:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit mit und ohne Passwörter Niemand will noch ein Passwort – oder?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Es gibt Themen rund um die IT, die immer wieder totgesagt werden und trotzdem mit schöner Regelmäßigkeit regelmäßig wieder auftauchen: Dazu gehören unter anderem die Grabgesänge der Messenger-Apologeten auf die E-Mail und der bereits häufig verkündete „Tod der Passwörter“. Ein Blick auf die reale Situation in den Unternehmen zeigt hingegen, dass diese Behauptungen so nicht stimmen. Ein Plädoyer für den richtigen Umgang mit den „real existierenden“ Passwörtern und ihren Problemen.
Die fast schon sprichwörtlichen gelben Sticker am Monitor, auf denen das Passwort oder auch mehrere Passwörter eines Nutzers notiert sind, können IT-Verantwortliche und Administratoren zu ihrem Leidwesen auch heute noch an vielen Monitoren oder unter vielen Tastaturen finden. Mit der vermehrten Abwanderung der Nutzer und ihrer Client-Systeme in den mobilen Bereich und Home-Offices hat sich dieses Problem noch einmal verschärft. Der Administrator sieht diese „Beweise“ nicht mehr und kann seine Nutzer nicht ermahnen. Also scheint es nur sinnvoll, Passwörter ganz abzuschaffen. Schließlich gibt es doch genügend andere Methoden, Nutzer sicher zu authentifizieren. Selbst wer sich diesem grenzenlosen Optimismus anschließt, sollte die Augen vor der Realität in den Unternehmen nicht verschließen: Passwörter existieren, sie werden eingesetzt und sie werden gestohlen, ausgelesen und missbraucht.
Passwörter sind da – ebenso wie ihre Schwachstellen
Während viele Befürworter des Zero-Trust-Ansatzes deshalb immer wieder vehement dafür eintreten, dass es ohne den Einsatz der traditionellen Passwörter gehen muss, sehen sich die IT-Abteilungen mit einer großen Menge „real existierender“ Passwörter konfrontiert. Gerade bei den kleinen und mittelgroßen Betrieben (SMB – Small and Medium Business) ist das ein Problem. Viele Security-Spezialisten weisen schon seit einigen Jahren darauf hin, dass sowohl die IT-Verantwortlichen und -Administratoren als auch die Geschäftsleitung in diesen Unternehmen häufig kaum einen Überblick darüber besitzen, wie ihre Mitarbeiter mit dem sensiblen Passwort-Thema umgehen. Die Sicherheitsspezialisten des amerikanischen Unternehmens Keeper haben in Zusammenarbeit mit den Analysten vom Ponemon Institute einen globalen Bericht über die Cybersicherheit in kleinen und mittleren Unternehmen zusammengestellt. Dieser zeigte die Problematik auf: Nicht nur das fast 70 Prozent der Unternehmen zu berichten wussten, dass Passwörter gestohlen wurden, sondern auch die für das Zurücksetzen der Passwörter benötigte Zeit und die Änderung der Passwörter, wenn ein Mitarbeiter das Unternehmen verlässt, wurden eindeutig von den Unternehmen als Schwachstellen identifiziert. Für die Verantwortlichen gilt es also, den Umgang ihrer Mitarbeiter mit den Passwörter erhöhte Aufmerksamkeit zu schenken. Das heißt, dass neben Richtlinien für Schulungen und Unternehmen auch geeignete technische Lösungen bereitstehen müssen, die eine einheitliche, sichere Bewältigung dieser Problematik ermöglichen.
:quality(80)/p7i.vogel.de/wcms/26/52/2652bba0292edaf83d73fd5af4ae93ea/0105030293.jpeg "Passwörter sind nach wie vor eine Schwachstelle für viele Unternehmen und ihrer IT-Landschaft, wie ein Bericht von Keeper und dem Poneman Institute deutlich zeigt.")
:quality(80)/p7i.vogel.de/wcms/e0/1a/e01a7bcc704d35f166cf4fe86b105780/0105030299.jpeg "Freie Passwort-Manager wie das Programm KeePassXC eignen sich eher für erfahrene Nutzer und weniger für den generellen Einsatz im Unternehmen.")
:quality(80)/p7i.vogel.de/wcms/bf/23/bf239f57b6570512c0af460adbb3bcf5/0105030295.jpeg "Zwei-Faktor-Authentifizierung sollte heute selbstverständlich sein: Kommt eine Business-Lösung für die Passwortverwaltung zum Einsatz, können Administratoren aus verschiedene Methoden auswählen.")
:quality(80)/p7i.vogel.de/wcms/ec/ad/ecad072e42793065287207023aefe9f3/0105030294.jpeg "Ein wichtiger Bestandteil eines modernen Passwort-Managers: Ein sogenannter „Vault“ – ein sicherer Tresor nicht nur für die Passwörter, sondern auch für andere sicherheitsrelevante Daten.")
