Inhaltsübersicht
- Geschäftsorientiert? Ja.
- Sicher? Nein.
- “Reaktive Funktionen” in Passwort-Managern
- Die Rolle von Passwort-Managern
- Passwort-Manager mit der Verwaltung privilegierter Sitzungen (PSM) oder der Verwaltung privilegierter Zugriffe (PAM) erweitern
- Ein einfacher Weg zur Ermittlung Ihrer Bedürfnisse
- Abschließende Überlegungen
Wenn Ihr Unternehmen auf der Suche nach einer Lösung zur Passwortverwaltung ist, sollten Sie vor dem Kauf eine entscheidende Frage beantworten. Dabei geht es nicht um Kosten, Kompatibilität oder Regelkonformität. Es geht um etwas Grundsätzlicheres: Benötigen Sie NUR einen Passwort-Manager? Ob Sie es glauben oder nicht, die Antwort ist wahrscheinlich: Nein!
Geschäftsorientiert? Ja.
Hier liegt das eigentliche Problem: „Passwort-Manager“ ist im Wesentlichen ein Marketingbegriff, der vor einigen Jahren geprägt wurde, zweifellos um aus zwei Dingen, die Unternehmen benötigen und schätzen, Kapital zu schlagen: Sicherheit (impliziert durch das Wort „Passwort“) und Effizienz (impliziert durch das Wort „Manager“).
Zugegeben, Passwort-Manager sind geschäftsorientiert. Aber entgegen der landläufigen Meinung sind sie NICHT grundsätzlich sicher.
Im Wesentlichen bietet ein Passwort-Manager eine zentrale Möglichkeit, Daten zu verwalten. Anders gesagt, sobald Sie Daten verwalten und gemeinsam nutzen, setzen sie per Definition ein System zur Passwortverwaltung ein. Macht dies eine so unsichere Datei wie eine Excel-Tabelle zu einem „Passwort-Manager“? Die Antwort lautet: Ja! Tatsächlich ermöglichen die meisten auf dem Markt befindlichen Passwort-Manager den Unternehmen nur, einen einzigen Tresor für alle Nutzer (technische und nicht-technische) freizugeben, ohne Kontrolle darüber, wer Zugriff auf was hat.
Dies liegt wiederum daran, dass Passwort-Manager für die Zentralisierung und Verwaltung von Daten konzipiert sind. Sie sind nicht auf Sicherheit ausgelegt. Sie sind für die Geschäftskontinuität konzipiert. Hier ist eine Erklärung, warum dies so ist...
Sicher? Nein.
Mit Passwort-Managern können Endnutzer Tresore mit verschiedenen Arten von Informationen wie Anmeldeinformationen, Kreditkarten, Informationen zu Remote-Verbindungen, Anmeldungen zu Websites, Dokumente usw. gemeinsam nutzen. Wenn ein Endnutzer das Unternehmen verlässt, müssen die ehemaligen Kollegen nicht lange nach persönlichen Tabellen, Notizen usw. suchen. Stattdessen können sie das, was sie benötigen, schnell und einfach in den gemeinsamen Tresoren finden. Das ist zwar bequem, aber nicht sicher. Bei jedem Passwort-Manager muss ein Endnutzer lediglich die Anmeldeinformationen in eine andere Datei kopieren und kann damit verschwinden.
Die heute auf dem Markt befindlichen Passwort-Manager können dieses Problem nicht lösen, behaupten aber, „sicher“ zu sein. Die einzige Möglichkeit, sie sicher zu machen, bestünde darin, alle Passwörter jedes Mal zu ändern, wenn jemand das Unternehmen verlässt. Das wäre sehr mühsam. Aber wie wäre es, wenn Passwörter nach jeder Verwendung automatisch zurückgesetzt werden? Das ist bei Passwörtern für Anwendungen von Drittanbietern oder Websites fast unmöglich. Praktisch gesehen besteht die einzige sichere und praktikable Option darin, das Passwort bei Gebrauch durch eine sichere Eingabe der Anmeldeinformationen zu verbergen, auf die wir später in diesem Blog zurückkommen.
Was bedeutet dies alles für Ihr Unternehmen? Hier ist die überraschende und vielleicht schockierende Wahrheit: Wenn Sie nur einen Passwort-Manager kaufen, dann erhalten Sie Geschäftskontinuität - aber KEINE Sicherheit. Das, was Sie mit Passwörtern tun und wie Sie es tun, bringt Ihnen Sicherheit.
