Sicherheit mit und ohne Passwörter Niemand will noch ein Passwort – oder?

Von Thomas Bär und Von Frank-Michael Schlede

Anbieter zum Thema

Es gibt Themen rund um die IT, die immer wieder totgesagt werden und trotzdem mit schöner Regelmäßigkeit regelmäßig wieder auftauchen: Dazu gehören unter anderem die Grabgesänge der Messenger-Apologeten auf die E-Mail und der bereits häufig verkündete „Tod der Passwörter“. Ein Blick auf die reale Situation in den Unternehmen zeigt hingegen, dass diese Behauptungen so nicht stimmen. Ein Plädoyer für den richtigen Umgang mit den „real existierenden“ Passwörtern und ihren Problemen.

Unternehmen und ihre IT-Abteilungen werden auf absehbare Zeit nicht auf den Einsatz von Passwörtern verzichten können.
Unternehmen und ihre IT-Abteilungen werden auf absehbare Zeit nicht auf den Einsatz von Passwörtern verzichten können.
(Bild: Vitalii Vodolazskyi - stock.adobe.com )

Die fast schon sprichwörtlichen gelben Sticker am Monitor, auf denen das Passwort oder auch mehrere Passwörter eines Nutzers notiert sind, können IT-Verantwortliche und Administratoren zu ihrem Leidwesen auch heute noch an vielen Monitoren oder unter vielen Tastaturen finden. Mit der vermehrten Abwanderung der Nutzer und ihrer Client-Systeme in den mobilen Bereich und Home-Offices hat sich dieses Problem noch einmal verschärft. Der Administrator sieht diese „Beweise“ nicht mehr und kann seine Nutzer nicht ermahnen. Also scheint es nur sinnvoll, Passwörter ganz abzuschaffen. Schließlich gibt es doch genügend andere Methoden, Nutzer sicher zu authentifizieren. Selbst wer sich diesem grenzenlosen Optimismus anschließt, sollte die Augen vor der Realität in den Unternehmen nicht verschließen: Passwörter existieren, sie werden eingesetzt und sie werden gestohlen, ausgelesen und missbraucht.

Passwörter sind da – ebenso wie ihre Schwachstellen

Während viele Befürworter des Zero-Trust-Ansatzes deshalb immer wieder vehement dafür eintreten, dass es ohne den Einsatz der traditionellen Passwörter gehen muss, sehen sich die IT-Abteilungen mit einer großen Menge „real existierender“ Passwörter konfrontiert. Gerade bei den kleinen und mittelgroßen Betrieben (SMB – Small and Medium Business) ist das ein Problem. Viele Security-Spezialisten weisen schon seit einigen Jahren darauf hin, dass sowohl die IT-Verantwortlichen und -Administratoren als auch die Geschäftsleitung in diesen Unternehmen häufig kaum einen Überblick darüber besitzen, wie ihre Mitarbeiter mit dem sensiblen Passwort-Thema umgehen. Die Sicherheitsspezialisten des amerikanischen Unternehmens Keeper haben in Zusammenarbeit mit den Analysten vom Ponemon Institute einen globalen Bericht über die Cybersicherheit in kleinen und mittleren Unternehmen zusammengestellt. Dieser zeigte die Problematik auf: Nicht nur das fast 70 Prozent der Unternehmen zu berichten wussten, dass Passwörter gestohlen wurden, sondern auch die für das Zurücksetzen der Passwörter benötigte Zeit und die Änderung der Passwörter, wenn ein Mitarbeiter das Unternehmen verlässt, wurden eindeutig von den Unternehmen als Schwachstellen identifiziert. Für die Verantwortlichen gilt es also, den Umgang ihrer Mitarbeiter mit den Passwörter erhöhte Aufmerksamkeit zu schenken. Das heißt, dass neben Richtlinien für Schulungen und Unternehmen auch geeignete technische Lösungen bereitstehen müssen, die eine einheitliche, sichere Bewältigung dieser Problematik ermöglichen.

Bildergalerie

Es geht (noch) nicht ohne – aber es geht besser

Passwörter spielen eine wichtige Rolle in jeder IAM-Strategie (Identity and Access Management). Wie viele andere Begriffe und Akronyme in der IT wird auch IAM von den Security-Firmen und -Experten jeweils unterschiedlich definiert. Drei Hauptkomponenten, die aber vielfach vorkommen sind Single Sign-On- (SSO) und Privileged Access Management-Lösungen (PAM) und ganz sicher auch Enterprise Passwort Management (EPM). Dabei wird Single Sign On vielfach als die Lösung schlechthin betrachtet, ermöglichen solche Programm es den Nutzern doch sich mit nur einem einzigen Set von Login-Daten an viele Webseiten, SaaS-Lösungen (Software as a Service) wie Salesforce, Google oder SAP anzumelden. Doch SSO allein ist sicher nicht die ultimative Lösung: Verwendet die eingesetzte SSO-Software beispielsweise keine konsequente End-to-End-Verschlüsselung tut sich an dieser Stelle bereits wiederum eine Sicherheitslücke auf.

Während also SSO „nur“ den generellen Zugriff der Nutzer ermöglicht, kann eine PAM-Lösung den sehr feiner strukturierten Zugriff (hier wird oft der Begriff „granular“ verwendet) realisieren, was zumeist mit einem Rollen-basierten Zugriff (RBAC – Role-Based Access Control) einhergeht. Einfach gesagt bedeutet eine solche Technik, dass durch eine PAM-Lösung ganz genau definiert wird, welche Personengruppe oder auch einzelne Person beispielsweise welche Operationen auf eine Datenbank ausführen darf. Die Komplexität einer solchen Lösung sorgt unter anderem dafür, dass RBAC und PAM zumeist nur in großen Unternehmen mit einer entsprechend ausgebildeten IT-Abteilung zum Einsatz kommen.

Welche Möglichkeiten bietet da noch ein Passwort-Manager, besonders dann, wenn er speziell für den Einsatz im Business-Umfeld entwickelt wurde? Grundsätzlich erlaubt es beispielsweise ein derartiges Programm wie der Keeper Secrets Manager den Nutzern, ihre Login-Daten sicher in einem zentralen, privaten und sicheren Repository abzulegen. Genau wie beim Einsatz einer SSO-Lösung müssen die Nutzer sich dann nur noch ein „Masterpasswort“ merken, um auf alle in diesem Archiv abgespeicherten Zugangsdaten zugreifen zu können. Im Gegensatz zu SSO können Passwort-Manager mit allen Web-Seiten, allen Anwendungen und Systemen funktionieren, die im Unternehmen von den Nutzern eingesetzt werden. Zudem bieten sie zusätzliche Funktion wie das Generieren von sicheren Passwörtern, automatisches Ausfüllen beispielsweise auf Web-Seiten und zusätzliche private gesicherte Ablagen (Tresore) für die Nutzer. Anbieter wie Keeper sind zudem dazu übergegangen, ihre Lösung auf einer Zero-Trust- und Zero-Knowledge-Plattform in der Cloud aufzubauen und anzubieten. Somit entfällt für die Unternehmen das Problem, dass sie eine eigene Netzwerk- und Speicherinfrastruktur für das Passwort-Management On-Premise aufbauen und warten müssen.

Fazit: Passwörter brauchen maximale Sicherheit

Schon diese kurzen Ausführungen zeigen deutlich, dass die Unternehmen und ihre IT-Abteilung und in absehbarer Zukunft nicht auf den Einsatz von Passwörtern verzichten können. Worauf sie ebenfalls nicht verzichten können, ist die maximal mögliche Sicherheit: Das gilt im verstärkten Maße nicht nur für die großen Enterprise-Unternehmen, sondern auch für die Firmen aus dem SMB-Umfeld. Passwörter brauchen maximale Sicherheit und sollten möglichst komplex sein. Dabei sollte jedoch der Einsatz und die Pflege der Passwörter minimale Komplexität bieten – der Umgang mit diesen Daten muss für die Nutzer möglichst einfach und sicher sein.

Was aber gerade diese Unternehmen nicht benötigen, ist ein noch höheres Level an Komplexität, wenn es um ihre IAM-Strategie geht. Passwort-Manager sind gerade für kleinere Unternehmen sehr gut dazu geeignet, die Probleme rund um diesen Bereich in den Griff zu bekommen. Dabei ist es besonders gut, wenn diese Software den kleinen Unternehmen die Möglichkeit bietet, als auch als Lösung für SSO und PAM zu funktionieren. Kommt hingegen im Unternehmen bereits eine Lösung für SSO, zur 2-Faktor-Authentifizierung oder für PAM zum Einsatz, so kann ein moderner Business Password Manager problemlos mit diesen kombiniert werden. Passwörter werden weder durch den Einsatz einer 2-Faktor-Authentifizierung noch durch die Verwendung eines Business Passwort Managers „zum alten Eisen“ oder gar obsolet: Sie werden besser, einfacher und vor allen Dingen sicherer verwendet und verwaltet.

Über die Autoren

Thomas Bär ist seit Ende der neunziger Jahre in der IT tätig. Er bringt weitreichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt.

Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen sowie als Trainer für LinkedIn Learning.

(ID:48393233)