Die Digitalisierung bestimmt immer mehr die Arbeitsabläufe in Unternehmen. Das bedeutet vor allem: Je mehr Software im Einsatz ist, desto mehr Zugänge für alle Mitarbeitenden müssen verwaltet werden. Die Passwortverwaltung in Unternehmen ist ein Sicherheitsaspekt, den es nicht zu unterschätzen gilt: Nicht erst seit der Datenschutzgrundverordnung ist Datenschutz im Unternehmensalltag ein sensibles Thema. Ob der Schutz von Geschäftsgeheimnissen oder die Identität der eigenen Mitarbeitenden – Unternehmen sollten die Passwortverwaltung nicht auf die leichte Schulter nehmen.
Durch eine Cyber-Security-Zertifizierung beweisen Unternehmen, dass sie IT- und Datenschutz ernst nehmen. Dies schafft Vertrauen bei Kunden und Geschäftspartnern.
Warum ist die sichere Passwortverwaltung so wichtig?
Sensible Kundendaten, die eigenen Geschäftsgeheimnisse und auch finanzielle Ressourcen des Unternehmens – all das liegt mittlerweile hinter Zugängen zu bestimmten Datenbanken oder Softwareoberflächen. All diese Daten müssen vor Cyberkriminellen geschützt werden, um großen finanziellen Schaden vom Unternehmen abzuwenden. Mitarbeitende müssen außerdem nicht nur mit verschiedenen Softwareprodukten arbeiten können, sondern auch das Recht und die Möglichkeit haben, ihre eigenen Daten und Identität auch im Internet zu schützen.
Wichtig: Gemäß der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO sind Unternehmen sogar verpflichtet, eine entsprechende Zugangskontrolle zu gewährleisten, um personenbezogene Daten zu schützen, wenn solche erhoben bzw. verarbeitet werden. Bei Missachtung drohen empfindliche Bußgelder in Millionenhöhe.
Vor diesen Gefahren / Methoden schützt ein sicheres Passwort-Management:
- Phishing
- Quid pro Quo
- weitere Social-Engineering-Methoden
- Keylogging
- Brute-Force-Angriffe
- Wörterbuchattacken
Für Unternehmen entsteht außerdem jedes Mal, wenn ein Angestellter oder eine Angestellte das Unternehmen verlässt, ein potentielles Sicherheitsrisiko. Nicht immer enden Beschäftigungsverhältnisse einvernehmlich. Aber selbst wenn Angestellte ohne böswilligen Hintergrund gehen: Die Neueinrichtung und Sicherung aller Zugänge bedeutet einen hohen administrativen Aufwand für das Unternehmen. Dabei kann es zu Fehlern oder Versäumnissen kommen, die mitunter teure Folgen nach sich ziehen.
Eine gute Passwortverwaltung setzt hier an: Durch einen effizienten und sicheren Prozess wird der Arbeitsaufwand für das Unternehmen minimiert und gleichzeitig werden hohe Sicherheitsstandards erfüllt. Die Arbeit mit einem Passwortmanager kann bestimmte Arbeitsabläufe zudem verschlanken.
Gute und schlechte Möglichkeiten der Passwortverwaltung im Unternehmen
Mitarbeitende in großen und kleinen Unternehmen jonglieren mittlerweile mit einer großen Anzahl an Passwörtern und Zugangscodes. Ob der Zugang zum Gebäude, der Log-In für den Firmenrechner, die PIN fürs Diensthandy oder eben das Passwort für Kunden Accounts – es ist schier unmöglich, sich all diese Zugangsdaten zu merken.
Mit dem organischen Wachstum der Digitalisierung sind auch verschiedene Wege der Passwortverwaltung entstanden. Dabei kann festgestellt werden: Es gibt gute Möglichkeiten, Zugangsdaten zu verwalten und es gibt eher schlechte Wege, Zugänge zu verwahren. Bevor Unternehmen sich für ein System entscheiden, sollten grundsätzliche Überlegungen für jeden Zugang angestellt werden.
Diese Fragen muss eine sichere Passwortverwaltung beantworten
Passwortverwaltung ist gut, wenn sie für die Menschen, die mit den Zugängen arbeiten müssen, praktikabel ist. Deshalb sollten Unternehmen sich grundsätzlich folgende Fragen stellen:
- Welche verschiedenen Personengruppen müssen auf den Zugang zugreifen können?
- Wie viele Personen brauchen das Passwort?
- Wer soll das Passwort festlegen bzw. ändern können?
