Nutzername und Passwort sind auch in der heutigen Zeit die mit Abstand am häufigsten genutzte Authentifizierungsmethode.
Mit dem Voranschreiten der Digitalisierung in den Unternehmen nimmt die Anzahl der Zugänge und somit auch die Anzahl der Anwendungen und häufig auch die Anzahl der Passwörter pro Mitarbeiter zu. Eine Studie des Unternehmens LogMeIn aus dem Jahre 2019 ergab, dass Mitarbeiter in deutschen KMU zwischen 30 und 100 Passwörter verwalten müssen.
Auf Grund dieser großen Menge sind Menschen oft dazu verleitet, Passwörter mehrfach zu verwenden oder „einfache“ Passwörter zu verwenden – dies ermöglicht es Kriminellen häufig, sich unautorisierten Zugriff auf mehrere Systeme zu verschaffen.
Bei diesen Herausforderungen kann ein moderner Passwortmanager den Mitarbeiter dabei unterstützen, die Vielzahl seiner Passwörter zu managen und gleichzeitig Risiken für das Unternehmen durch Credential Theft zu senken.
Da innerhalb eines Passwortmanagers alle wichtigen Zugänge des Nutzers verwaltet werden, hat die Sicherheit des Passwortmanagers sowie der dort gesicherten Zugangsdaten allerhöchste Priorität.
An zweiter Stelle und nicht weniger wichtig ist allerdings auch die Usability, denn nur durch einfache Integration in den Arbeitsalltag kann die Akzeptanz der Nutzer einer solchen Lösung gewährleistet werden. Andernfalls besteht bei zu komplexer Nutzung das Risiko, dass wieder auf die alten Lösungen, wie einfache Passwörter, Wiederverwendung und Post-ITs am Bildschirm, zurückgegriffen wird.
Ein Passwortmanager kann an vielen Stellen durch einfache Handhabung und proaktive Unterstützung des Nutzers gewährleisten, dass dieser auch genutzt wird.
Durch Browser-Plugins, die Registrierungsfelder erkennen und direkt anbieten, ein sicheres Kennwort für diese Webseite zu erstellen, können Nutzer dazu animiert werden, sichere Kennwörter anzulegen und direkt im Passwortmanager zu speichern.
Der Einsatz von biometrischen Authentifizierungsverfahren für den Passwortmanager auf dem Gerät hilft dem Nutzer dabei, jederzeit schnell auf seine Passwörter zugreifen zu können. Aus Sicherheitsgründen verschlüsselt der Passwortmanager die Daten im RAM wieder in regelmäßigen Abständen, nachdem der Nutzer sich angemeldet hat.
Ebenfalls sollte der Passwortmanager über einen mobilen Client verfügen, damit dieser auch auf Smartphones und Tablets verwendet werden kann.
Große Anbieter von Passwortmanagern stellen grundlegende Sicherheitsfeatures zur Verfügung. So ist zentraler Punkt des Sicherheitskonzeptes, dass die Passwörter verschlüsselt beim Anbieter vorliegen, während der Schlüssel lokal im Endgerät des Nutzers gespeichert wird. So wird gewährleistet, dass weder der Anbieter, noch mögliche Angreifer des Anbieters, Zugriff zu den dort gespeicherten Passwörtern im Klartext erhalten können.
Wie dies konkret umgesetzt wird, ist bei jedem Anbieter von Passwortmanagern leicht unterschiedlich ausgestaltet.
Dies bedeutet auch gleichzeitig, dass für den Fall, dass der Anwender sein Passwort vergisst, keine Möglichkeit der Wiederherstellung durch den Anbieter besteht. An dieser Stelle wiederum bieten die Hersteller unterschiedliche Möglichkeiten an. Wichtig ist, dass für diese Notfallmechanismen Regelungen bestehen, um zu gewährleisten, dass diese überhaupt vom Nutzer eingerichtet werden sowie diese so zu gestalten, dass Angreifer sich nicht über diesen Weg Zugriff auf den Passwortmanager verschaffen können.
Ebenfalls bieten fast alle Anbieter von Passwortmanagern die Möglichkeit, für Unternehmen einen Notfallmechanismus einzurichten, um auf Passwörter von Beschäftigten zuzugreifen. Es ist wichtig, vorher zu prüfen, wie dies in der konkret gewählten Lösung umgesetzt werden kann, um im Notfall Zugriff auf die Kennwörter erhalten zu können. Gleichzeitig muss gewährleistet werden, dass Administratoren sich nicht unkontrolliert Zugriff verschaffen können, sondern Prozesse gewährleisten, dass immer mindestens 2 Personen an der Herstellung eines solchen Zugriffs beteiligt sind. Auch der Datenschutzbeauftragte sollte für dieses Thema hinzugezogen werden.
