Einige Security-Dienstleister haben diesen Trend bereits erkannt, so zum Beispiel Bechtle. Sören Wielewicki, Leiter des Competence Centers Privileged Access Management (PAM) beim Bechtle IT-Systemhaus Weimar, hat da ganz klare Vorstellungen: "Unsere Kunden sollten sich vom klassischen Passwortmanagement lösen." Denn seiner Meinung nach ist das Passwort allein nicht sicher. Daher setzt das Systemhaus bei seinen Kunden immer häufiger auf Passwortrotation nach jedem Zugriff.
Hierfür verwendet Bechtle unterschiedliche PAM-Systeme (Privileged Access Management). Die sorgen dafür, dass Nutzer, die sich mit ihren Windows-Passwörtern (im Active Directory hinterlegt) im Unternehmensnetzwerk angemeldet haben, danach mit automatisch rotierenden Passwörtern auf die unterschiedlichen Anwendungen zugreifen. "Die Anmeldung beim jeweiligen Ziesystem wird im Hintergrund durch die PAM-Lösung durchgeführt - Nutzer sehen niemals ein Passwort", betont Wielewicki. Genau darin liege eben der Vorteil eines PAM-Systems: "Es rotiert die Passwörter gezielt und auditiert die sichere Nutzung des eigentlichen Accounts dahinter", so der Bechtle-Manager weiter.
Nach wie vor auf "klassische" Passwort-Management-Lösungen setzt hingegen der auf Cloud-Security spezialisierte IT-Dienstleister CT Cloud Design - aktuell sind das die quelloffene Software "Passbolt" sowie die MFA-Lösung (Multifaktor-Authentifizierung) "AuthPoint Total Identity Security" von WatchGuard.
Christian Priske, Head of General Presales bei der MCL Group, legt besonderen Wert auf die Einhaltung von Sicherheitsrichtlinien: "Kunden, für die die Attribute Sicherheit und Vertrauen nur bedingt vereinbar sind,setzen gern auf quelloffene Werkzeuge wie Keepass." Seiner Meinung nach sollte man immer darauf achten, wo Passwörter gespeichert werden - lokal, am Server oder in der Cloud -, wie man diese Passwörter gegen Verlust sichert und wie oft man sie erneuern sollte: "Dienste können nun mal ausfallen oder nicht erreicbar sein", warnt der MCL-Manager.
Ähnlich denkt auch Jan Eike Carstens, Geschäftsfürer bei CT Cloud Design: "Kennwörter sind mit das Sensibelste, was es zu schützen gilt. Daher legen unsere Kunden sehr hohe Sicherheitsanforderungen bei der Aufbewahrung von Passwörtern an den Tag." Und deswegen sorgt Carstens dafür, dass die Systeme seiner Kunden immer rechtzeitig auf neuesten Sicherheitsstandard gebracht werden, und bietet Software-Updates als Managed Service an.
MFA - Multifaktor-Authentifizierung
Die schon angesprochene Multifaktor-Authentifizierung ist heutzutage bei allen Kunden gut akzeptiert, viele Anwender kennen ja dieses Verfahren bereits aus ihrem Privatleben (E-Commerce, Online-Banking, Paypal und so weiter). So setzt auch die Bechtle AG bei ihren Kunden unterschiedliche passwortlose User-Identifizierungmethoden wie Gesichtserkennung, Fingerabdruck oder FIDO-Authentifizierung (Fast IDentity Online) ein.
Darüber hinaus prüft das Systemhaus aber auch die Zugriffe auf sensible Systeme bei seinen Kunden ganz genau, sodass privilegierte Rechte an Systemadministratoren nur nach Rücksprache mit den Vorgesetzen verteilt werden. "Durch das Ändern eines Passworts auf der PAM-Plattform - nach jeder administrativen Tätigkeit - wird der Lebenszyklus des Passworts deutlich verkürzt", beschreibt Wielewicki die Vorgehensweise. Zusätzlich wird der Zugriff gegebenenfalls sogar aufgezeichnet, nach Ansicht des Bechtle-Managers ist das Passwort unter diesen Voraussetzungen als sicher zu betrachten. "Aufgezeichnete Passwörter können außerdem auf Anomalien untersucht und diese gegebenenfalls der Führungsebene mitgeteilt werden."
Die Multifaktor-Authentifizierung scheint sich jedoch noch nicht überall durchgesetzt zu haben, wie Jan Eike Carstens bemerkt: "Noch immer unterstützen nicht alle Hersteller standardisierte Anmeldeverfahren wie SAML oder Radius Authentifizierung für die sichere Anmeldung per Multifaktor an Systemen." Oftmals hat der Chef von CT Cloud Design in Kundenprojekten die Erfahrung gemacht, dass bei der Implementierung von Single-Sign-On-Anmeldungen doch das eine oder andere Problem auftaucht - vor allem wenn einem Lösungen mehrerer unterschiedlicher Security-Anbieter gleichzeitig begegnen. Hier wünscht sich Carstens eine breitere Auswahl an Authentifizierungssystemen.
Christian Priske plädiert an dieser Stelle für das Mobiltelefon als Authentifizierungs-Device: "Nutzer kennen doch Fingerabdrucksensoren, PIN-Eingaben und Gesichtserkennungssysteme von ihren Smartphones. Eine Kombination aus der Identifizierung des Users am Mobiltelefon mit einem sicheren statischen Passwort würde es nach Ansicht des MCL-Vertriebsleiters poteziellen Angreifern sehr schwer machen, sich unberechtigt Zugang zum Firmennetzwerk zu verschaffen.
