:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/8d/898dc2faf5f0568d3672ac9179f4d906/0110552705.jpeg "Neue Leitlinien des Europäischen Datenschutzausschusses (EDSA) erläutern die praktische Anwendung der Zertifizierung als Instrument für Übermittlungen personenbezogener Daten in Drittländer. Allerdings können Datenschutzzertifikate allein das Datenschutzniveau in einem Drittland nicht garantieren und sind kein Ausweg bei Datentransfers. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5a/ae/5aae0faab5e96030eec56fbdc19b5876/0110368604.jpeg ""Mit nachhaltiger Security gegen zukünftige Bedrohungen", ein Interview von Oliver Schonschek, Insider Research, mit Alexander Werkmann von IBM. (Bild: Vogel IT-Medien / IBM / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit mit und ohne Passwörter Niemand will noch ein Passwort – oder?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
Es gibt Themen rund um die IT, die immer wieder totgesagt werden und trotzdem mit schöner Regelmäßigkeit regelmäßig wieder auftauchen: Dazu gehören unter anderem die Grabgesänge der Messenger-Apologeten auf die E-Mail und der bereits häufig verkündete „Tod der Passwörter“. Ein Blick auf die reale Situation in den Unternehmen zeigt hingegen, dass diese Behauptungen so nicht stimmen. Ein Plädoyer für den richtigen Umgang mit den „real existierenden“ Passwörtern und ihren Problemen.
Die fast schon sprichwörtlichen gelben Sticker am Monitor, auf denen das Passwort oder auch mehrere Passwörter eines Nutzers notiert sind, können IT-Verantwortliche und Administratoren zu ihrem Leidwesen auch heute noch an vielen Monitoren oder unter vielen Tastaturen finden. Mit der vermehrten Abwanderung der Nutzer und ihrer Client-Systeme in den mobilen Bereich und Home-Offices hat sich dieses Problem noch einmal verschärft. Der Administrator sieht diese „Beweise“ nicht mehr und kann seine Nutzer nicht ermahnen. Also scheint es nur sinnvoll, Passwörter ganz abzuschaffen. Schließlich gibt es doch genügend andere Methoden, Nutzer sicher zu authentifizieren. Selbst wer sich diesem grenzenlosen Optimismus anschließt, sollte die Augen vor der Realität in den Unternehmen nicht verschließen: Passwörter existieren, sie werden eingesetzt und sie werden gestohlen, ausgelesen und missbraucht.
Passwörter sind da – ebenso wie ihre Schwachstellen
Während viele Befürworter des Zero-Trust-Ansatzes deshalb immer wieder vehement dafür eintreten, dass es ohne den Einsatz der traditionellen Passwörter gehen muss, sehen sich die IT-Abteilungen mit einer großen Menge „real existierender“ Passwörter konfrontiert. Gerade bei den kleinen und mittelgroßen Betrieben (SMB – Small and Medium Business) ist das ein Problem. Viele Security-Spezialisten weisen schon seit einigen Jahren darauf hin, dass sowohl die IT-Verantwortlichen und -Administratoren als auch die Geschäftsleitung in diesen Unternehmen häufig kaum einen Überblick darüber besitzen, wie ihre Mitarbeiter mit dem sensiblen Passwort-Thema umgehen. Die Sicherheitsspezialisten des amerikanischen Unternehmens Keeper haben in Zusammenarbeit mit den Analysten vom Ponemon Institute einen globalen Bericht über die Cybersicherheit in kleinen und mittleren Unternehmen zusammengestellt. Dieser zeigte die Problematik auf: Nicht nur das fast 70 Prozent der Unternehmen zu berichten wussten, dass Passwörter gestohlen wurden, sondern auch die für das Zurücksetzen der Passwörter benötigte Zeit und die Änderung der Passwörter, wenn ein Mitarbeiter das Unternehmen verlässt, wurden eindeutig von den Unternehmen als Schwachstellen identifiziert. Für die Verantwortlichen gilt es also, den Umgang ihrer Mitarbeiter mit den Passwörter erhöhte Aufmerksamkeit zu schenken. Das heißt, dass neben Richtlinien für Schulungen und Unternehmen auch geeignete technische Lösungen bereitstehen müssen, die eine einheitliche, sichere Bewältigung dieser Problematik ermöglichen.