- Wie groß ist das Sicherheitsrisiko, das von einem Passwort-Verlust oder einem Hack ausgeht?
Der erste Fehler, den viele Unternehmen machen, ist davon auszugehen, dass nur Mitarbeitende, die konkret mit dem Gerät bzw. der Software arbeiten, über das Passwort verfügen müssen. Es ist tatsächlich so, dass auch die IT-Abteilung bzw. die für die IT zuständige Person sowie die Geschäftsführung im Zweifelsfall einen Zugriff haben müssen. Ansonsten gehen wichtige Daten und damit im Zweifelsfall wertvolles Kapital verloren, sobald Angestellte das Unternehmen verlassen.
Wichtig: Passwörter nie auf Papier aufbewahren!
Der Klassiker der Passwortverwaltung an vielen Arbeitsplätzen ist nach wie vor das gute alte Papier. Entweder ist es der Spickzettel, der unter dem Schreibtisch klebt oder das Notizbuch, das wahlweise in der Schreibtischschublade oder dem Aktenkoffer steckt. Der Volksmund sagt zwar, dass Papier geduldig sei, aber im Zuge der Datensicherheit ist die Aufbewahrung von Zugangsdaten auf Papier die schlechteste aller Alternativen.
Zum einen ist der Spickzettel, in welcher Form auch immer, eine willkommene Einladung für Einbrecher jeglicher Art. Liegt das Passwort für die Geschäftskonten gleich neben dem Rechner, sacken Kriminelle nicht nur die teure Hardware ein, sondern räumen das Konto ebenfalls leer. Zum anderen kann bereits ein Glas Wasser der Endgegner für jedes Stück Papier sein. Einmal nicht aufgepasst, schwimmt der handschriftliche Zugangscode im wahrsten Sinne des Wortes davon. Die Folge ist aufwendiges Zurücksetzen aller Zugangsdaten.
Lokale Passwortverwaltung - so geht's nicht!
Tatsächlich einfacher und praktischer als Papier erscheint vielen die digitale Speicherung von Passwörtern. Dabei erstreckt sich die Passwortverwaltung allerdings oft nur auf ein Textdokument oder eine Excel-Tabelle, wo alle Zugänge und die dazugehörigen Authentifizierungscodes dokumentiert werden. Was sicher aussieht, ist aber auch für die meisten Hacker ein willkommenes Einfallstor. Besteht einmal Zugriff auf das Endgerät, lassen sich entsprechende Dokumente einfach auslesen. Besser ist die Verwaltung der Zugangsdaten in einem Passwortmanager. Dieser ist verschlüsselt und neben einem Masterpasswort optimalerweise mit einer Zwei- oder Multi-Faktor-Authentifizierung geschützt.
Aber auch der Verlust der Zugangsdaten ist in solch einem Fall nicht unwahrscheinlich. Egal, ob das Dokument bei einer Festplattenreinigung versehentlich gelöscht wird, die Datei aus verschieden Gründen korrupt ist oder schlicht kein Zugang zum Endgerät besteht – besteht kein Zugriff auf das Dokument, sind auch die Zugangsdaten verloren.
Die einfachste Variante für viele scheint die automatische Speicherung im Browser oder in der jeweiligen Software zu sein. Tatsächlich ist aber auch das eine Variante der Passwortverwaltung, die für viele Hacker geradezu eine Einladung darstellt, die sensiblen Daten mit Hilfe von Schadsoftware auszulesen.
Sicheres Passwort erstellen und verwalten - Tipps des BSI:
- mindestens 8 Zeichen
- je länger desto besser
- Passphrase als Option
- alle verfügbaren Zeichen verwenden
- keine “echten” Wörter nutzen
- Verzicht auf Tastaturfolgen
- mindestens 20 Zeichen bei WLAN-Passwort
- Passwort regelmäßig ändern
- niemals gleiche Kennwörter für verschiedene Accounts nutzen
- zentrale Verwaltung in Unternehmen
- Zwei-Faktor-Authentifizierung
Zwei-/Multi-Faktor-Authentifizierung verwenden
Selbst das sicherste Passwort kann prinzipiell und rein theoretisch geknackt werden. Damit es selbst dann zu keinen Folgeschäden kommt, sollten Sie immer eine zweite Hürde implementieren: die sogenannte Zwei-Faktor-Authentifizierung. Neben dem Passwort ist damit noch ein weiterer Schlüssel notwendig, um Zugriff auf ein Konto zu erhalten. Das kann eine SMS-TAN, ein Fingerabdruck oder ein Hardware-Token sein.
