:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Pro und Contra Passwort-Manager Password Manager – Nein Danke?
Ohne Passworte geht es nicht! Ein Login Bildschirm am PC, der Account für das Onlinebanking, die Web-Bestellseite, das Login für das Social Media-Netzwerk, überall wird man nach einem Passwort gefragt. Selbiges soll möglichst kompliziert sein, Sonderzeichen enthalten und nicht bereits an anderer Stelle Verwendung finden. Eine Anforderung, die eher einer Herausforderung gleicht und nicht wenige Anwender vor Probleme stellt. Doch die Lösung ist nah. Es gibt Passwort-Manager, die sich hier als universelles Utility präsentieren und alle Problem lösen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Es gibt einige Punkte die sehr für den Einsatz von Passwort-Management-Tools sprechen. Wir merken uns drei oder auch mal zehn Passwörter, aber je komplexer diese werden und je kürzer die Wechselfrequenz ist, umso großer wird die Fehlerquote. Also nutzen wir ein Tool, welches für uns alle Passwörter speichert. Egal ob zehn oder fünfzig, das Tool merkt sich alles und bietet oft tolle Funktionen an, die eine IT-Nutzung vereinfachen.
Features, wie die Generierung von langen und komplexen Passwörtern werden ebenso angeboten, wie die automatische Eingabe der Daten in die relevanten Formularfelder bei der Anmeldung via Browser. Auch Service-Funktionen, wie eine thematische Gruppierung oder die Erinnerung alle n Tage an einen empfehlenswerten Passwortwechsel bieten die Tools. Wird die Passwortbasis auch noch in der Cloud gehostet oder an einer anderen Online-Ressource, kann sogar übergreifend auf die Basis zugegriffen werden. So können elegant die Passwörter auch auf einem Tablett oder Smartphone genutzt werden. Und anstatt sich eine Vielzahl von Passwörtern zu merken, genügt ein Master-Passwort, für den Zugang zu diesen Komfortfunktionen. Eine tolle Sache und eine Vielzahl von Experten raten auch zu Passwort-Managern, da sie die Nutzung und den Umgang mit Passworten deutlich verbessern und so zu einer verbesserten IT Sicherheit beitragen!
:quality(80)/images.vogel.de/vogelonline/bdb/1074700/1074722/original.jpg "Ein Passwort-Safe spart auf Dauer viel Mühe und Gehirnschmalz, wir stellen die gängigsten Kennwort-Manager vor. (DasWortgewand - Pixabay.com)")
Kennwortverwaltung
Beliebte Passwort-Manager im Überblick
:quality(80)/images.vogel.de/vogelonline/bdb/1092600/1092625/original.jpg "Kennwörter und Zugangsdaten sind essentiell für den Unternehmensalltag. Unsere Lösungen zeigen, wie sich diese Daten sicher verwalten lassen. (bykst - Pixabay.com)")
Enterprise Password Management
Kennwortverwaltung für Unternehmen
Was spricht gegen Passwort Manager?
Doch wo Licht ist, ist auch Schatten und es gibt Stimmen, die der Nutzung eines Passwort-Managers skeptisch gegenüberstehen. Die Bedenken, die andere Experten gegen Passwort-Manager ins Feld führen sind nicht Ohne und durchaus einer detaillierten Betrachtung werdet.
Vergesslichkeit: Was passiert, wenn Sie ein Passwort vergessen? Im schlimmsten Fall können Sie einen Dienst nicht mehr nutzen. Vergessen Sie aber, durch welche Umstände auch immer, das Master-Passwort Ihres Passwort Managers ist der Zugriff auf all Ihre Dienste in Frage gestellt. Letztendlich bleibt Ihnen meistens nichts anderes übrig, als Ihre Daten neu zu erfassen! Gut wenn Sie diese noch an einem alternativen Speicherplatz hinterlegt haben, denn sonst haben Sie noch schlechter Karten. Eventuell können Sie aber auch noch den Worst Case verhindern, wenn Sie noch andere Authentifikationsmethoden haben (Touch ID). Hier sei exemplarisch das Produkt 1Password erwähnt, welches sehr detailliert auf das Problem eingeht.