:quality(80)/p7i.vogel.de/wcms/26/52/2652bba0292edaf83d73fd5af4ae93ea/0105030293.jpeg "Passwörter sind nach wie vor eine Schwachstelle für viele Unternehmen und ihrer IT-Landschaft, wie ein Bericht von Keeper und dem Poneman Institute deutlich zeigt.")
:quality(80)/p7i.vogel.de/wcms/e0/1a/e01a7bcc704d35f166cf4fe86b105780/0105030299.jpeg "Freie Passwort-Manager wie das Programm KeePassXC eignen sich eher für erfahrene Nutzer und weniger für den generellen Einsatz im Unternehmen.")
:quality(80)/p7i.vogel.de/wcms/bf/23/bf239f57b6570512c0af460adbb3bcf5/0105030295.jpeg "Zwei-Faktor-Authentifizierung sollte heute selbstverständlich sein: Kommt eine Business-Lösung für die Passwortverwaltung zum Einsatz, können Administratoren aus verschiedene Methoden auswählen.")
:quality(80)/p7i.vogel.de/wcms/ec/ad/ecad072e42793065287207023aefe9f3/0105030294.jpeg "Ein wichtiger Bestandteil eines modernen Passwort-Managers: Ein sogenannter „Vault“ – ein sicherer Tresor nicht nur für die Passwörter, sondern auch für andere sicherheitsrelevante Daten.")
Es geht (noch) nicht ohne – aber es geht besser
Passwörter spielen eine wichtige Rolle in jeder IAM-Strategie (Identity and Access Management). Wie viele andere Begriffe und Akronyme in der IT wird auch IAM von den Security-Firmen und -Experten jeweils unterschiedlich definiert. Drei Hauptkomponenten, die aber vielfach vorkommen sind Single Sign-On- (SSO) und Privileged Access Management-Lösungen (PAM) und ganz sicher auch Enterprise Passwort Management (EPM). Dabei wird Single Sign On vielfach als die Lösung schlechthin betrachtet, ermöglichen solche Programm es den Nutzern doch sich mit nur einem einzigen Set von Login-Daten an viele Webseiten, SaaS-Lösungen (Software as a Service) wie Salesforce, Google oder SAP anzumelden. Doch SSO allein ist sicher nicht die ultimative Lösung: Verwendet die eingesetzte SSO-Software beispielsweise keine konsequente End-to-End-Verschlüsselung tut sich an dieser Stelle bereits wiederum eine Sicherheitslücke auf.
Während also SSO „nur“ den generellen Zugriff der Nutzer ermöglicht, kann eine PAM-Lösung den sehr feiner strukturierten Zugriff (hier wird oft der Begriff „granular“ verwendet) realisieren, was zumeist mit einem Rollen-basierten Zugriff (RBAC – Role-Based Access Control) einhergeht. Einfach gesagt bedeutet eine solche Technik, dass durch eine PAM-Lösung ganz genau definiert wird, welche Personengruppe oder auch einzelne Person beispielsweise welche Operationen auf eine Datenbank ausführen darf. Die Komplexität einer solchen Lösung sorgt unter anderem dafür, dass RBAC und PAM zumeist nur in großen Unternehmen mit einer entsprechend ausgebildeten IT-Abteilung zum Einsatz kommen.
