So optimieren Sie Ihr Passwort-Management
IT-Sicherheit

So optimieren Sie Ihr Passwort-Management

Von Markus Kahmen
Am

Die Zahl der Passwörter, die in Unternehmen verwaltet werden müssen, steigt stetig. Mit jeder neuen Anwendung, jedem neuen Dienst oder Gerät kommen Neue dazu. Gerade für mittelständische Unternehmen bedeuten die vielen Passwörter eine Herausforderung, da sie den Spagat zwischen hoher Verfügbarkeit und hoher Sicherheit meistern müssen. Wie erfolgreiches Passwort-Management funktioniert, zeigt der folgende Beitrag.

Was es bedeutet, wenn man nicht das richtige Passwort zur Hand hat, zeigt unter anderem ein Vorfall bei der kanadischen Kryptogeld-Börse QuadrigaCX im vergangenen Jahr. Die Geschäftsführer mussten gestehen, nicht mehr an die Kundeneinlagen in Höhe von 190 Millionen US-Dollar heranzukommen. Der Grund hierfür war, dass nur der plötzlich verstorbene Firmengründer in Besitz des Passwortes gewesen sei. Mag dieses drastische Beispiel eher die Ausnahme sein, so sind schlecht geschützte Passwörter jedoch an der Tagesordnung. Der Diebstahl und das Knacken unsicherer Passwörter ist für Unternehmen eines des größten Cyberrisiken, das existenzgefährdende Auswirkungen nach sich ziehen kann.

Passwortschutz wie in den 90ern

Obwohl die Anforderungen an den Datenschutz seit Jahren steigen und die Einführung der EU-DSGVO von vielen begrüßt wurde, sind die Auswirkungen auf das eigene Sicherheitsverhalten eher gering – gerade in Sachen Passwortschutz.

In Unternehmen fehlen oft Sicherheitsrichtlinien

Erst kürzlich hat das Hasso-Plattner-Institut aus Potsdam basierend auf einer Analyse von rund 60 Millionen geleakter Identitätsinformationen die beliebtesten Passwörter der Deutschen veröffentlicht. Das Ergebnis ist ernüchternd. Denn wie in den Vorjahren stehen bei den Deutschen vor allem unsichere Zahlenreihen wie „123456“ sowie unkreative Einfälle wie „passwort“ oder „hallo“ hoch im Kurs. Hinzukommt, dass ein Passwort meist für eine Vielzahl von Accounts eingesetzt wird.

Dabei beschränkt sich schlechter Passwortschutz längst nicht nur auf Privatnutzer, wie man vielleicht denken könnte. Denn wem es privat am Bewusstsein für sichere Kennwörter mangelt, der wird höchstwahrscheinlich auch im beruflichen Umfeld hin und wieder nachlässig handeln. Begünstigt wird dies durch das Fehlen von Sicherheitsrichtlinien und Passwortmanagement-Technologien in den Unternehmen.

Leichtfertiger Versand von Passwörter via Mail oder Sozialer Netzwerke

Dabei sind schlechte, leicht zu merkende Passwörter bei weitem nicht die einzige Nachlässigkeit in Sachen Passwortmanagement. So ist es in vielen Unternehmen nach wie vor an der Tagesordnung, Passwörter unkontrolliert über E-Mail, SMS oder soziale Netzwerke mit anderen Abteilungen oder Kollegen zu teilen, und auch das traditionelle und höchst unsichere Verwalten von Kennwörtern auf Excellisten ist noch weiterverbreitet als gedacht.

Überdies ist es für viele IT-Administratoren zudem nach wie vor keine Selbstverständlichkeit, beim Installieren neuer Hard- oder Software die Standard-Kennwörter der Hersteller abzuändern. Kein Wunder, dass für Hacker das Ausnutzen von nicht geänderten Standardkennwörtern eine der beliebtesten und schnellsten Methoden darstellt, um fremde Konten zu kapern.

Passwort-Richtlinien für Mittelständler

Anders als vielleicht gedacht, zeichnet sich ein sicheres Passwort weniger durch Komplexität, d.h. eine Kombination aus kryptischen Sonderzeichen, sondern vielmehr durch seine Länge aus. So sollte es idealerweise aus mindestens acht, besser jedoch 20 Zeichen bestehen. Denn während ein kurzes aus Sonderzeichen bestehendes Passwort mittels Brute-Force-Attacken relativ leicht geknackt werden kann, brauchen moderne Computer zum Entschlüsseln eines mehr als 20 Zeichen umfassenden Passworts teilweise Jahre.

