre Passwörter zu behalten und das Risiko eines Identitätsdiebstahls so gering wie möglich zu halten. Besonders Social Hacking und Social Engineering stellen in diesem Zusammenhang eine Gefahr dar. Nähere Informationen zu diesem Thema finden Sie im Blogbeitrag: „Social Engineering – Die Tools der Hacker“. Neben den kostenlosen Alternativen gibt es auch verschiedene kommerzielle und professionelle Passwort-Management-Systeme auf dem Markt. Aber warum sollte sich ein Unternehmen ein Passwort-Management-System zulegen? Und welchen praktischen Nutzen kann ein solches System einem Unternehmen bringen?

Wie ist man der Passwortflut gewachsen?

Die Daten eines Unternehmens sind die Kronjuwelen. Diese sind unter anderem durch Passwörter geschützt. Eine Herausforderung hierbei ist es, den Überblick über diese zu behalten. Dabei hilft eine Passwort-Verwaltungs-Software. Unabhängig davon, wie viele verschiedene Passwörter angelegt werden, muss sich lediglich das Masterpasswort gemerkt werden. Zudem erhöht es die Sicherheit durch verschiedene Funktionen, welche nachfolgend aufgeführt werden:

  • Verschlüsselte Datenbank: Die Verschlüsselung hat dabei einen sehr hohen Sicherheitsgrad. Bei den meisten entspricht dies einer AES-256-Verschlüsselung. Die Wichtigkeit der Qualität einer Verschlüsselung wird im folgenden Blogbeitrag deutlich: “Wieso sich die TO einen Gaming-PC kaufte“. Zugang zu diesem Container bekommt man nur durch Kenntnis eines Masterpasswortes, PIN, Token, Zertifikat oder beispielsweise eine TouchID. Diese verschiedenen Authentifizierungs-methoden sind natürlich auch unterschiedlich sicher.
  • Passwortgeneratoren: Hier kann definiert werden, ob beispielsweise Sonderzeichen enthalten sein sollen sowie Groß- und Kleinbuchstaben etc. Manche Passwort-Manager bieten auch so genannte „aussprechbare“ Passwörter, also Kennwörter, die aus Wörtern bestehen (z.B. „bette-dome-wilma-vogue-decal-pica-hank-ross“). Dies erleichtert es den Nutzer, sich diese besser merken zu können. Des Weiteren ist es möglich, Passwörter in regelmäßigen Intervallen tauschen zu lassen.
  • Automatisierte Anmeldung: Es ist es möglich ohne Passworteingabe automatisch am Zielsystem angemeldet zu werden, ohne dass der Nutzer den Anmeldeprozess mitbekommt. Dabei werden die Accountdaten automatisch beim Zugriff auf das Zielsystem ausgefüllt. Diese Funktion lässt sich auch in PAM-Systeme einbinden, wie beispielsweise in die Balabit Shell Controll Box. Informationen hierfür finden Sie in folgenden Blogbeiträgen: „Wer war da auf meinem System – Privileged Access Monitoring“ und „Big Brother für privilegierte Benutzer? Warum sich Admins „auf die Finger schauen“ lassen sollten“.
  • Zwei-Faktor-Authentifizierung: Das heißt, dass beispielsweise neben dem Passwort ein weiteres Element zur Identifizierung des Nutzers nötig ist. Dabei werden zwei Faktoren miteinander kombiniert, die auf Besitz und Wissen basieren. So kann für Besitz beispielsweise ein Token genutzt werden und für das Wissen die dazugehörige PIN.
  • Zeitlich begrenzte Passwörter: Dies ist sinnvoll, wenn der Betreffende nur eine einmalige Aufgabe hat und das Zielsystem für einen bestimmten Zeitraum benötigt.
  • Hinweis auf veraltete und unsichere Passwörter: Zur Gewährleistung der Sicherheit gibt es die Möglichkeit, veraltete und unsichere Passwörter aufzuzeigen und diese bei Bedarf zu ändern bzw. zu verbessern.

Zeitersparnis und Effektivität

Eine Alternative seine Passwörter zu managen, ist die klassische Möglichkeit diese auf Papier zu notieren. Der Nachteil dieser Methode ist das meist längere Suchen nach den Passwörtern, welche erst wieder auf den Notizzetteln gefunden werden müssen. Warum diese Art des „Passwort-Management“ nicht nur sehr kompliziert ist, sondern auch sehr unsicher, wird in folgendem Blogbeitrag näher erläutert:
„Warum Passwörter Mist sind – Tipps zu sicheren Passwörtern“.

