Managed Password vs. Passwort Manager
In diesem Beitrag zeigen wir auf, wie Passwort Manager funktionieren, welche Nachteile diese haben und wie der ITcares Managed Password Service die IT-Sicherheit Ihres Unternehmens verbessert.
Manche Benutzer haben die Strategie, sich ein sehr komplexes Passwort für alle ihre Accounts zu merken. Aber dieses Passwort muss nur einmal geknackt werden, und schon haben Cyberkriminelle Zugriff auf alle sensiblen Daten dieser Person oder des Unternehmens.
Passwortmanager sind Programme zur Verwaltung von Benutzernamen und Passwörtern. Sie speichern Passwörter mithilfe von Verschlüsselung und einem Master-Passwort. Passwort-Manager funktionieren ein wenig wie ein Notizbuch, das in einer verschlossenen Schublade aufbewahrt wird und dessen Inhalt nur vom Besitzer eingesehen werden kann.
Nachteile eines Passwort-Managers
Vergisst ein Benutzer sein Master-Passwort, sind im schlimmsten Fall alle Daten verloren. Dies ist oft mit viel Arbeit verbunden, da der Zugang zu jedem einzelnen Konto separat wiederhergestellt werden muss.
Bei einem erfolgreichen Cyber-Angriff auf einen Passwort-Manager könnten alle Passwörter eines Benutzers auf einmal gestohlen werden.
Beim weitverbreiteten Passwort-Manager KeePass wurde im Mai 2023 eine schwere Sicherheitslücke bekannt.
KeePass-Exploit ermöglicht das Abrufen des Master-Passworts im Klartext
Der beliebte Passwort-Manager KeePass ist anfällig für das Auslesen des Master-Passworts aus dem Speicher der Anwendung, sodass Angreifer, die ein Gerät kompromittieren, das Passwort abrufen können, selbst wenn die Datenbank gesperrt ist.
Das Problem wurde von einem Sicherheitsforscher namens „vdohney“ entdeckt, der ein Proof-of-Concept-Tool veröffentlichte, mit dem Angreifer das KeePass-Master-Passwort aus dem Speicher extrahieren können.
Das Master-Passwort verschlüsselt die KeePass-Passwortdatenbank und verhindert, dass sie ohne vorherige Eingabe des Passworts geöffnet oder gelesen werden kann. Sobald dieses Master-Passwort jedoch kompromittiert ist, kann ein Angreifer auf alle in der Datenbank gespeicherten Anmeldedaten zugreifen.
Eine neue KeePass-Schwachstelle mit der Bezeichnung CVE-2023-3278 ermöglicht den Zugriff auf das KeePass-Master-Passwort, und zwar unabhängig davon, ob der KeePass-Arbeitsbereich gesperrt ist, oder möglicherweise sogar, wenn das Programm geschlossen ist. Die Schwachstelle betrifft die neueste Version von KeePass, 2.53.1, und da das Programm Open-Source ist, sind wahrscheinlich alle Projekt-Forks betroffen.
Das Problem mit Passwort-Managern
Zugangsdaten von Mitarbeitern müssen auf Enterprise-Niveau geschützt werden
Es ist unrealistisch, von Mitarbeitern zu erwarten, dass sie sich Dutzende von Passwörtern merken und sicherstellen, dass sie ausreichend komplex sind, um Angreifer abzuhalten.
Viele Unternehmen versuchen zwar, ihren Mitarbeitern beizubringen, wie sie unsichere Passwörter vermeiden können. Aber selbst wenn die Mitarbeiter versuchen, ein Mindestmaß an Schutz zu gewährleisten – z. B. durch die Verwendung des im Browser integrierten Passwort-Managers einer webbasierten Anwendung -, können Angreifer ihre Anmeldedaten dennoch ermitteln.
Ein Standard-Passwort-Manager genügt nicht
Selbst wenn die o.g. Sicherheitslücke bei KeePass geschlossen wird, reicht ein Standard-Passwort-Manager nicht aus. Passwort-Manager sind oft für den Privatgebrauch konzipiert und bieten nur rudimentäre Möglichkeiten zur Erstellung und Verwaltung von Passwörtern. Herkömmlichen Passwort-Managern fehlt es in der Regel an Kontrollen und Funktionen, die Unternehmen benötigen, um die Anmeldedaten von Endbenutzern zu schützen, die ständig im Visier von Angreifern stehen. Viele dieser Tools:
- unterstützen nur eine minimale Anzahl von Optionen für die Multifaktor-Authentifizierung, was die Möglichkeiten des Security-Teams einschränkt, Angreifern die Anmeldung zu erschweren
- bieten nur rudimentäre Protokollierungs- und Reporting-Funktionen, die es Administratoren erschweren, die Benutzeraktivitäten im Detail zu überprüfen
- lassen immer noch Raum für schlechte Passwort-Gewohnheiten – in einigen Fällen können sich Benutzer immer noch dafür entscheiden, Passwörter in ihren Webbrowsern zu speichern, was für Angreifer ein Haupteinfallstor für den Zugriff auf wichtige Systeme und den Diebstahl von Daten darstellt
Passwörter nicht nur managen, sondern auch schützen
Unser Ansatz: Von Passwort-Managern zu Managed Passwords
Das Passwort-Management ist ein wichtiger Aspekt der Sicherheitsinfrastruktur eines jeden Unternehmens. Mit einer wachsenden Anzahl von Plattformen, Anwendungen und Diensten, die eine Authentifizierung erfordern, ist die Verwaltung von Passwörtern und Zugriffsrechten zu einer Herausforderung für Systemadministratoren geworden.
Da Unternehmen zunehmend auf digitale Dienste und Plattformen zurückgreifen, ist die Zahl der Passwörter und Zugangsdaten, die sich die Mitarbeiter merken müssen, exponentiell gestiegen. Dies kann zur Verwendung von schwachen oder doppelten Passwörtern führen, was ein erhebliches Sicherheitsrisiko darstellt. Ein zentrales und sicheres Kennwortverwaltungssystem ist unerlässlich, um diese Risiken zu mindern und den Schutz sensibler Daten zu gewährleisten.
Bei den Lösungen für das Passwort-Management haben Unternehmen zwei Hauptoptionen: selbst gehostetes System und Managed Password. Beide haben ihre Vorzüge, doch bietet Managed Password – Passwort-Management als Service – ein höheres Maß an Kontrolle und Anpassungsmöglichkeiten.
Vorteile von Managed Password – Passwort-Management als Service
Größere Kontrolle
Mit Managed Password haben Administratoren die vollständige Kontrolle über die Infrastruktur der Passwortverwaltung und können diese an die Bedürfnisse ihres Unternehmens anpassen.
Erhöhte Sicherheit
Mit Managed Password können Unternehmen sicherstellen, dass ihre sensiblen Daten unter ihrer Kontrolle bleiben, wodurch die mit Drittanbietern verbundenen Risiken reduziert werden.
Einhaltung von Vorschriften
Managed Password erleichtert es Unternehmen, branchenspezifische Compliance-Anforderungen und Datenschutzbestimmungen zu erfüllen.
Managed Password in Unternehmen und Organisationen
In einem Unternehmen müssen Mitarbeiter häufig Passwörter und Zugangsdaten für verschiedene Anwendungen und Dienste gemeinsam nutzen. Managed Password ermöglicht die sichere Freigabe dieser Zugangsdaten und verbessert so die Produktivität und Sicherheit.
1. Sichere gemeinsame Nutzung
Managed Password bietet sichere Freigabeoptionen, die es Mitarbeitern ermöglichen, Zugangsdaten mit Kollegen zu teilen, ohne dass sensible Daten für unbefugte Benutzer zugänglich sind. Dies ist die Art von Funktion, die ein Unternehmen für die reibungslose Freigabe in einer kollaborativen Umgebung benötigt, ohne jedoch sensible Informationen preiszugeben, wie es über eine andere Plattform wie E-Mail möglich wäre. Auf diese Weise erfolgt die Freigabe auf sichere Weise über den Dienst der Passwort-App.
2. Permission Management
Um die Kontrolle darüber zu behalten, wer auf freigegebene Kennwörter zugreifen und diese ändern kann, sollte ein System zur gemeinsamen Kennwortverwaltung eine granulare Rechteverwaltung bieten. Administratoren können einzelnen Benutzern oder Gruppen verschiedene Zugriffsebenen zuweisen und so sicherstellen, dass die Mitarbeiter Zugriff auf die benötigten Informationen haben, ohne die Sicherheit zu gefährden.
Ein weiterer Vorteil der Berechtigungsverwaltung besteht darin, dass Sie auf einfache Weise feststellen können, wer Zugriff auf bestimmte Informationen hat, und dass Sie auf einfache Weise Berechtigungen auf Einzel- und Gruppenebene zuweisen und entziehen können.
3. Versionskontrolle
Haben Sie schon einmal ein neues Passwort für einen Service erstellt und mussten dann auf das alte Passwort zurückgreifen? Es gibt nichts Schlimmeres, als ein Passwort zu verlieren, wenn man es gerade braucht, und in einer Umgebung, in der mehrere Benutzer gemeinsame Passwörter aktualisieren und ändern können, ist eine Versionskontrolle unerlässlich. Gemeinsame Passwortverwaltungssysteme sollten eine Historie der Änderungen an gemeinsam genutzten Anmeldeinformationen bereitstellen, sodass Administratoren Änderungen verfolgen und bei Bedarf zu früheren Versionen zurückkehren können.
