Unternehmen sind ständigen Sicherheitsrisiken ausgesetzt: In den vergangenen 24 Monaten waren laut IDC-Studie "IT Security in Deutschland 2018" 67 Prozent der deutschen Unternehmen von Sicherheitsvorfällen betroffen. Anfang 2019 landeten mit der Datensammlung Collection #1 über 1,6 Milliarden Kombinationen von E-Mail-Adressen und Passwörtern im Netz. Danach wurden in einem Internetforum für Hacker die Collections #2 bis #5 gefunden, mit mehr als 600 Gigabyte gestohlenen Identitätsdaten.
Möglich werden solche Diebstähle unter anderem durch menschliche Schwächen. Durch die fortschreitende Digitalisierung verschmelzen persönliche Gewohnheiten und geschäftliche Prozesse. Mitarbeiter nutzen mehrere mobile Endgeräte sowohl für geschäftliche als auch private Zwecke, ohne sich über die Konsequenzen im Klaren zu sein. Schlechte Nutzergewohnheiten wie unsichere, immer wiederverwendete Passwörter für alle Konten sowie Passwörter, die sie mit Kollegen teilen, sind Einfallstore für Hacker.
Bequemlichkeit statt Sicherheit
Laut einer Studie von LastPass verwenden fast die Hälfte der 43.000 befragten Menschen die gleichen Passwörter für persönliche und berufliche Konten. Im Durchschnitt teilt ein Mitarbeiter etwa sechs Passwörter mit seinen Mitarbeitern. Kurz: Gerade bei Identity und Access geht es den Anwendern um ihre Bequemlichkeit und nicht um das Sicherheitsinteresse des Unternehmens. So nutzt laut einer Untersuchung des Digitalverbands Bitkom jeder Dritte nur ein Passwort für mehrere Dienste.
Der Anwender bleibt also aktuell noch das höchste Sicherheitsrisiko. Das zeigt auch die IDC-Studie: In "falscher Nutzung sowie mangelnder Awareness" sehen 81 Prozent der befragten Unternehmen die größte Hürde auf dem Weg zu mehr Cybersicherheit. Aber auch bei "ungesicherten oder mangelhaft gesicherten Endpoints sowie "Malware, Phishing, Social Engineering sowie DDoS-Angriffen" zeigen sich Schwachstellen, die in einem ersten Schritt mit einem Passwortmanager geschlossen werden können.
Der Passwortmanager
Bei aktuellen IAM-Lösungen gibt es noch keine Standards. Unterschiedliche Ansätze lassen sich nur mit hohem Aufwand miteinander verbinden und erschweren es Unternehmen, eine Komplettlösung für individuelle Bedürfnisse zu erhalten. Um die Datensicherheit bereits während des Evaluierungs- und Implementierungsprozesses einer komplexeren Lösung zu erhöhen, bietet sich die Einführung eines Passwortmanagers als ersten Schritt an. Dabei sollten auch SaaS-Lösungen in die engere Auswahl genommen werden. Diese können den Vorteil bieten, dass sie für die IT-Abteilung mit wenig Aufwand zu implementieren sind und den Mitarbeitern einen einfachen und sicheren Zugriff bieten.
Bevor sich ein Unternehmen für eine bestimmte Passwortmanagement-Lösung entscheidet, ist zu klären, was diese leisten muss. Die IT-Abteilung sollte gemeinsam mit dem Compliance-Team einen Katalog entwickeln, welche Management-Features unbedingt enthalten sein müssen, um sicher und regelkonform zu arbeiten.
IT-Entscheider sollten vor allem auf folgende Features achten:
Passwortdatenbank mit End-to-End-Verschlüsselung;
zufällig generierte Passwörter;
rollenbasierte Berechtigungen für Passwörter;
Kontrolle über gemeinsam genutzte Zugangsdaten;
zusätzliche Sicherheit durch Multifaktor-Authentifizierung;
Außerkraftsetzen von Zugangsdaten, wenn Mitarbeiter die Organisation verlassen.
sicheres Verschlüsselungsverfahren wie AES;
übersichtlich gestaltetes Dashboard;
einfache Einrichtung und automatisches Ausfüllen der Passwortfelder;
Passwortcheck zu unsicheren Passwörtern und Dubletten;
leichtes Organisieren einer großen Anzahl an Passwörtern;
zeitnahe Information bei Datenlecks;
Die passende Authentifizierungsstrategie
So wichtig die Funktionalitäten sind, so gilt es doch, den Passwortmanager nicht allein nach Features auswählen. Eine Lösung ist nur so gut wie die Akzeptanz durch die Anwender. Daher gilt es, deren Bedürfnisse im Blick zu behalten.
Eine flexible Multifaktor-Authentifizierung ist hierbei ein entscheidendes Auswahlkriterium. Sie ergänzt den Faktor Passwort um mindestens eine weitere Komponente. Ein Anwender muss also nicht nur etwas wissen (das Passwort), sondern zusätzlich etwas besitzen (etwa einen Token, der über eine App generiert wird) oder etwas 'sein' (eine biometrische Komponente wie einen Fingerabdruck per Scanner einbringen), um Zugang zu seinem Account zu erhalten. Das kann einerseits sicherer sein, andererseits einfach zu handhaben. Zudem löst eine schlanke, einfach zu bedienende Lösung die Hemmungen, sich überhaupt mit dem neuen Tool zu beschäftigen und nicht nach Workarounds zu suchen.