Um sich die langen Kennwörter besser merken zu können, ist es sinnvoll, sich ganze Passsätze auszudenken. Jedes Passwort sollte dabei einzigartig sein und keinesfalls mehrfach verwendet werden, da im Falle einer Kompromittierung mehrere Accounts gleichzeitig in Gefahr geraten. Tatsache ist, dass Hacker mit erbeuteten Zugangsdaten fast immer versuchen, sich in verschiedenen Accounts einzuloggen.

Passwortwechsel sollten regelmäßig, aber nicht zu häufig erfolgen, da Mitarbeiter sonst dazu neigen, unsichere, leicht zu merkende Phrasen zu verwenden oder Passörter nur minimal abzuändern. Aus PasswortMärz wird dann PasswortApril. Für Cyberkriminelle ist dieses Vorgehen natürlich leicht zu durchschauen.

Passwortsicherheit für privilegierte Konten

Strengere Sicherheitsmaßnahmen erfordern freilich Passwörter von besonders sensiblen Unternehmenskonten und kritischen Accounts – man spricht hier auch von privilegierten Konten. Hierzu zählen neben klassischen Administrator- auch Datenbank- oder Servicekonten oder aber Root-Accounts zur Verwaltung von Unix- oder Linux-Plattformen. Diese sensiblen Accounts stehen bei Cyberkriminellen besonders hoch im Kurs, da sie uneingeschränkten Zugriff auf unternehmenskritische Ressourcen sowie die Kontrolle über das gesamte Netzwerk gewähren. Um diese Assets zu schützen, nutzen Unternehmen immer häufiger spezielle Privileged Access Management-(PAM)Technologien.

PAM-Lösungen ermöglichen es IT-Abteilungen, die „Generalschlüssel“ – wie privilegierte Passwörter auch gerne genannt werden – effektiv abzusichern. So bieten sie automatisierte Prozesse, um starke (teils 100-Zeichen umfassende) Passwörter zu generieren und in regelmäßigen Abständen zu rotieren. Dank dem Erstellen umfassender Nutzerprotokolle sind die IT-Teams zudem in der Lage, unkompliziert und schnell auf Ereignisse, etwa das Ausscheiden eines Mitarbeiters, zu reagieren.

Moderne PAM-Lösungen bieten zudem ausführliche Zugriffsanalysen und Sitzungsüberwachungen und helfen so, Anomalien und möglichen Missbrauch frühzeitig zu identifizieren. Dies unterstützt IT-Abteilungen bei der Einhaltung und Dokumentation von Compliance- und Datenschutzanforderungen, etwa der EU-DSGVO. Hiervon profitieren vor allem KMUs, die mit kleineren IT-Teams und Security-Budgets zurechtkommen müssen. Ihre Sicherheitsmitarbeiter haben mit PAM alle sensiblen Zugriffsdaten unter Kontrolle und die einzelnen Mitarbeiter kommen nicht mehr in die Situation, Passwörter zu teilen oder zu verlieren.

Die Zukunft für Passwörter liegt in der Cloud

Dabei liegt die Zukunft von sicherem Passwortmanagement ganz klar in der Cloud. Mit PAM-as-a-Software-Services profitieren Unternehmen von skalierbaren, Hard- und Infrastruktur-unabhängigen Lösungen, die sofort einsatzbereit sind. Weil sich IT-Abteilungen hier nicht mit aufwendigen Installationen und vor allem nicht mit zeitaufwendigen Updates konfrontiert sehen, ist die Entlastung der Teams bei Cloud-Lösungen meist noch größer und die langfristigen Einsparungen noch höher.

Waren es bisher vor allem Großunternehmen, die auf Enterprise-PAM-Lösungen zurückgegriffen haben, so investieren nun auch KMUs verstärkt in PAM. Steigende Angriffszahlen – insbesondere bei Mittelständlern – und nutzerfreundliche Lösungen haben auch bei ihnen zu einem Umdenken und dem Zurücklassen herkömmlicher Passwortsicherheitspraktiken geführt.

Über den Autor

Porträtfoto von Markus Kahmen, Direktor thycotic

Markus Kahmen Markus Kahmen verfügt über 30 Jahre Erfahrung im IT-Bereich, davon allein rund 25 Jahre im Vertriebsmanagement. Er ist Regional Director DACH bei Thycotic, einem führenden Anbieter von Privileged Access Management-Lösungen, und in dieser Position für das Wachstum und die Positionierung des Unternehmens in der DACH-Region verantwortlich. www.thycotic.com  
Zum Autorenprofil

Kommentare

Kommentar schreiben:

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.