Passwort-Speicher-Werkzeuge: Gedächtniskrücke für IT-Anwender und –Administratoren?

Viele IT-Anwender und –Administratoren stehen vor der Herausforderung, für eine Vielzahl an IT-Systemen, Anwendungen und Web-Ressourcen die jeweiligen Passwörter bereit zu halten. Software für das Identitätsmanagement und Single Sign-On (SSO) könnten hier Abhilfe schaffen, aber leider hat nicht jedes Unternehmen solche Lösungen im Einsatz, geschweige denn dass diese in der Praxis sämtliche Anwendungen und Systeme tatsächlich erfassen würden.

Dennoch ist es mit gutem Recht „Best Practice“, eine regelmäßige Änderung von Passwörtern über Policies zu erzwingen. Und so stellt sich die Frage: welche Werkzeuge ermöglichen die sichere Speicherung und Verwaltung von Passwörtern, ohne die Budgets und Realisierungszeiträume über Gebühr zu strapazieren?

Hier sind drei Stoßrichtungen erkennbar:

Beim „Password Safe“ werden Nutzernamen und Passwörter verschlüsselt in einem Archiv abgelegt. Dies geschieht oftmals auf dem Desktop, mobilen Speichermedien (USB-Flash),  online oder für Unternehmenskunden auch mittels Server-Lösungen. Beispiele für diese Lösungskategorie sind Password Safe (Open Source / Bruce Schneier), KeePass (ebenfalls Open Source), Password Depot 5 (Acebit) und Password Manager Pro (ManageEngine / ZOHO).

In der Regel ist dies ein kostengünstiger Lösungsweg, und es gibt auch kostenlose Open Source Lösungen, die sowohl bei Unternehmensanwendern als auch bei Privatleuten beliebt sind. Andererseits bieten die meisten Lösungen keine granulare Bereitstellung von Passwörtern speziell für IT-Administratoren mit unterschiedlichen Zugriffsrechten. Die dort erwünschten Logging- und Auditfunktionen sind nur bedingt verfügbar. Der Anbietermarkt und die Eigenschaften der einzelnen Lösungen sind oft intransparent – es lässt sich nicht ausschließen, dass im Einzelfall Hintertüren für Sicherheitsrisiken geöffnet werden. Die am Markt angepriesenen Online-Lösungen schließlich sind für Unternehmen aus Sicherheits- und Datenschutzsicht eher nicht geeignet.

Lösungen für „Privileged Access Management“ addressieren das Passwort-Management als ein Teilaspekt. Überwachung, Logging und Auditierung von IT-Administrator-Aktivitäten stehen dabei im Vordergrund. Diese Lösungen ermöglichen also „Password Safe“ und generell die Kontrolle der IT-Administration aus einer Hand. Leider sind sie in der Regel auch entsprechend komplex und teuer. Deshalb machen sie nur Sinn, wenn das Unternehmen nicht nur die Verwaltung von Passwörtern, sondern generell auch das Privileged Access Management anpacken möchte. Zu den Anbietern in diesem Bereich zählen e-DMZ Security und CyberArk.

Die Verschlüsselung von Dateien, Datenbanken oder Containern stellt einen weiteren Lösungsweg dar. Passwörter werden hier in Dateien gespeichert (z.B. Excel) und verschlüsselt abgelegt. Von Vorteil ist dabei, dass die notwendigen Produkte oftmals bereits im Unternehmen vorhanden sind (z.B. PGP, WinZip). Allerdings ist das Passwort-Management auf diese Art nur umständlich zu realisieren. Dass Passwörter unverschlüsselt „ausgecheckt“ werden können und nach dem Kopieren nicht automatisch aus dem Zwischenspeicher gelöscht werden, kann zu Sicherheitsrisiken führen. Es gibt außerdem kaum passwortbezogene Auditmöglichkeiten.

Wenn man nicht gleich den Weg des Privileged Access Management beschreitet, ist speziell im IT-Administrationsbereich aus meiner Sicht eine Kombination von Password Safe Software mit OTP-Tokens oder vergleichbaren starken Authentisierungsverfahren sinnvoll.

Eines würde mich dennoch interessieren: wie machen Sie das in Ihrem Unternehmen?