In der Praxis haben sich sogenannte User Acceptance Tests durchgesetzt: Hat die IT-Abteilung bereits eine Vorauswahl an zwei bis drei geeigneten Passwortmanagern getroffen, lädt sie zu einem Test ein. Bei dem prüft eine Fokusgruppe aus Vertrieb, Personal, Finanzen und Technikern zusammen mit den jeweiligen Herstellern die Lösungen. Mitarbeiter aus den operativen wie vertikalen Unternehmensbereichen in den Entscheidungsprozess miteinzubeziehen schafft bereits eine erste Akzeptanz und das Unternehmen schafft sich damit Multiplikatoren, die die Entscheidung für den Passwortmanager mittragen und deren Einführung positiv begleiten.
Mitarbeiter einbeziehen
Passwortmanagement bedeutet Change-Management. Unternehmen sind darauf angewiesen, dass die Mitarbeiter der Lösung offen gegenüberstehen und lernen, damit effektiv und selbstverständlich umzugehen. Um die Belegschaft ins Boot zu holen, sollte die Organisation nicht nur ein Konzept zur Implementierung des Passwortmanagers sowie fundierte Authentifizierungs- und Passwortrichtlinien erstellen, sondern auch frühzeitig auf Kommunikation und Aufklärung setzen. Nur so kann gewährleistet werden, dass jeder die Vorteile für sich selbst erkennt und mitmachen will. Auf diese Weise kann die Enterprise-Lösung nachhaltig in den Tagesablauf integriert werden.
Durch Schulungen und regelmäßige Trainings lassen sich die Richtlinien und Workflows verankern und regelmäßig auffrischen. So lernen alle Mitarbeiter, sichere Passwörter und eindeutige Anmeldeinformationen für alle Konten zu generieren. Kontinuierliche Updates zu Bedrohungen, etwa wie man die neuesten Phishing-E-Mails erkennt oder welche Gefahren der Zugriff auf Unternehmensdaten in öffentlichen WiFi-Netzen birgt, runden das Schulungsprogramm ab. Starten neue Mitarbeiter im Unternehmen, sollten diese so schnell wie möglich dieselbe Einführungsschuldung erhalten. Ein fester Ansprechpartner sollte bei weiteren Fragen oder Problemen als Anlaufstelle für Mitarbeiter dienen.
Regelmäßiger Austausch mit der Belegschaft ist wichtig. Je mehr über die aktuellen Gewohnheiten der Mitarbeiter bekannt ist, desto besser kann die IT-Abteilung darauf eingehen und entsprechende Hilfestellungen für den begleitenden Change-Prozess bieten.
Die IT-Abteilung entlasten
Einige Lösungen bieten der IT-Abteilung die Möglichkeit, die aktuelle Passwortsicherheit zu analysieren. Damit lässt sich beispielsweise eruieren, wie oft identische Login-Informationen über verschiedene schützenswerte Applikationen hinweg wiederverwendet werden. Ist der Passwortmanager erst einmal eingeführt, wird Sicherheit auf einer bestimmten Ebene messbar und die Einhaltung von Richtlinien lässt sich besser kontrollieren. Bietet die Lösung ein zentrales Dashboard, gewinnt die IT-Abteilung Einblicke in potenzielle Risikobereiche wie etwa schwache und mehrfach verwendete Passwörter, niedrige Sicherheits- und Passwortqualitätswerte sowie inaktive Konten.
Dazu ist es erforderlich, dass sich eine Enterprise-Passwort-Management-Lösung mit dem Active-Directory synchronisiert und Single Sign-On ermöglicht. Wesentlicher Bestandteil aller Kontrollen ist ein Zero-Knowledge-Sicherheitskonzept. Das bedeutet, dass der SaaS-Anbieter auf die von ihm gehosteten Kundenpasswörter niemals Zugriff hat. Das erschwert auch Angreifern den Zugang zu diesen Daten. So können alle administrativen und Compliance-relevanten Reports erstellt werden, ohne die Passwörter der einzelnen User einsehen oder nutzen zu müssen.
Auch Penetrationstests spielen eine wichtige Rolle, wenn es darum geht, das Sicherheitsbewusstsein im Unternehmen nachhaltig zu stärken. Mit ihrer Hilfe lassen sich Einfallstore für Hacker erkennen und mit entsprechenden Sicherheitsmaßnahmen schließen. Dazu zählen beispielsweise physische, Hardware-, Software- oder menschliche Schwachstellen.
Fazit
Mit einem Passwortmanager lässt sich anhand von festgelegten KPIs erkennen, wie stark das Sicherheitsbewusstsein der Anwender gestiegen ist und wo es noch Schwierigkeiten im Umgang mit Passwörtern gibt. Auch IDC bescheinigt Passwortmanagern eine hohe Relevanz: Vor dem Hintergrund aktueller Cyberattacken zeigt sich, dass immer mehr Unternehmen sich für Passwortmanager entscheiden, um Datensicherheit nicht an mangelnder Kontrolle über IAM-Prozesse scheitern zu lassen. (jd)