“Reaktive Funktionen” in Passwort-Managern
Wenn Sie sich mit verschiedenen Passwort-Manager befassen - und davon gibt es viele - dann sind Sie auf Produkte gestoßen (oder werden es noch) mit Funktionen wie:
- Rollenbasierte Zugriffskontrolle
- Überprüfung „gehackter“ Passwörter
- Minimale Passwortrichtlinien
- Browser-Add-on
- Protokollierung
In der Regel werden diese von den Anbietern als „Sicherheitsfunktionen“ bezeichnet. Allerdings machen diese Ihr Unternehmen nicht wirklich sicherer! Stattdessen sollten wir sie „reaktive Funktionen“ nennen, da sie Sie auf potenzielle Probleme aufmerksam machen können. Mit diesen Funktionen BEGINNT die Sicherheit in Ihrem Unternehmen, aber sie ist noch NICHT gewährleistet.
Die Rolle von Passwort-Managern
Trotz dieser schwerwiegenden Nachteile haben Passwort-Manager - die eigentlich „Geschäftskontinuitäts-Tools“ heißen sollten - ihren Platz in der Unternehmenslandschaft. Sie sind insbesondere für nicht-technische Geschäftsanwender von Vorteil, die sich andernfalls eine riesige Liste sicherer und spezifischer Passwörter merken müssten (Untersuchungen haben ergeben, dass der durchschnittliche Geschäftsanwender heute über unglaubliche 191 Passwörter verfügt!).
Das ist aber auch schon der einzige Anwendungsfall für Passwort-Manager. Technische Nutzer (z. B. Systemadministratoren, Helpdesk-Mitarbeiter usw.) arbeiten in Bereichen, in denen ein echtes Risiko besteht und der Bedarf an Sicherheit am höchsten ist. Für sie ist ein Passwort-Manager allein völlig unzureichend. Glücklicherweise gibt es eine praktische und bewährte Methode, die Sicherheitslücke zu schließen.
Passwort-Manager mit der Verwaltung privilegierter Sitzungen (PSM) oder der Verwaltung privilegierter Zugriffe (PAM) erweitern
Ein Passwort-Manager, der auch als legitime, stabile Sicherheitslösung fungiert - und nicht nur als Tool für die Geschäftskontinuität - sollte über folgende Funktionen verfügen:
- Sicheres Einfügen der Anmeldeinformationen
- Erkennung von Konten
- Automatische Passwortrotation
- Warnungen und Benachrichtigungen
- Genehmigungsprozesse für Check-out-Anfragen
Und wissen Sie was? Sobald Sie sich auf diese wesentlichen Sicherheitsfunktionen konzentrieren, suchen Sie nicht länger nur nach einem Passwort-Manager. Sie sind auch auf der Suche nach einer Verwaltung privilegierter Sitzungen (PSM) oder der Verwaltung privilegierter Zugriffe (PAM)!
Ein einfacher Weg zur Ermittlung Ihrer Bedürfnisse
Wie können Sie herausfinden, ob Sie einen mit PSM-Funktionen oder mit PAM-Funktionen erweiterten Passwort-Manager benötigen? Hier ist eine einfache Checkliste, um diese Entscheidung zu treffen:
Hierfür benötigen Sie wahrscheinlich einen Passwort-Manager + PSM:
- Die Lösung wird von technischen Nutzern verwendet.
- Sie möchten Verbindungen automatisch starten.
- Sie möchten nicht, dass Endnutzer Passwörter sehen.
Hierfür benötigen Sie wahrscheinlich einen Passwort-Manager + PAM:
- Sie möchten, dass Passwörter geändert/zurückgesetzt werden.
- Sie möchten Optionen zur Kontenfindung.
- Sie möchten eine Genehmigungsprozess für Check-out-Anfragen.
Und wenn Sie Punkte aus beiden Listen angekreuzt haben, benötigen Sie natürlich einen Passwort-Manager, der sowohl über PSM- als auch über PAM-Funktionen verfügt.
Abschließende Überlegungen
An sich ist an Passwort-Managern nichts auszusetzen. Sie spielen eine wichtige Rolle und bieten deutliche Vorteile in Bezug auf Effizienz und Komfort. Für sich genommen sind sie jedoch keine legitimen Sicherheitslösungen, die anspruchsvolle IT-Sicherheitsfunktionen bieten, auch wenn sie seit Jahrzehnten als solche beworben werden.
Um Effizienz UND Sicherheit zu bekommen - und nicht Ersteres statt Letzterem - braucht Ihr Unternehmen einen Passwort-Manager, der mit PSM und/oder PAM erweitert ist. Mit diesem Ansatz und dieser Infrastruktur bleiben Ihre Geschäftsanwender produktiv und effizient, während Ihre IT-Mitarbeiter die Kontrolle, Transparenz und Berichterstattung erhalten, die sie benötigen, um Ihr Unternehmen sicher und regelkonform zu halten.