Passwortverwaltung im Unternehmen – Mateso Password Safe oder KeePass?

Vom persönlichen Passwort-Tool, über datenbankbasierte Password-Manager bis hin zu Multi-User Enterprise-Lösungen mit SSO - die Auswahl an Lösungen zur sicheren Verwaltung von Passwörtern ist umfangreich. Doch welches Feature-Set ist ausreichend für Unternehmen?

Erweiterte Passwortsicherheit: Privatgebrauch vs Unternehmen

Für jeden Dienst sollte man ein individuelles und starkes Passwort verwenden. Was früher als umständlich und nervig empfunden wurde, ist dank eines großen Angebotes an Software mittlerweile kein Problem mehr.
Das bekannteste Tool zur Realisierung dieser, so essentiellen, Aufgabe ist wohl KeePass .
Von Privatanwendern gemocht, dank der vielen möglichen Erweiterungen wie beispielsweise Kee und der kinderleichten Bedienung, findet sich der nützliche, kostenfreie Helfer glücklicherweise auf immer mehr Geräten.

Auch in vielen Betrieben wird immer Häufiger auf ein Passwort-Management-Tool wie KeePass gesetzt. Diese Nachricht ist grundlegend erfreulich, da sie direkt zu einer verbesserten Sicherheitslage in Firmen führt.
Während es im Privatgebraucht keinerlei Problem mit sich bringt, eine auf dem eigenen PC genutzte Passwortdatenbank zu haben auf welche man auch uneingeschränkten Zugriff hat, könnte dies in einigen Firmen zu einem nervigen Hindernis werden.

Oftmals möchte man den Zugriff auf gewisse Passwörter nur beschränkt gewähren, egal ob mit einem temporärem Zugang oder einer Kategorisierung, vorzugsweise nach Abteilungen oder gar Mitarbeitern.
Auch möchte man vielleicht sicherstellen, dass die Mitarbeiter die gesetzen Passwortrichtlinen einhalten, denn Passwortmanager wie KeePass bieten eine Vielzahl an Einstellungsmöglichkeiten.

Um diesem Problem entgegenzuwirken gibt es professionelle Passwort Management Systeme wie unter Anderem die deutsche Lösung PasswordSafe von der MATESO GmbH.

Diese profesionellen Lösungen sind speziell für den Gebrauch in Firmen entstanden und bieten eine Vielzahl an nützlichen Unterschieden und Erweiterungen, gegenüber herkömmlichen Passwortmanagern.

Worin liegt der Unterschied?

Auf Privatanwender bezogene Passwortmanager richten sich nach den hier benötigten Rahmenbedingungen. Für den heimischen Gebrauch ist es wichtig, dass der Nutzer vollen Zugriff auf alle Daten und Optionen hat. Beispielsweise:

  • Eine auf dem eigenen Computer gespeicherte Passwortdatenbank (könnte auch in einem Shared Folder liegen, allerdings nicht unbedingt erwünscht).
  • Sobald die Datenbank mit einem Passwort freigeschaltet wurde, hat der Nutzer Vollzugriff auf alle darin gespeicherten Daten und kann diese beliebig ändern, löschen oder neue Datensätze einfügen.
  • Die Möglichkeit sichere, individuelle und komplexe Passwörter zu erstellen ist beliebig einstellbar.

Für den Einsatz in einem (mittel-) großem Unternehmen jedoch möchte man vielleicht einige dieser Nutzerfreiheiten zu Gunsten der Sicherheit einschränken. Hierbei gibt es, je nach Betrieb ganz unterschiedliche Kriterien. Beispielsweise:

  • Zugriff auf bestimmte Passwörter nur temporär für selektierte Nutzer.
  •  Eine firmenweite Passwortpolicy die automatisch für jeden Anwender die benötigte Passwortkomplexität übernimmt.
  • Zentralisierte Passwortdatenbank mit einfach zu verwaltender Oberfläche und zuständigen Administratoren.
  • Zugriff auf Passwörter nur nach Freigabe mit dem Vier-Augen-Prinzip
  • Kontrollierte und protokollierte Verwendung von RDP- und SSH-Verbindungen
  • Revisionssicheres Log aller Aktionen in der Passwort-Datenbank

Ein Fallbeispiel:

Stellen Sie sich vor, Sie sind in einer Firma mit 200 Mitarbeitern tätig. Ihre Firma ist in einzelne Abteilungen unterteilt, wie verschiedenen Projektgruppen, einem Forschungsteam, dem Marketing oder dem Vertrieb. Einige Ihrer internen Systeme sind Passwortgeschützt und Sie haben eine firmeninterne Richtlinie die Ihnen auflegt, Passwörter mit mindestens 128 Bits zu verwenden. Nun könnte jeder Mitarbeiter selbstverständlich seinen eigenen Passwortmanager verwenden.

Wie jedoch können Sie kontrollieren, ob die erforderliche 128 Bits-Komplexität eingehalten wird?

Wie können Sie einfach und sicher die Passwörter für Ihre internen Systeme an Ihre ausgewählten Mitarbeiter verteilen?

Und wie können Sie sicherstellen, dass diese Mitarbeiter den Zugang nur über die notwendige Dauer, nicht aber darüberhinaus haben?

In solchen Fällen eignen sich professionelle Passwort Management Systeme hervorragend. Sie verbinden Passwortsicherheit mit auf Firmen bezogene Usability. Oftmals geht die Funktionalität über diese grundlegenden Vorraussetzungen gar noch hinaus.
So bietet PasswordSafe unzählige weitere Features, wie eine Integration in ihre bestehende Active Directory, verschlüsselter Filetransfer oder eine webbasierte Verwaltungsoberfläche.

Im Kontext BSI IT-Grundschutz:
Im Oktober 2019 wurde der Final Draft zum  BSI IT-Grundschutz Baustein ORP.4 Identitäts- und Berechtigungsmanagement veröffentlicht. Die darin aufgestellten Basis-Anforderungen sind meist nur mit Einsatz von Enterprise-Editionen der Passwort-Manager zu erfüllen.

Mögliche Alternativen und Bedarf

Selbstverständlich bietet Software wie KeePass ebenfalls Erweiterungen an, welche es ermöglichen einzelne Features wie eine zentrale Datenbank zu erstellen.
Die Funktionalitäten, wie auch die Einfachheit der Bedienung, der Installation und der Instandhaltung jedoch, könnten zu zeitintensiven Aufgaben werden.

Ob es ausreicht einen Passwortmanager mit diversen Erweitrungen auszustatten oder ob es sich lohnt eine profesionelle Passwort-Management-Software zu erwerben ist immer ein individueller Fall.
Es schadet allerdings nicht, sich einmal über beide Optionen und mögliche Enterprise-Lösungen zu informieren!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *