Passwortmanagement Passwortsicherheit im Unternehmen beginnt mit Transparenz

Anbieter zum Thema

Arvato Systems

SEPPmail - Deutschland GmbH

SoSafe GmbH

Allen Unkenrufen zum Trotz sind Passwörter das wichtigste Verfahren zum Schutz vor unbefugten Zugriffen. Und werden es wohl auch noch eine Weile bleiben. Zur Erhöhung der Passwortsicherheit benötigen Unternehmen mehr Transparenz und die Mitarbeitenden Unterstützung.

Die genauen Ursachen für den besonders spektakulären Angriff mit Ransomware auf die schwedische Gemeine Kalix stehen noch nicht fest. Aber wie vergleichbare Fälle in der Vergangenheit immer wieder zeigen, spielen schwache Passwörter oder kompromittierte Zugangsdaten häufig eine Rolle. In Schweden legte die Attacke die kommunalen Dienste der gesamten Gemeinde über Wochen lahm. Ganz so dramatisch müssen die Folgen nicht immer sein, sie bleiben aber spürbar, kosten Arbeit und damit Geld und möglicherweise Reputation bei Kunden und Geschäftspartnern.

Sicherheitsrichtlinien und Passwortmanager

Dongles, Einmal-Codes und Biometrie – die Liste der Technologien, die zur Verfügung stehen, um Passwörter zu ersetzen, ist lang. Dennoch wird die klassische Kombination aus Nutzernamen und Passwort IT-AdministratorInnen und CISOs noch lange Zeit beschäftigen. Denn längst sind die meisten Anwendungen und Services gar nicht auf den Einsatz zusätzlicher Faktoren vorbereitet oder deren Umbau ist bei Eigenentwicklungen schlicht zu aufwendig und teuer. Passwörter und Passwortsicherheit bleiben also weiter ein Thema.

Wenn Kriminelle sich Zutritt zu einem Unternehmensnetzwerk verschaffen wollen, greifen sie häufig nach wie vor zur wenig eleganten, aber effektiven Waffe eines Brute-Force-Angriffs. Deshalb geht beim Einsatz von Passwörtern die größte Gefahr auch durch zu einfache („triviale“) Zeichenkombinationen aus. Oftmals müssen sich Kriminelle nicht einmal diese Mühe machen, weil ihnen die Zugangsdaten mehr oder weniger frei Haus geliefert werden: beispielsweise wenn sie Datenbanken mit Zugangsdaten auf anderen Servern erbeuten konnten oder aber das Rohmaterial im Darknet erworben haben – Stichwort Credential-Stuffing-Attacken.

Der mehrfache Einsatz der gleichen Zugangsdaten auf verschiedenen Systemen bleibt vor diesem Hintergrund also weiterhin gefährlich. Um diesen Risiken aus dem Weg zu gehen, setzen Organisationen auf den Einsatz von Passwortrichtlinien (sofern es sich um selbst betriebene Systeme handelt) und auch inzwischen häufig auf Passwortmanager.

Die Anwendungen lösen aus Sicht der Anwenderinnen und Anwender die Problematik, sich die möglichst starken und für jede Anmeldung individuellen Passwörter zu merken. Um eine hohe Akzeptanz bei den Beschäftigten zu erzielen, sollten Passwortmanager deshalb auch für private Anmeldungen genutzt werden dürfen. Aus Sicht der Unternehmen haben die Beschäftigten damit ihren Beitrag zur IT-Sicherheit geleistet und lassen ihre Mitarbeitenden ab diesem Zeitpunkt mit dem Thema allein. Dabei fangen die Probleme damit erst an.

Transparenz über kompromittierte Log-ins und mehrfach genutzte Daten

ExpertInnen kennen die Gefahren, die aus dem Datenabfluss auf externen Systemen entstehen können; die Mitarbeitenden eines Unternehmens eher weniger. Warum sollten sie sich auch mit der Frage belasten, wieso ein Anbieter die Zugangsdaten zu einem System nur unzureichend gesichert hat? Kriminelle kennen den Wert der Informationen dafür nur zu gut: Erbeutete Kundendaten sind für sie wie der Hauptgewinn in einer Lotterie. Denn sie dürfen davon ausgehen, dass die gespeicherte E-Mail-Adresse bereits verifiziert wurde. Und wenn es sich dabei um die geschäftlich genutzte E-Mail der Betroffenen handelt, sind die Türen zum Unternehmensnetzwerk nicht mehr so verriegelt, wie es Admins gerne sehen würden.

Unternehmen können ihre Mitarbeitenden an dieser Stelle wirkungsvoll unterstützen, wenn ein Passwortmanager zum Einsatz kommt, der über kompromittierte Log-ins aktiv informiert. Mit der Funktion „Password Health“ bietet 1Password dies im Feature „Insights“ an. Die Anwenderinnen und Anwender sowie die IT-Verantwortlichen erkennen so bereits im Umlauf befindliche Zugangsdaten. Mit dieser Information können sie dann direkt Gegenmaßnahmen ergreifen. Das erleichtert die Änderung oder das Löschen betroffener Zugänge.

Umsetzbare Handlungsempfehlungen für alle

Verständliche Hinweise für die Nutzerinnen und Nutzer über gefährdete oder bereits kompromittierte Daten sind ein wichtiger erster Schritt, um die IT-Sicherheit des Unternehmens zu verbessern, weil ein potenzieller Angriffsvektor verkleinert wird.

Passwortrichtlinien und ein Passwortmanager mit seinen integrierten Schutz- und Hilfsfunktionen (wie die Generierung starker Passwörter, Überprüfung bestehender Passwörter) entfalten ihren Nutzen für die IT-Sicherheit aber nur dann, wenn sie von möglichst allen Beschäftigten eingesetzt werden.

Die Beschäftigten in der hybriden Arbeitswelt unterminieren die Bemühungen der Firmen inzwischen häufiger. Hier könnten auch Phänomene wie chronische Erschöpfung und Burn-out eine Rolle spielen. Wie eine Benchmarkanalyse von 1Password „The Burnout Breach“ gezeigt hat, ist ein zweistelliger Prozentsatz der Mitarbeitenden der Ansicht, dass die Sicherheitsrichtlinien ihres Unternehmens nicht „den Aufwand wert seien“. Und fast die Hälfte baut sich mit dem Download von Werkzeugen und der Nutzung externer Dienste ihre eigene Schatten-IT.

Dieses Problem adressiert 1Password etwa mit einer Benachrichtigungsfunktion innerhalb von „Team Usage“. Die IT-Verantwortlichen können somit erkennen, wer den Passwortmanager schon länger nicht genutzt hat. So lassen sich die Betroffenen gezielt daran erinnern. Lagern in dem Passwortmanager zentrale Zugangsdaten, die eigentlich für alle Mitarbeitenden relevant sind, liegt der Verdacht auf den Einsatz eines „Schatten-Systems“ bei den Personen nahe, die auf den Einsatz der zentralen Lösung verzichten. Es lohnt sich also, diesen Kreis direkt anzusprechen.

Gefährdete Daten und Informationstypen erkennen

Für ein Unternehmen sind potenzielle Datenverletzungen eine wichtige Information, unabhängig von der Größe, der Zahl der Beschäftigten und dem Ausmaß eines Datenabflusses. Werden in einem Passwortmanager zusätzliche Informationen abgelegt, wie die Daten von Firmenkreditkarten, ist für IT-Verantwortliche das Wissen um die kompromittierten und somit gefährdeten Objekte von großem Interesse. Der „Breach-Report“ stellt in 1Password exakt solche Meldungen domänenübergreifend zur Verfügung. Unabhängig vom jeweils individuell gewählten Speicherort der Informationen, werden die gefährdeten Daten aufgelistet. Dazu zählen Hinweise auf Finanzdaten, genauso wie personenbezogene Informationen (Geburtsdaten) oder Sicherheitsfragen. Ein weiterer Hebel, um potenziellen Datenlecks, Angriffsvektoren und gefährdeten Daten auf die Spur zu kommen.

Um die Sicherheit eines Unternehmens im Zusammenhang mit Passwörtern zu verbessern, benötigen beide Seiten Unterstützung. Die Mitarbeitenden durch einen Passwortmanager und Hinweise auf Schwachstellen sowie kompromittierte Informationen. Die IT-Verantwortlichen in Form von größerer Transparenz über das Nutzungsverhalten der Beschäftigten beim Einsatz von Passwortmanagern und damit verbundener potenzieller Schwachstellen. Denn Sicherheitsrichtlinien allein genügen nicht, um zu mehr Passworthygiene zu ermuntern.

Über den Autor: Alex Hoffmann ist Sales Engineer bei 1Password und seit 2013 in verschiedenen Rollen und Funktionen Teil des Unternehmens. Zuvor leitete er den Kundensupport für die Windows-App und war maßgeblich an der Entwicklung des Business-Sales-Teams von 1Password beteiligt. Alex hat eine Leidenschaft für menschenzentrierte Sicherheit: Er kennt 1Password sowie das Sicherheits-Ökosystem in- und auswendig und weiß, wo die Bedürfnisse der Kunden liegen. Er lebt im Schwarzwald und hat einen Magister in Marketing und Sinologie.

(ID:48552625)