Sichere Passwortverwaltung mit dem Passwortmanager
Die effizienteste und gleichzeitig sicherste Variante der Passwortverwaltung im Unternehmen ist die Arbeit mit einem Passwortmanager. Das Prinzip ist einfach:
- Der Passwortmanager (teilweise auch “Passwort-Manager” geschrieben) ist eine eigene Anwendung, die alle Zugänge hinter einem Masterpasswort verwahrt.
- Je nach Funktionalität der Software generiert der Passwortmanager das Passwort sogar, sodass es den Anwendern nicht einmal bekannt sein muss. Statt das Passwort dann händisch in der jeweiligen Oberfläche einzugeben, wird es einfach aus dem Passwortmanager kopiert bzw. via Autofill-Funktion eingefügt. Dies schützt sowohl vor Keylogging (dem Mitlesen von tastatureingaben) als auch vor Social-Engineering-Angriffen, bei denen Kriminelle versuchen, Mitarbeitenden das Passwort zu entlocken.
Passwortmanager (für Unternehmen) haben mehrere Vorteile:
- Alle Zugänge befinden sich sicher an einem Ort.
- Verschiedene Rollen und Zugriffsrechte ermöglichen Zugriff auf die Zugänge, ohne, dass Passwörter herumgereicht werden müssen.
- Auch bei Weggang von Angestellten muss lediglich das Masterpasswort geändert werden und nicht jeder Zugang einzeln neu eingerichtet.
- Im Passwortmanager generierte Passwörter erfüllen höchste Sicherheitsstandards.
- Die Programme verringern den administrativen Aufwand.
- Sie bieten Schutz vor Cyberkriminellen, die bspw. mit Keyloggern arbeiten.
Passwortmanager gibt es mittlerweile von zahlreichen Anbietern. Welches Produkt für das jeweilige Unternehmen passend ist, erläutern wir gern in der persönlichen Beratung.
Ermitteln und verbessern Sie Ihr aktuelles Schutzniveau.
Mit einem sogenannten Penetrationstest lassen sich Schwachstellen zuverlässig aufdecken. IT-Security-Spezialisten verwenden als "Ethical Hacker" dabei die gleichen Methoden, mit denen auch Kriminelle versuchen würden, unberechtigt Zugriff auf ein System zu erhalten. Weil neben technischen Schwachstellen auch der Faktor Mensch oftmals ein Sicherheitsrisiko darstellt, empfehlen wir zudem, regelmäßige Schulungen und Awareness Trainings durchzuführen. Solche Maßnahmen als Teil eines IT-Management-Systems (ISMS) können Voraussetzung sein, um eine IT-Security- oder Datenschutz-Zertifizierung zu erhalten.
IT-Security-Management
Sie wünschen Unterstützung beim Einrichten von Heimarbeitsplätzen, der Verwaltung und Dokumentation von Benutzern und Berechtigungen an stationären und mobilen Arbeitsplätzen? Außerdem legen Sie Wert auf einen Ansprechpartner, der im Notfall schnell die richtigen Maßnahmen ergreift? Unsere IT-SicherheitsexpertInnen sind für Sie da.
Rückruf anfordern
Sie sind noch unschlüssig, ob wir Ihnen wirklich weiterhelfen können? Fordern Sie einen unverbindlichen Rückruf an und lassen Sie uns gemeinsam über die Möglichkeiten sprechen. Gerne stehen wir Ihnen zu sämtlichen Fragen Rede und Antwort.
Kontakt
Kontaktieren Sie uns vollkommen unverbindlich. Wenn Sie uns anrufen, sprechen Sie zuerst mit unseren TelefonistInnen, die Ihnen gerne erste Auskünfte erteilen. Gemeinsam legen Sie dann einen Termin mit unseren Spezialistinnen und Spezialisten fest, um Ihre Wünsche zu konkretisieren. Kosten entstehen Ihnen auch dann noch keine, sondern erst, wenn Sie uns nachweislich und schriftlich einen Auftrag erteilt haben. Transparent und ehrlich eben.
Zentrale:
protect-IT-solutions
c/o Bindig Media GmbH
Nonnenstraße 17
04229 Leipzig
Unsere IT-ExpertInnen sind in der gesamten Bundesrepublik Deutschland, in Österreich und in der Schweiz für Sie da.
Gratis Hotline: 0800 589 02 49
E-Mail: anfrage@protect-it-solutions.de