4. Trennung der Zugangsrechte
Um den Schutz sensibler Daten zu gewährleisten, sollten Unternehmen eine Trennung der Zugriffsrechte in ihrem Passwortverwaltungssystem vornehmen. Dabei werden die Benutzer je nach ihren Aufgaben und Zuständigkeiten in verschiedene Gruppen eingeteilt und entsprechende Zugriffsberechtigungen zugewiesen.
5. Role-Based Access Control (RBAC)
RBAC ist eine weit verbreitete Methode zur Umsetzung der Trennung von Zugriffsrechten. Mit RBAC können Administratoren Rollen erstellen, die verschiedene Arbeitsfunktionen innerhalb des Unternehmens repräsentieren, und jeder Rolle entsprechende Berechtigungen zuweisen. Die Benutzer werden dann den Rollen zugewiesen, wodurch sichergestellt wird, dass sie nur auf die Informationen zugreifen können, die sie zur Erfüllung ihrer Aufgaben benötigen.
6. Prüfung und Überwachung von Aktivitäten
Um ein sicheres Passwort-Management-System aufrechtzuerhalten, müssen die Administratoren in der Lage sein, die Benutzeraktivitäten zu überwachen und zu prüfen. Diese Art von Transparenz ermöglicht es Ihnen, genau zu wissen, wer etwas zu einem bestimmten Zeitpunkt geändert hat, sodass Sie korrigierend eingreifen können. Dazu gehören die Nachverfolgung von Kennwortänderungen, die Überwachung von Zugriffsversuchen und die Identifizierung potenzieller Sicherheitsbedrohungen.
7. Protokollierung der Aktivitäten
Ein umfassendes Passwort-Management-System sollte alle Benutzeraktivitäten protokollieren, einschließlich Zugriffsversuche, Passwortänderungen und Freigabeereignisse. Diese Informationen können von unschätzbarem Wert sein, wenn es darum geht, unbefugten Zugriff zu erkennen, Probleme zu beheben und Sicherheitsprüfungen durchzuführen.
So ist es z. B. hilfreich, wenn man sehen kann, wer ein bestimmtes Kennwort verwendet hat und wann er es verwendet hat, insbesondere bei der Fehlersuche in Bezug auf Berechtigungen.
8. Benachrichtigungen in Echtzeit
Zusätzlich zur Protokollierung von Aktivitäten können Echtzeitwarnungen Administratoren helfen, potenzielle Sicherheitsbedrohungen schnell zu erkennen und darauf zu reagieren. Ein Kennwortverwaltungssystem, das Echtzeitbenachrichtigungen über verdächtige Aktivitäten, wie z. B. mehrere fehlgeschlagene Anmeldeversuche oder unbefugte Kennwortänderungen, bereitstellt, kann entscheidend dazu beitragen, Datenschutzverletzungen zu verhindern.
9. Reporting
Die Erstellung von Berichten über Benutzeraktivitäten, Passwortstärke und Compliance kann Administratoren dabei helfen, den Gesamtzustand ihres Passwortverwaltungssystems zu beurteilen und verbesserungswürdige Bereiche zu identifizieren. Die regelmäßige Überprüfung dieser Berichte kann auch sicherstellen, dass das Unternehmen die einschlägigen Branchenvorschriften und bewährten Verfahren einhält.
10. Bewährte Verfahren für die Implementierung eines Passwort-Management-Systems
Um den Erfolg eines Passwort-Management-Systems zu gewährleisten, ist es wichtig, dass Sie bei der Implementierung und der fortlaufenden Wartung bewährte Verfahren anwenden. Sie möchten sicherstellen, dass Ihre Passwörter auf eine Weise verwaltet werden, die für alle Mitarbeiter Ihres Unternehmens sicher ist, und gleichzeitig die Compliance-Richtlinien für eine sichere Umgebung einhalten.
Managed Password – Fazit und Ausblick
Das Passwort-Management in einem Unternehmen zu organisieren, ist eine wichtige Aufgabe für Systemadministratoren. Durch die Auswahl der richtigen Lösung, die Implementierung einer Trennung der Zugriffsrechte, die Förderung der Zusammenarbeit und die aktive Überwachung und Prüfung des Systems können Administratoren eine sichere und effiziente Umgebung für die Kennwortverwaltung schaffen. Darüber hinaus können Unternehmen durch die Einführung strenger Kennwortrichtlinien mehr Kontrolle und Anpassungsmöglichkeiten erhalten, was eine solide Grundlage für eine effektive Kennwortverwaltung darstellt.
Passwort-Management als Service
Seit vielen Jahren sind wir Experten in der Überwachung und dem sicheren Betrieb von IT-Systemen. Viele Unternehmen nutzen bereits unsere Expertise beim sicheren Passwort-Management und haben damit die Sicherheit ihrer Unternehmen gesteigert.
Gerne zeigen wir Ihnen auf, wie Ihr Unternehmen vom ITcares Managed Password Service profitieren können. Wir freuen uns auf Ihre Kontaktaufnahme.