Jackpot für Hacker: Das Passwort ist der Schlüssel zur eigenen Online-Identität. Wer sich dieses aneignet, kann problemlos einen Identitätsdiebstahl ausführen und die Online-Identität des Opfers übernehmen – mit allen Berechtigungen. Man darf annehmen, das die Hersteller von Passwort Managern sich über die sichere Speicherung Gedanken gemacht haben und so etwas wie Einweg-Hash-Funktionen („One-Way Hash Function“ bzw. OWHF) ein Basis-Standard sind. Aber in Zeiten von mietbarer Rechenleistungen ist vielleicht eine Brute-Force-Attacke in einer überschaubaren Zeitspanne durchaus machbar.
Diese Überlegung ist nicht neu, aber wenn das Master-Passwort geknackt ist, ist der Weg für den Hacker frei. Nicht nur zu einem Passwort, sondern zu allen Passwörtern, Zugangscodes, ID-Nummern und anderen Daten, die in dem Passwort Manager gespeichert sind. Wie dies selbst mit Powershell machbar ist, zeigt der Proof-Of-Concept-Angriff auf KeePass von Hazzy (The Grumpy System Administrator) vom Januar 2017. Aber Otto Normaluser dürfe sich in der Regel mit diesem Problem nicht konfrontiert sehen, dafür aber verstärkt Vorstände von Unternehmen, leitende Staatsangestellte und andere Personen, deren Daten für Dritte wichtig sind.
Gespeichert in der Cloud: Zweifelsohne hat eine zentrale Ablage einer Passwortbasis in der Cloud einige Vorteile. Der globale Zugriff, von jeder Stelle mit jedem berechtigten Gerät ist dabei an erster Stelle zu nennen. Doch wie kommt man an die Daten, wenn der Hoster aktuell nicht erreichbar ist? Wie erfährt man die PIN für die Geschäftlichen Kreditkarte, wenn man keine Verbindung zum WWW erhält? Wie sicher ist die Datenverbindung? Wird ein VPN aufgebaut und kann man sicher sein, dass der lokale Access-Point für den Internet-Zugang sicher ist?
In Zeiten, in denen die digitale Kriegsführung stetig weiterentwickelt wird und das Hacken von Systemen sich schon beinahe zu einer Art Volkssport entwickelt sind dies Fragen, die man stellen muß! Denn ohne eine verfügbare und sichere Infrastruktur kann eine zentrale Passwortbasis schnell zum Eigentor werden.
Vertrauen: Aufgrund eines Spionageverdachts will die Regierung der USA die Produkte des russischen Herstellers Kaspersky Lab aus den Büros der Bundesbehörden verbannen. Kaspersky wies die Vorwürfe als unbegründet zurück und kontert mit einer Gegendarstellung. Das wichtigste Kriterium für Hersteller von Security-Software ist das Vertrauen des Kunden. Man vertraut darauf, dass alles sicher ist, bestmöglich funktioniert und keine Backdoors implementiert sind. Eine Überprüfung scheidet in der Regel aus, da der Sourcecode nicht veröffentlicht wird – Open Source ist hier die erwähnenswerte Ausnahme.
Also nutzt man die Software und vertraut darauf, dass sich kein vorwitziger Programmierer ein Backdoor eingebaut hat und niemand außer einem selbst an die gespeicherten Daten in der Passwortbasis kommt. Ebenso vertraut man darauf, dass nicht das Unternehmen, welches den Passwort Manger herstellt, von Dritter Stelle zur „Unterstützung“ aufgefordert wird. Aber auch in der IT gilt die Unschuldsvermutung solange nichts geschieht, wird man den Hersteller vertrauen.
Fehlerfreiheit: Anfang letzten Jahres berichtete das Fraunhofer Institut über die Ergebnisse einer Arbeitsgruppe, welche die Sicherheit von Passwort Managern unter Android analysierte. Das Ergebnis überraschte, denn von Implementierungsfehlern, bis hin zur Speicherung von Passwörtern im Klartext war alles vertreten. Zwischenzeitlich wurden diese Fehler durch die Hersteller behoben, aber bei manchen fragt sich nicht nur der Android-Nutzer, wie so etwas passieren konnte!
Wie sieht es aber mit den Applikationen für PCs unter Linux, OS X und Windows aus – wurde dort mehr Sorgfalt auf die Programmierung gelegt und war der Android-Effekt ein unglücklicher Umstand?
Verwundbare Systeme: Üblicherweise kommt ein Passwort Manager mit einem Antimalware-Tool als Zugabe - oder man lädt sich diesen aus dem WWW herunter. Das Unternehmen für Ihre Mitarbeiter verifizierte Tools bereit stellen ist leider noch nicht überall die Regel. Die Integrität des Passwort Managers hängt auch davon ab, ob die Basis integer ist!