Alle Anbieter von Passwortmanagern bieten die Möglichkeit, technische Mindestanforderungen an das Masterpasswort festzulegen – hiervon muss unbedingt Gebrauch gemacht werden.
Eine 2-Faktor-Authentifizierung sollte grundsätzlich für den Passwortmanager eingerichtet werden – hierbei sind vorzugsweise die Funktionen TOTP oder Hardwaretokens zu nutzen.
Im Bereich Rechte- und Rollenkonzept gibt es zwischen den großen Anbietern derzeit doch einige Unterschiede. Nicht jeder Anbieter bietet die Möglichkeit, komplexe Verteilung von Rechten und Rollen zu ermöglichen – dies ist vor allem dann wichtig, wenn viele Personen im Unternehmen in sehr unterschiedlichen Arbeitsumgebungen einen Passwortmanager nutzen. Ebenfalls wird dies bei steigender Nutzerzahl immer wichtiger, da in diesen Fällen häufig auch die Administration einzelner Bereiche dezentral erfolgt und die Anwendung die Möglichkeit bieten sollte, abgestufte Administrationsrechte zu vergeben.
Viele Passwortmanager bieten außerdem die Möglichkeit, Alerts einzurichten, die bei bestimmten Ereignissen Warnmeldungen senden. Eine Überwachung fehlerhafter Anmeldeversuche sollte grundsätzlich möglich sein und durchgeführt werden.
Abgerundet werden kann das Reporting durch regelmäßige Berichte über die Sicherheit der im Passwortmanager gespeicherten Passwörter.
Auch bei der Administration sollten verschiedene Adminkonten mit unterschiedlichen Berechtigungen eingerichtet werden, sofern die Möglichkeit hierzu besteht. Sofern möglich, ist die grundlegende Konfiguration von Passwortmanagern durch ein Superadminkonto einzurichten, welches anschließend nicht für den Regelbetrieb verwendet wird – der Zugriff sollte möglichst nur nach 4-Augen-Prinzip möglich sein.
So kann gewährleistet werden, dass wichtige Features, wie die Protokollierung, nicht einfach abgeschaltet werden können.
Häufig sind einige der vorher genannten Funktionen in der Standard Business-Version nicht voll verfügbar, sondern die Anschaffung von Enterprise Lizenzen ist erforderlich. Hierauf sollte bei der Anbieterauswahl ebenfalls geachtet werden.
Wenn ein Passwortmanager verwendet wird, sind zusätzlich zu den technischen Maßnahmen dennoch einige organisatorische Rahmenbedingungen zu klären.
Wie bei jeder Anwendung, sollte der Mitarbeiter in Form von schriftlichen Anleitungen und Hinweisen und im Bedarfsfall durch Schulungen dabei unterstützt werden, den Passwortmanager wie vorgesehen zu nutzen.
Ebenfalls sollte klar geregelt sein, wer Rechte auf welche Tresore benötigt und wer berechtigt ist solche Anforderungen freizugeben.
Auch wenn es hilfreich ist, den Passwortmanager auf mehreren Geräten zu verwenden, ist grundsätzlich zu klären, ob eine Installation auf Privatgeräten zulässig ist, denn dies birgt wiederum Sicherheitsrisiken, welche zu adressieren sind.
Ebenso muss im Offboarding-Prozess eines Mitarbeiters oder bei einer erfolgreichen Phishing oder Social Engineering Attacke sichergestellt sein, dass Zugriffsrechte zum Passwortmanager und 2-FA-Token wieder entzogen werden.
Denken Sie außerdem immer daran, dass auch ausgeschiedene Mitarbeiter grundsätzlich die Möglichkeit haben, sich Passwörter vor dem Austritt aus dem Passwortmanager zu notieren und weiter zu verwenden. Ein Passwortmanager ersetzt somit keine 2-Faktor-Authentifizierung für kritische Systeme oder sonstige Sicherheitsmaßnahmen.
Ebenso bedeutet dies, dass die Nutzung von Konten durch mehrere Personen grundsätzlich zu vermeiden ist.
Ein Passwortmanager kann einen sehr großen Beitrag dazu leisten, Unternehmen bei der sicheren Verwendung von Passwörtern zu unterstützen und gleichzeitig den Arbeitsalltag der Mitarbeiter erleichtern. Eine Einführung sollte dennoch wohl überlegt sein und geplant werden, damit diese Ziele auch erreicht werden können.