Ein schneller Zugriff auf Passwörter ermöglicht eine effizientere Arbeitsweise. Dieser Vorteil wirkt sich positiv auf die zu erledigenden Aufgaben aus, was sich aus Sicht des Unternehmens für  Kunden positiv bemerkbar macht. So können Tickets für Störungen schneller bearbeitet werden. Das ist zum Beispiel die Situation, wenn der Admin eines IT-Dienstleisters seine Zeit nicht damit aufwenden muss, lange nach einem Passwort zu suchen. Dies kann beispielsweise durch Browser-Plugins unterstützt werden, welche die Zugangsdaten aus dem PMS automatisch übernimmt. Oder es ist möglich einen direkten Aufruf über den Remote-Desktop oder SSH vorzunehmen, ohne eine Eingabe tätigen zu müssen. In diesem Fall kann es zu einer Kostenersparnis für Unternehmen kommen, welche ein solches Passwort-Management-System nutzen. Durch ein PMS kann aber vor allem die Gefahr eines Passwortverlustes deutlich verringert werden. Damit lässt sich hoher Aufwand und damit verbundene Kosten vermeiden.

Wenn man die internen Aufwände für die Einführung eins PMS prüft, kann sich dieser Schritt schon nach kurzer Zeit rechnen. Besonders die potenzielle Erhöhung der IT-Sicherheit kann als Mehrwert angesehen werden. Selbstverständlich ist der eventuelle Nutzen eines PMS erstmal eine Art „Versicherung“, welche sich erst mit der Zeit zeigt. Zudem unterstützt ein Support bei Problemen mit dem PMS-System.

Anhand einiger Beispiele soll klar werden, welche Kosten durch ein PMS eingespart werden können:

Eine Investition in ein PMS lohnt sich in jedem Fall. Allein die Ersparnis an Zeit und den damit verbundenen Kosten, kann sich schon nach einem Jahr sehr lohnen.

Weitere nützliche Funktionen

Ein PMS gewährt nicht nur zusätzliche Sicherheit, sondern auch eine Menge Funktionen, die das Arbeitsleben erleichtern können. Einige sind hier aufgelistet.

  • Gruppierung: Nutzer in Gruppen einteilen und Zugriffsrechte festlegen.
  • Zugriffsrechte definieren: Genaue Festlegung, wer welche Zugriffsrechte hat.
  • Passwortpflege: Festlegen von Einstellungen zur regelmäßigen Passwortpflege (im besten Fall automatisiert). Änderung des Passworts sowie Festlegung der Gültigkeitsdauer möglich.
  • Protokollfunktion: Wer, wann und evtl. warum auf ein Passwort zugegriffen wurde.
  • Gültigkeit von Passwörtern festlegen
  • Bewertung der Passwörter (Komplexität sowie Alter des Passwortes werden dabei beachtet.)

Zusätzlich bieten professionelle Systeme in der Regel gegenüber freien Alternativen einen Support an, welcher bei Problemen oder bei anderen Fragen unterstützt.

Fazit

Insgesamt kann man sagen, dass professionelle Passwort-Management-Systeme der „Enterprise-Edition“ für mittelständische und große Unternehmen eine sehr gute Möglichkeit bieten, um den Überblick über den „Passwort-Dschungel“ zu behalten. So helfen sie die Kontrolle darüber zu haben, welcher Mitarbeiter über welche Passwörter verfügen darf. Es stellt sich natürlich die Frage, welche Funktionen wirklich gebraucht werden und ob ein Freeware-Passwort-Manager nicht auch ausreicht. Für mikrogroße Unternehmen (also Unternehmen unter zehn Mitarbeiter) könnte eine Open-Source Lösung wie beispielsweise KeePass völlig ausreichend sein, da die Anzahl der Mitarbeiter eher überschaubar ist im Gegensatz zu mittleren oder sogar großen Unternehmen. Unabhängig von der Größe des Unternehmens ist auch entscheidend, wie viele Mitarbeiter das System nutzen und wie viele Systeme mit dem PMS verwaltet werden sollen.

Ein weiterer Aspekt ist natürlich die Frage, welche Art Passwörter man verwalten muss. So gibt es besonders in der IT-Branche Unternehmen, die auch eine Verantwortung für die Passwörter ihrer Kunden tragen. Hier ist ein PMS sehr hilfreich, um eine sichere Passwort-Verwaltung gewährleisten zu können. Diese Sicherheit senkt auch deutlich das Risiko eines Identitätsdiebstahls, selbst wenn der Angriff über Bruteforce-Attacken erfolgt. Weiter lässt sich durch Protokollfunktionen im PMS ein Bericht über die Nutzung der Passwörter erstellen. Das schafft Transparenz.

Abschließend kann man sagen, dass sich ein PMS generell für Unternehmen lohnen kann. Die zusätzlichen Funktionen erleichtern nicht nur den Arbeitsprozess, sondern gewähren eine Erhöhung des Sicherheitspotenzials in Bezug auf Passwörter. Zudem gibt es durch die Protokollfunktion eine nachvollziehbare Chronik über die Verwendung der jeweiligen Passwörter. Die Investition lohnt sich auf alle Fälle und kann sogar vor ganz großen Problemen schützen, wie beispielsweise Passwortverlust oder Hacking-Angriffen.

In einem folgenden Blogbeitrag werden ein paar professionelle Passwort-Management-Systeme für Unternehmen von unterschiedlichen Herstellern näher betrachtet.

 

1 Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *