Unternehmen sind ständigen Sicherheitsrisiken ausgesetzt: In den vergangenen 24 Monaten waren laut IDC-Studie "IT Security in Deutschland 2018" 67 Prozent der deutschen Unternehmen von Sicherheitsvorfällen betroffen. Anfang 2019 landeten mit der Datensammlung Collection #1 über 1,6 Milliarden Kombinationen von E-Mail-Adressen und Passwörtern im Netz. Danach wurden in einem Internetforum für Hacker die Collections #2 bis #5 gefunden, mit mehr als 600 Gigabyte gestohlenen Identitätsdaten.
Möglich werden solche Diebstähle unter anderem durch menschliche Schwächen. Durch die fortschreitende Digitalisierung verschmelzen persönliche Gewohnheiten und geschäftliche Prozesse. Mitarbeiter nutzen mehrere mobile Endgeräte sowohl für geschäftliche als auch private Zwecke, ohne sich über die Konsequenzen im Klaren zu sein. Schlechte Nutzergewohnheiten wie unsichere, immer wiederverwendete Passwörter für alle Konten sowie Passwörter, die sie mit Kollegen teilen, sind Einfallstore für Hacker.
Bequemlichkeit statt Sicherheit
Laut einer Studie von LastPass verwenden fast die Hälfte der 43.000 befragten Menschen die gleichen Passwörter für persönliche und berufliche Konten. Im Durchschnitt teilt ein Mitarbeiter etwa sechs Passwörter mit seinen Mitarbeitern. Kurz: Gerade bei Identity und Access geht es den Anwendern um ihre Bequemlichkeit und nicht um das Sicherheitsinteresse des Unternehmens. So nutzt laut einer Untersuchung des Digitalverbands Bitkom jeder Dritte nur ein Passwort für mehrere Dienste.
Der Anwender bleibt also aktuell noch das höchste Sicherheitsrisiko. Das zeigt auch die IDC-Studie: In "falscher Nutzung sowie mangelnder Awareness" sehen 81 Prozent der befragten Unternehmen die größte Hürde auf dem Weg zu mehr Cybersicherheit. Aber auch bei "ungesicherten oder mangelhaft gesicherten Endpoints sowie "Malware, Phishing, Social Engineering sowie DDoS-Angriffen" zeigen sich Schwachstellen, die in einem ersten Schritt mit einem Passwortmanager geschlossen werden können.
Der Passwortmanager
Bei aktuellen IAM-Lösungen gibt es noch keine Standards. Unterschiedliche Ansätze lassen sich nur mit hohem Aufwand miteinander verbinden und erschweren es Unternehmen, eine Komplettlösung für individuelle Bedürfnisse zu erhalten. Um die Datensicherheit bereits während des Evaluierungs- und Implementierungsprozesses einer komplexeren Lösung zu erhöhen, bietet sich die Einführung eines Passwortmanagers als ersten Schritt an. Dabei sollten auch SaaS-Lösungen in die engere Auswahl genommen werden. Diese können den Vorteil bieten, dass sie für die IT-Abteilung mit wenig Aufwand zu implementieren sind und den Mitarbeitern einen einfachen und sicheren Zugriff bieten.
Bevor sich ein Unternehmen für eine bestimmte Passwortmanagement-Lösung entscheidet, ist zu klären, was diese leisten muss. Die IT-Abteilung sollte gemeinsam mit dem Compliance-Team einen Katalog entwickeln, welche Management-Features unbedingt enthalten sein müssen, um sicher und regelkonform zu arbeiten.
IT-Entscheider sollten vor allem auf folgende Features achten:
Passwortdatenbank mit End-to-End-Verschlüsselung;
zufällig generierte Passwörter;
rollenbasierte Berechtigungen für Passwörter;
Kontrolle über gemeinsam genutzte Zugangsdaten;
zusätzliche Sicherheit durch Multifaktor-Authentifizierung;
Außerkraftsetzen von Zugangsdaten, wenn Mitarbeiter die Organisation verlassen.
sicheres Verschlüsselungsverfahren wie AES;
übersichtlich gestaltetes Dashboard;
einfache Einrichtung und automatisches Ausfüllen der Passwortfelder;
Passwortcheck zu unsicheren Passwörtern und Dubletten;
leichtes Organisieren einer großen Anzahl an Passwörtern;
zeitnahe Information bei Datenlecks;
Die passende Authentifizierungsstrategie
So wichtig die Funktionalitäten sind, so gilt es doch, den Passwortmanager nicht allein nach Features auswählen. Eine Lösung ist nur so gut wie die Akzeptanz durch die Anwender. Daher gilt es, deren Bedürfnisse im Blick zu behalten.
Eine flexible Multifaktor-Authentifizierung ist hierbei ein entscheidendes Auswahlkriterium. Sie ergänzt den Faktor Passwort um mindestens eine weitere Komponente. Ein Anwender muss also nicht nur etwas wissen (das Passwort), sondern zusätzlich etwas besitzen (etwa einen Token, der über eine App generiert wird) oder etwas 'sein' (eine biometrische Komponente wie einen Fingerabdruck per Scanner einbringen), um Zugang zu seinem Account zu erhalten. Das kann einerseits sicherer sein, andererseits einfach zu handhaben. Zudem löst eine schlanke, einfach zu bedienende Lösung die Hemmungen, sich überhaupt mit dem neuen Tool zu beschäftigen und nicht nach Workarounds zu suchen.
In der Praxis haben sich sogenannte User Acceptance Tests durchgesetzt: Hat die IT-Abteilung bereits eine Vorauswahl an zwei bis drei geeigneten Passwortmanagern getroffen, lädt sie zu einem Test ein. Bei dem prüft eine Fokusgruppe aus Vertrieb, Personal, Finanzen und Technikern zusammen mit den jeweiligen Herstellern die Lösungen. Mitarbeiter aus den operativen wie vertikalen Unternehmensbereichen in den Entscheidungsprozess miteinzubeziehen schafft bereits eine erste Akzeptanz und das Unternehmen schafft sich damit Multiplikatoren, die die Entscheidung für den Passwortmanager mittragen und deren Einführung positiv begleiten.