Einen Passwort Manager zu nutzen, wenn im Hintergrund unerkannt ein Keylogger aktiv ist macht wenig Sinn, wenn der Passwort Manager nicht Techniken zur Umgehung von Keyloggern nutzt. Doch wer überprüft mit zusätzlichen Tools die Unversehrtheit der Systeme und checkt, ob nicht zwischen Tastatur und Systemeinheit ein Dongle platziert ist, bevor der Passwort Manager installiert wird?
Wer stellt sicher, dass alles ordnungsgemäß funktioniert? Wer überprüft, wenn die Passwortbasis lokal gespeichert wird, den „Gesundheitsindikator“ der Festplatte bzw. des SSD-Speichers? Denn eine zerstörte/beschäftigte Passwortbasis hat identische Folgen, wie ein vergessenes Master-Passwort – alle eingegebenen Daten sind verloren.
Fazit: Nicht nur Vorteile!
Man sieht, bei näherer Betrachtung hat ein Passwort Manager nicht nur Vorteile zu bieten, sondern kann auch selbst zum Problem werden. Generell ist der Einsatz eines Passwort Managers aber absolut zu befürworten und die Sicherheitsfunktionen die er liefert, überwiegen die negativen Randeffekte! Damit aber die Passwörter dauerhaft sicher gespeichert sind und im autorisierten Zugriff liegen, sollte man die nachfolgenden zehn Grundregeln beachten! Idealerweise sollten die Richtlinien vom CISO vorgegeben und überwacht werden.
- 1. Nutzen Sie nicht irgendeinen Passwort Manager, sondern ein Tool, das von einem Unternehmen geliefert wird, das auch eine Weiterentwicklung, Fehlerbeseitigung und Support bietet.
- 2. Achten sie bei Nutzung im Unternehmen, das einheitlich ein Tool verwendet wird und dafür auch interne Qualitätsrichtlinien angewendet werden. Prüfen Sie, ob das Tool über Zertifikate verfügt oder ob Sie Einsicht in den Quellcode erhalten können, wie z.B. bei Open Software.
- 3. Sorgen Sie für einen periodischen Backup Ihre Passwortdatenbasis und eine zeitnahe Synchronisation auf andere Devices.
- 4. Drucken Sie jedes Quartal einmalig ihre aktuellen Daten aus und bewahren sie den Ausdruck an einem zugangsgeschützten Ort auf (Alte Ausdrucke vernichten).
- 5. Sorgen Sie vor der Nutzung eines Passwort Managers für eine solide Security-Überprüfung des Gerätes auf dem das Tool installiert wird.
- 6. Verfolgen Sie die Fachpresse ob Security-Ausfälligkeiten für das Tool gemeldet werden und wie der Hersteller darauf reagiert.
- 7. Überprüfen Sie, ob es Nutzergruppen (Vorstand) im Unternehmen gibt, für die ein Passwort Manger nicht geeignet ist und stellen Sie Alternativen zur Verfügung.
- 8. Bieten Sie Basis-Schulungsmaßnahmen für das Tool an und je nach Tool auch Weiterführende Schulungen, um das Risiko einer Fehlbedienung durch den Anwender zu reduzieren. Idealerweise sollte das Tool auch in der jeweiligen landesspezifischen Muttersprache verfügbar sein.
- 9. Sofern die Passwortbasis in der Cloud gespeichert ist, testen und dokumentieren Sie Alternativen, wie Sie bei fehlendem Zugriff trotzdem Ihre Legitimationen erhalten (ggf. über eine temporär lokal gespeicherte Kopie).
- 10. Definieren Sie einen Prozess, was zu geschehen hat, wenn der Anwender sein Master-Passwort verloren hat.
(ID:45160279)
:quality(80)/images.vogel.de/vogelonline/bdb/1904800/1904834/original.jpg "Hashcat ist ein Open-Source-basiertes Password-Recovery-Tool. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1935800/1935867/original.jpg "Für Unternehmen jeder Größe empfehlen sich Passwort-Manager für einen zusätzlichen Schutz und höheren Nutzerkomfort – auch bei einem begrenzten Sicherheitsbudget. (Vitalii Vodolazskyi - stock.adobe.com)")