Es geht (noch) nicht ohne – aber es geht besser
Passwörter spielen eine wichtige Rolle in jeder IAM-Strategie (Identity and Access Management). Wie viele andere Begriffe und Akronyme in der IT wird auch IAM von den Security-Firmen und -Experten jeweils unterschiedlich definiert. Drei Hauptkomponenten, die aber vielfach vorkommen sind Single Sign-On- (SSO) und Privileged Access Management-Lösungen (PAM) und ganz sicher auch Enterprise Passwort Management (EPM). Dabei wird Single Sign On vielfach als die Lösung schlechthin betrachtet, ermöglichen solche Programm es den Nutzern doch sich mit nur einem einzigen Set von Login-Daten an viele Webseiten, SaaS-Lösungen (Software as a Service) wie Salesforce, Google oder SAP anzumelden. Doch SSO allein ist sicher nicht die ultimative Lösung: Verwendet die eingesetzte SSO-Software beispielsweise keine konsequente End-to-End-Verschlüsselung tut sich an dieser Stelle bereits wiederum eine Sicherheitslücke auf.
Während also SSO „nur“ den generellen Zugriff der Nutzer ermöglicht, kann eine PAM-Lösung den sehr feiner strukturierten Zugriff (hier wird oft der Begriff „granular“ verwendet) realisieren, was zumeist mit einem Rollen-basierten Zugriff (RBAC – Role-Based Access Control) einhergeht. Einfach gesagt bedeutet eine solche Technik, dass durch eine PAM-Lösung ganz genau definiert wird, welche Personengruppe oder auch einzelne Person beispielsweise welche Operationen auf eine Datenbank ausführen darf. Die Komplexität einer solchen Lösung sorgt unter anderem dafür, dass RBAC und PAM zumeist nur in großen Unternehmen mit einer entsprechend ausgebildeten IT-Abteilung zum Einsatz kommen.
Welche Möglichkeiten bietet da noch ein Passwort-Manager, besonders dann, wenn er speziell für den Einsatz im Business-Umfeld entwickelt wurde? Grundsätzlich erlaubt es beispielsweise ein derartiges Programm wie der Keeper Secrets Manager den Nutzern, ihre Login-Daten sicher in einem zentralen, privaten und sicheren Repository abzulegen. Genau wie beim Einsatz einer SSO-Lösung müssen die Nutzer sich dann nur noch ein „Masterpasswort“ merken, um auf alle in diesem Archiv abgespeicherten Zugangsdaten zugreifen zu können. Im Gegensatz zu SSO können Passwort-Manager mit allen Web-Seiten, allen Anwendungen und Systemen funktionieren, die im Unternehmen von den Nutzern eingesetzt werden. Zudem bieten sie zusätzliche Funktion wie das Generieren von sicheren Passwörtern, automatisches Ausfüllen beispielsweise auf Web-Seiten und zusätzliche private gesicherte Ablagen (Tresore) für die Nutzer. Anbieter wie Keeper sind zudem dazu übergegangen, ihre Lösung auf einer Zero-Trust- und Zero-Knowledge-Plattform in der Cloud aufzubauen und anzubieten. Somit entfällt für die Unternehmen das Problem, dass sie eine eigene Netzwerk- und Speicherinfrastruktur für das Passwort-Management On-Premise aufbauen und warten müssen.
Fazit: Passwörter brauchen maximale Sicherheit
Schon diese kurzen Ausführungen zeigen deutlich, dass die Unternehmen und ihre IT-Abteilung und in absehbarer Zukunft nicht auf den Einsatz von Passwörtern verzichten können. Worauf sie ebenfalls nicht verzichten können, ist die maximal mögliche Sicherheit: Das gilt im verstärkten Maße nicht nur für die großen Enterprise-Unternehmen, sondern auch für die Firmen aus dem SMB-Umfeld. Passwörter brauchen maximale Sicherheit und sollten möglichst komplex sein. Dabei sollte jedoch der Einsatz und die Pflege der Passwörter minimale Komplexität bieten – der Umgang mit diesen Daten muss für die Nutzer möglichst einfach und sicher sein.
Was aber gerade diese Unternehmen nicht benötigen, ist ein noch höheres Level an Komplexität, wenn es um ihre IAM-Strategie geht. Passwort-Manager sind gerade für kleinere Unternehmen sehr gut dazu geeignet, die Probleme rund um diesen Bereich in den Griff zu bekommen. Dabei ist es besonders gut, wenn diese Software den kleinen Unternehmen die Möglichkeit bietet, als auch als Lösung für SSO und PAM zu funktionieren. Kommt hingegen im Unternehmen bereits eine Lösung für SSO, zur 2-Faktor-Authentifizierung oder für PAM zum Einsatz, so kann ein moderner Business Password Manager problemlos mit diesen kombiniert werden. Passwörter werden weder durch den Einsatz einer 2-Faktor-Authentifizierung noch durch die Verwendung eines Business Passwort Managers „zum alten Eisen“ oder gar obsolet: Sie werden besser, einfacher und vor allen Dingen sicherer verwendet und verwaltet.
Über die Autoren
Thomas Bär ist seit Ende der neunziger Jahre in der IT tätig. Er bringt weitreichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt.
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen sowie als Trainer für LinkedIn Learning.
(ID:48393233)
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/db/52/db523c6c210c24c3823429d4f41a7818/0114838670.jpeg "Biometrische Verfahren wie der Iris-Scan sind Zugangskarten bei der Identitätskontrolle aus Sicherheitsgründen vorzuziehen. (Bild: midjourney | J. Rath)")