Und hier kann der Managed Service Provider ebenfalls punkten: "Mit unseren Schließanlagen samt Kameratechnik können wir nicht nur den passwortlosen Zugriff auf den Büroarbeitsplatz, sondern auch den Zugang zum Campus und zum Rechenzentrum biometrisch absichern", argumentiert Priske.
Doch ganz auf Passwörter zu verzichten, das hält der MCL-Manager für wenig realistisch. Es geht ihm diesbezüglich vor allem um die nicht personenbezogenen „Superuser Accounts“, die man in Normalfall nicht benötige. Doch wer bei Kündigung, Krankheit oder gar dem Tod des Systemadministrators Zugriff auf seine Systeme aufrechterhalten möchte, sollte dann das „Superuser“-Passwort kennen. Für diesen Fall empfiehlt Priske, dieses besondere Passwort an einem physisch gesicherten Platz, etwa in einem Tresor, aufzubewahren - altmodisch auf einem Stück Papier aufgeschrieben. Man kennt ein derartiges Verfahren von der Nutzung seines eigenen Mobiltelefons: Wer seine PIN (Persönliche Identifikations-Nummer) zur Aktivierung der SIM-Karte drei Mal hintereinander falsch eingegeben hat, muss diese dann mit der "Super-PIN", dem PUK, also dem persönlichen Entsperrschlüssel, wiederfreischalten.
Der Verkaufsprozess
Doch wie einfach oder wie schwierig ist es denn, Kunden für passwortlose oder zumindest für passwortarme IT-Sicherheitssysteme zu begeistern? Für den Bechtle-Manager Wielewicki kommt es immer auf die erste Kontaktaufnahme an: "Weil uns wichtig ist, die geeignete Lösung gemeinsam mit unseren Kunden zu finden, beginnt unsere Zusammenarbeit immer mit einem standardisierten Fragebogen und einem darauf aufbauenden Workshop."
Erst auf Basis der darin festgelegten Anforderungen und möglichen Einsatzszenarien schlägt Bechtle Interessenten die zwei am besten zu ihren Wünschen passenden Lösungen vor und erstellt für sie anschließend ein Proof of Concept, um die prinzipielle Durchführbarkeit des Projekts unter Beweis zu stellen."So können wir unsere Kunden überzeugen, sich vom klassischen Passwortmanagement zu lösen", so Wielewicki weiter.
Der Bechtle-Manager empfiehlt derartige Privileged-Access-Management-Lösungen vor allem Betreibern Kritischer Infrastrukturen, also Energie- und Wasserversorgern, Logistikern, Krankenhäusern und allen Kunden, die eine Zertifizierung nach ISO 27001 anstreben: "Wir stellen oft fest, dass Kunden vor allem nach einem Cybervorfall sehr offen für dieses Thema sind." Ist der Kunde dann bereit, in PAM-Systeme zu investieren, definiert Bechtle mit ihm gemeinsam eine Roadmap. Dabei setzt das Systemhaus zuerst immer bei den sensibelsten Systemen des Kunden an, danach erfolgt der Ausbau schrittweise. Prinzipiell betrachtet Wielewicki Privileged-Access-Management-Lösungen als sinnvolle Investition für alle Kundensegmente und Branchen - natürlich erst ab einer gewisen Mindestanzahl an kritischen IT-Systemen.
Ähnlich argumentiert Christian Priske. Auch der Presales-Leiter bei MCL hat schon die Erfahrung gemacht, dass Unternehmen sich dem Thema IT-Security oft erst nach einer "erfolgreich" durchgeführten Cyberattacke widmen. Aber es gibt auch Interessenten, die durch Zertifizierungsanforderungen oder auch vor Abschluss einer Cyber-Versicherung nach einem IT-Security-Dienstleister suchen. "Aus Zeit- und Ressourcenmangel können die kundeneigenen IT-Abteilungen diese Aufgaben nicht angehen", berichtet Prise. Da helfe es seiner Meinung nach schon, einen Partner mit Erfahrung in der Umsetzung solcher Maßnahmen zu haben.
Darüber hinaus hält es der MCL-Manager für essenziell, dass die dem Kunden angebotene Security-Lösung einfach zu nutzen sein muss, sonst werde sie nicht akzeptiert. Allerdings besteht Priske auch darauf, dassKunden zur Nutzung bestimmter Werkzeuge "gezwungen" werden müssten, um die einmal definierten Sicherheitsrichtlinien auch wirklich einzuhalten. Überzeugen ließen sich die Kunden oft durch praktische Beispiele, wie leicht Passwörter "gestohlen" und missbraucht werden können und wie weitreichend dann der Schaden sein kann. "Wir können derartige Angriffe bei Kunden simulieren, was sie oft sehr stark beeindruckt", berichtet der MCL-Vertriebler. Immerhin liefern derartige Simulationen in Kundenumgebung oft die besten Verkaufsargumente.
Für Jan Eike Carstens von CT Cloud Design liegt die Notwendigkeit, in Passwortmanagement-Systeme zu investieren, klar auf der Hand: "Keiner kann sich die Vielzahl an Kennwörtern mehr merken." Und da laut Vorgaben komplexe Kennwörter verwendet werden müssen, komme man um ein Verwaltungstool für diese Kennwörter nicht herum. "Sonst liegen diese Passwörter irgendwo im Klartext herum, und das Sicherheitsrisiko für den Kunden steigt dadurch enorm", so der Geschäftsführer von CT Cloud Design weiter.
Mehr zum Thema:
Die 200 meistgenutzten Passwörter 2020
Passkey: So werden Passwörter überflüssig
Vergessen oder verloren: Passwort knacken leicht gemacht
"admin", "root" und "1234" weiterhin auf den ersten Plätzen
LastPass-Studie: Umgang mit Passwörtern mangelhaft