Cybersecurity: Möglichkeiten und Sicherheit von Passwort-Tresoren
Passwortmanager erleichtern die Verwaltung der Passwörter im Unternehmen und erhöhen bei korrekter Anwendung die Sicherheit. Im folgenden Beitrag zeigen wir Chancen und Risken sowie wichtige Aspekte bei der Auswahl und Nutzung auf.
Das Passwort-Dilemma
Ob im privaten oder geschäftlichen Umfeld – Passwörter sind aus dem heutigen Leben nicht mehr wegzudenken. Ohne das richtige Passwort lässt sich der Computer nicht entsperren, E-Mails lassen sich nicht abrufen noch können wir über Social Media- oder Messaging-Plattformen kommunizieren. Wir verlieren den Zugang zu wichtigen Inhalten und somit den Anschluss an die digitale Welt.
Mit der wachsenden Anzahl an Online-Konten – in Deutschland waren es im Jahr 2017 durchschnittlich rund 78 Online-Konten pro Internetnutzer – wächst auch das «Passwortproblem». Oftmals wählen Anwender aus Bequemlichkeit für alle Konten das gleiche, schwache Passwort. Also eines, das sie sich gut merken können. Gute oder «starke Passwörter» setzen hingegen eine gewisse Komplexität voraus, damit sie nicht leicht geknackt werden können. Diese Passwörter, die sich meist aus scheinbar wahllosen Kombinationen von Buchstaben, Zahlen und Sonderzeichen zusammensetzen, sind hingegen schwer zu merken.
Dass Passwörter nicht an den Bildschirm geheftet oder unter der Tastatur versteckt werden sollen, dürfte den meisten Anwendern mittlerweile bewusst sein. Die Empfehlung, sich mit einer Eselsbrücke zu behelfen, in dem man beispielswiese die Anfangsbuchstaben eines Satzes als Passwort verwendet, ist in der Praxis auch nur bedingt umsetzbar. Wer kann sich so viele verschiedene Eselsbrücken merken, wer will jedes Mal so lange Passwörter eintippen?
Passwortmanager als Lösung?
Passwortmanager bieten sich als Lösung für dieses Dilemma an. Passwortmanager sind Programme, mit denen sich Benutzernamen, Passwörter, PINs und andere Informationen verwalten lassen. Geschützt werden diese in der Regel über ein komplexes «Masterpasswort». Der Zugriff lässt sich je nach Anbieter auch an weitere Bedingungen knüpfen – wie etwa eine Multifaktorauthentifizierung oder Zugriff ausschliesslich von zugelassenen Firmengeräten.
Ein Passwortmanager kann somit mit einer Notiz auf Papier verglichen werden, die im Tresor sicher aufbewahrt wird, im Gegensatz dazu aber jederzeit schnell verfügbar ist.
Nebst der zentralen Verwaltung bieten Passwortmanager in der Regel weitere Funktionen:
- Passwörter können dank Software und Browser-Plugins automatisch ausgefüllt werden, so dass die mühsame Eingabe durch den Benutzer entfällt.
- Neue Passwörter können mit der geforderten Komplexität automatisch generiert werden.
- Passwörter können gruppiert und bestimmten Mitarbeitenden zugewiesen werden.
- Nachvollziehbarkeit, durch wen Passwörter verwendet und verändert wurden.
- Zugriff am PC, über den Browser oder mit dem Smartphone
- Datenexport, beispielsweise, um auf einen anderen Passwortmanager zu wechseln oder auch für die Sicherung der Daten (diese Funktion ist natürlich nur gewissen Mitarbeitenden vorbehalten).
- Multifaktorauthentifizierung für zusätzlichen Schutz
Zusammengefasst bedeutet dies, dass für jedes Online-Konto ein einzigartiges und komplexes Passwort genutzt werden kann, ohne dass dies den Anwender einschränkt. Falls dann doch ein Passwort geknackt oder an die Öffentlichkeit geraten würde, erhielte ein Angreifer lediglich Zugriff auf dieses eine Konto.
Nachteile und Risiken
Nebst all den Vorteilen, die Passwortmanager mit sich bringen, gibt es aber auch Nachteile. Sollte das Masterpasswort vergessen gehen, entsteht ein grosser Aufwand, um die Zugänge zu allen Konten wiederherzustellen. Schlimmstenfalls gehen Daten verloren. Ebenso könnte ein Angreifer das Masterpasswort knacken und somit sämtliche Passwörter auf einmal entwenden. Zudem muss man sich im Klaren sein, dass man dem jeweiligen Anbieter des Passwortmanagers äusserst sensitive Daten anvertraut, was bei cloudbasierten Lösungen riskant ist. Bei der Auswahl des Produktes sollten also nicht allein die Kosten und Funktionen bewertet werden, sondern auch die Vertrauenswürdigkeit des Anbieters. Dabei spielen die Herkunft, der Datenstandort, die Verschlüsselungstechnologie, die Release-Häufigkeit und allfällige Zertifizierungen eine Rolle.
Fazit und Empfehlungen
Trotz der Risiken ist die Verwendung eines Passwortmanagers empfehlenswert. Welcher Passwortmanager für Ihr Unternehmen am besten geeignet ist, hängt von den Firmenrichtlinien und der vorhandenen Systemlandschaft ab. Aus diesem Grund verzichten wir an dieser Stelle auf eine konkrete Empfehlung. Auf entsprechenden Internetportalen finden sich Auswahlkriterien und Vergleiche.
Setzen Sie sich mit dem Anbieter in Detail auseinander, erzwingen Sie für alle Mitarbeitenden ein starkes Masterpasswort, konfigurieren Sie technische Einschränkungen für den Zugriff und schalten Sie nur die Passwörter frei, welche die Mitarbeitenden auch tatsächlich benötigen.
Selbst ohne Passwortmanager lässt sich die Sicherheit erhöhen: Aktivieren Sie für Ihre Konten wann immer möglich die Multifaktorauthentifizierung. Und wählen Sie insbesondere für Ihre E-Mail-Konten ein sehr sicheres Passwort – denn hat ein Angreifer erst einmal Zugriff auf Ihr E-Mail-Konto, kann er Passwörter von anderen Diensten im Handumdrehen zurücksetzen!
Literaturquelle Literaturquellen / Links
- https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Passwort_Manager/Passwort_Manager_node.html
- https://www.capital.de/leben/so-digital-ist-die-welt-2020
- https://www.brandwatch.com/de/blog/interessante-social-media-zahlen-und-statistiken/
- https://www.marconomy.de/haben-wir-ein-passwortproblem-a-605153/
Bildquellen
Autoren:
Anthony Brodscholl www.linkedin.com/in/anthony-brodscholl
Reto Schaller www.linkedin.com/in/reto-schaller
Persönliche Beratung
Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.
Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)
Kommentare
Keine Kommentare erfasst zu Cybersecurity: Möglichkeiten und Sicherheit von Passwort-Tresoren