Identity und Access Management

Bessere Sicherheitskultur mit Passwortmanagern

17.07.2019
Von 
Gerald Beuchelt ist Chief Information Security Officer bei LogMeIn.

Mitarbeiter einbeziehen

Passwortmanagement bedeutet Change-Management. Unternehmen sind darauf angewiesen, dass die Mitarbeiter der Lösung offen gegenüberstehen und lernen, damit effektiv und selbstverständlich umzugehen. Um die Belegschaft ins Boot zu holen, sollte die Organisation nicht nur ein Konzept zur Implementierung des Passwortmanagers sowie fundierte Authentifizierungs- und Passwortrichtlinien erstellen, sondern auch frühzeitig auf Kommunikation und Aufklärung setzen. Nur so kann gewährleistet werden, dass jeder die Vorteile für sich selbst erkennt und mitmachen will. Auf diese Weise kann die Enterprise-Lösung nachhaltig in den Tagesablauf integriert werden.

Durch Schulungen und regelmäßige Trainings lassen sich die Richtlinien und Workflows verankern und regelmäßig auffrischen. So lernen alle Mitarbeiter, sichere Passwörter und eindeutige Anmeldeinformationen für alle Konten zu generieren. Kontinuierliche Updates zu Bedrohungen, etwa wie man die neuesten Phishing-E-Mails erkennt oder welche Gefahren der Zugriff auf Unternehmensdaten in öffentlichen WiFi-Netzen birgt, runden das Schulungsprogramm ab. Starten neue Mitarbeiter im Unternehmen, sollten diese so schnell wie möglich dieselbe Einführungsschuldung erhalten. Ein fester Ansprechpartner sollte bei weiteren Fragen oder Problemen als Anlaufstelle für Mitarbeiter dienen.

Regelmäßiger Austausch mit der Belegschaft ist wichtig. Je mehr über die aktuellen Gewohnheiten der Mitarbeiter bekannt ist, desto besser kann die IT-Abteilung darauf eingehen und entsprechende Hilfestellungen für den begleitenden Change-Prozess bieten.

Die IT-Abteilung entlasten

Einige Lösungen bieten der IT-Abteilung die Möglichkeit, die aktuelle Passwortsicherheit zu analysieren. Damit lässt sich beispielsweise eruieren, wie oft identische Login-Informationen über verschiedene schützenswerte Applikationen hinweg wiederverwendet werden. Ist der Passwortmanager erst einmal eingeführt, wird Sicherheit auf einer bestimmten Ebene messbar und die Einhaltung von Richtlinien lässt sich besser kontrollieren. Bietet die Lösung ein zentrales Dashboard, gewinnt die IT-Abteilung Einblicke in potenzielle Risikobereiche wie etwa schwache und mehrfach verwendete Passwörter, niedrige Sicherheits- und Passwortqualitätswerte sowie inaktive Konten.

Dazu ist es erforderlich, dass sich eine Enterprise-Passwort-Management-Lösung mit dem Active-Directory synchronisiert und Single Sign-On ermöglicht. Wesentlicher Bestandteil aller Kontrollen ist ein Zero-Knowledge-Sicherheitskonzept. Das bedeutet, dass der SaaS-Anbieter auf die von ihm gehosteten Kundenpasswörter niemals Zugriff hat. Das erschwert auch Angreifern den Zugang zu diesen Daten. So können alle administrativen und Compliance-relevanten Reports erstellt werden, ohne die Passwörter der einzelnen User einsehen oder nutzen zu müssen.

Auch Penetrationstests spielen eine wichtige Rolle, wenn es darum geht, das Sicherheitsbewusstsein im Unternehmen nachhaltig zu stärken. Mit ihrer Hilfe lassen sich Einfallstore für Hacker erkennen und mit entsprechenden Sicherheitsmaßnahmen schließen. Dazu zählen beispielsweise physische, Hardware-, Software- oder menschliche Schwachstellen.

Fazit

Mit einem Passwortmanager lässt sich anhand von festgelegten KPIs erkennen, wie stark das Sicherheitsbewusstsein der Anwender gestiegen ist und wo es noch Schwierigkeiten im Umgang mit Passwörtern gibt. Auch IDC bescheinigt Passwortmanagern eine hohe Relevanz: Vor dem Hintergrund aktueller Cyberattacken zeigt sich, dass immer mehr Unternehmen sich für Passwortmanager entscheiden, um Datensicherheit nicht an mangelnder Kontrolle über IAM-Prozesse scheitern zu lassen. (jd)