Welche Möglichkeiten bietet da noch ein Passwort-Manager, besonders dann, wenn er speziell für den Einsatz im Business-Umfeld entwickelt wurde? Grundsätzlich erlaubt es beispielsweise ein derartiges Programm wie der Keeper Secrets Manager den Nutzern, ihre Login-Daten sicher in einem zentralen, privaten und sicheren Repository abzulegen. Genau wie beim Einsatz einer SSO-Lösung müssen die Nutzer sich dann nur noch ein „Masterpasswort“ merken, um auf alle in diesem Archiv abgespeicherten Zugangsdaten zugreifen zu können. Im Gegensatz zu SSO können Passwort-Manager mit allen Web-Seiten, allen Anwendungen und Systemen funktionieren, die im Unternehmen von den Nutzern eingesetzt werden. Zudem bieten sie zusätzliche Funktion wie das Generieren von sicheren Passwörtern, automatisches Ausfüllen beispielsweise auf Web-Seiten und zusätzliche private gesicherte Ablagen (Tresore) für die Nutzer. Anbieter wie Keeper sind zudem dazu übergegangen, ihre Lösung auf einer Zero-Trust- und Zero-Knowledge-Plattform in der Cloud aufzubauen und anzubieten. Somit entfällt für die Unternehmen das Problem, dass sie eine eigene Netzwerk- und Speicherinfrastruktur für das Passwort-Management On-Premise aufbauen und warten müssen.
Fazit: Passwörter brauchen maximale Sicherheit
Schon diese kurzen Ausführungen zeigen deutlich, dass die Unternehmen und ihre IT-Abteilung und in absehbarer Zukunft nicht auf den Einsatz von Passwörtern verzichten können. Worauf sie ebenfalls nicht verzichten können, ist die maximal mögliche Sicherheit: Das gilt im verstärkten Maße nicht nur für die großen Enterprise-Unternehmen, sondern auch für die Firmen aus dem SMB-Umfeld. Passwörter brauchen maximale Sicherheit und sollten möglichst komplex sein. Dabei sollte jedoch der Einsatz und die Pflege der Passwörter minimale Komplexität bieten – der Umgang mit diesen Daten muss für die Nutzer möglichst einfach und sicher sein.
Was aber gerade diese Unternehmen nicht benötigen, ist ein noch höheres Level an Komplexität, wenn es um ihre IAM-Strategie geht. Passwort-Manager sind gerade für kleinere Unternehmen sehr gut dazu geeignet, die Probleme rund um diesen Bereich in den Griff zu bekommen. Dabei ist es besonders gut, wenn diese Software den kleinen Unternehmen die Möglichkeit bietet, als auch als Lösung für SSO und PAM zu funktionieren. Kommt hingegen im Unternehmen bereits eine Lösung für SSO, zur 2-Faktor-Authentifizierung oder für PAM zum Einsatz, so kann ein moderner Business Password Manager problemlos mit diesen kombiniert werden. Passwörter werden weder durch den Einsatz einer 2-Faktor-Authentifizierung noch durch die Verwendung eines Business Passwort Managers „zum alten Eisen“ oder gar obsolet: Sie werden besser, einfacher und vor allen Dingen sicherer verwendet und verwaltet.
Über die Autoren
Thomas Bär ist seit Ende der neunziger Jahre in der IT tätig. Er bringt weitreichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen sowie als Trainer für LinkedIn Learning.
(ID:48393233)
:quality(80)/images.vogel.de/vogelonline/bdb/1907000/1907096/original.jpg "Mit Specops Password Policy sehen Administratoren direkt, welchen Einfluss bestimmte Vorgaben der Passwortrichtlinie auf die Passwortstärke haben. (Specops Software)")
:quality(80)/images.vogel.de/vogelonline/bdb/1935800/1935867/original.jpg "Für Unternehmen jeder Größe empfehlen sich Passwort-Manager für einen zusätzlichen Schutz und höheren Nutzerkomfort – auch bei einem begrenzten Sicherheitsbudget. (Vitalii Vodolazskyi - stock.adobe.com)")