Autor: Joe Carson, Chief Security Scientist & Advisory CISO Delinea
Eine sichere Passwortverwaltung ist für den Schutz von Unternehmen unerlässlich. Wenn Anmeldedaten kompromittiert werden, können Angreifer auf vertrauliche Informationen zugreifen und die Kontrolle über IT-Systeme erlangen, wodurch das gesamte Unternehmen gefährdet wird. Die zunehmende Verbreitung von Online-Konten und -Diensten erhöht das Risiko von Passwortverletzungen und Kompromittierungen zusätzlich. Passwörter sind anfällig für Phishing, Credential Stuffing, Brute-Force- und Wörterbuchangriffe. Fortgeschrittene Hacking-Techniken und das Aufkommen von Quantencomputern stellen die Sicherheit passwortgeschützter Systeme vor noch nie dagewesene Herausforderungen.
Passwörter sind für die Nutzer unbequem. Viele haben Schwierigkeiten, komplexe Passwörter zu erstellen und sich diese dann zu merken. Dies führt zu schlechten Passwort-Hygienepraktiken wie der Wiederverwendung, dem Speichern an unsicheren Orten und dem Aufschreiben von Passwörtern. Wenn in Unternehmen die Passwortverwaltung den Mitarbeitenden übertragen wird, lastet eine große Verantwortung auf deren Schultern. IT- und Sicherheitsteams können diese Last abnehmen, indem sie die Passwortverwaltung zentralisieren und automatisieren
Kennwortverwaltung zentralisieren
Durch die Zentralisierung der Kennwortverwaltung als Aufgabe des IT-Teams können Unternehmen einheitliche Kennwortrichtlinien einführen und sicherstellen, dass diese Richtlinien eingehalten werden. Eine zentralisierte Passwortverwaltung stellt sicher, dass die Passwörter den Sicherheitsanforderungen entsprechen und dass die Passworthygiene eingehalten wird. funktionierend Passworthygiene sicher.
Passwörter in einem sicheren Tresor speichern
Mitarbeitende, die ihre Passwörter in Tabellenkalkulationen oder auf Notizzetteln speichern, können leicht kompromittiert werden. Anstatt sich darauf zu verlassen, dass Angestellte selbst entscheiden, wie sie ihre Passwörter speichern, sollte ihnen eine Lösung angeboten werden, auf die sie leicht zugreifen können. Als Teil eines zentralisierten Passwortverwaltungsprogramms sollte der erste Schritt darin bestehen, einen verschlüsselten Passwort-Tresor einzurichten, in dem alle Passwörter gespeichert werden sollten.
Für die persönliche Passwortverwaltung oder für kleine Firmen ist die Verwendung eines seriösen Passwortmanagers meist ausreichend. Diese Tools generieren und speichern komplexe, eindeutige Kennwörter für jedes Konto, wodurch das Risiko eines unbefugten Zugriffs erheblich verringert wird. In größeren Unternehmen und Betrieben erzwingt und speichert Privileged Access Management (PAM) nicht nur sichere Passwörter, sondern ermöglicht auch strenge Zugriffskontrollen, so dass die Anwender nur den Zugriff erhalten, den sie benötigen, wenn sie ihn benötigen.
Speicherung von Passwörtern in Browsern vermeiden
Browser sind nicht für die Verwaltung von Passwörtern gedacht; leider ist die Sicherheit bei den meisten Browsern standardmäßig deaktiviert. Der browserbasierten Speicherung von Kennwörtern mangelt es im Vergleich zu dedizierten Lösungen an Sicherheits- und Produktivitätsfunktionen. Wird Mitarbeitenden die Verwendung des Browsers für die Speicherung von Kennwörtern gestattet, sollte ein „Secure-by-Design“-Ansatz durchgesetzt werden und die Kennwortsicherheitsfunktionen des Browsers aktiviert sein. Besser noch: Passwort-Manager und PAM-Lösungen für Unternehmen verfügen über Browser-Erweiterungen, die Anmeldeinformationen für Websites und Webanwendungen verwalten. So können Benutzer Anmeldedaten speichern, verwalten und automatisch ausfüllen, ohne den zentralen, sicheren Passwort-Tresor zu umgehen. Durch die Integration von Browsern und PAM-Lösungen werden Passwörter in den Hintergrund verlagert, so dass die Anwender weniger Passwörter auswählen müssen, was auch die Wiederverwendung von Passwörtern verringert.
Zusätzliche Sicherheit für das Master-Kennwort
Der Administrator eines unternehmensweiten Passwort-Tresors trägt eine enorme Verantwortung. Daher sollte sichergestellt sein, dass das Passwort, das er für die Verwaltung des Tresors verwendet, an einem sicheren Ort aufbewahrt und mit zusätzlichen Authentifizierungsebenen verwaltet wird. Bei persönlichen Passwortmanagern, Passwortmanagern für kleine Unternehmen und PAM-Lösungen sollte sichergestellt sein, dass zumindest die Multi-Faktor-Authentifizierung für das Master-Passwort aktiviert ist, um es Angreifern zu erschweren, es zu kompromittieren. Alternativ können auch Geofencing und zusätzliche Freigabeebenen eingeführt werden.
Notfallwiederherstellung vorbereiten
Um die Cyber-Resilienz in Notfallszenarien zu gewährleisten, sollten Unternehmen Tools wie Datenbankspiegelung, Georeplikation und Notfallzugriffskontenimplementieren. Auf diese Weise können die Benutzer weiterhin auf Passwörter zugreifen, um die Geschäftskontinuität zu gewährleisten. Ein starker Passwort-Manager oder eine PAM-Lösung, die eine hohe Verfügbarkeit bietet, stellt sicher, dass Unternehmen immer den benötigten Zugriff haben.
Zugang zu Passwörtern beschränken
Nur Personen, die dazu berechtigt sind, sollten Zugang zu Passwörtern haben. Dabei kann es sich um Mitarbeitende, Auftragnehmer, Lieferanten oder Partner handeln. Passwörter sollten niemals an Personen weitergegeben werden, die dazu nicht befugt sind. Passwort-Manager und PAM-Lösungen für Unternehmen können den Fernzugriff auf Anwendungen und Systeme ermöglichen, ohne dass die Passwörter offengelegt werden. Sobald die Aufgabe erledigt ist, kann das Passwort rotiert werden, wodurch die Zeit für die Offenlegung des Passworts auf ein Minimum reduziert, und das Risiko verringert wird.
Richtlinien definieren
Unternehmen sollten Richtlinien für sichere Passwörter definieren und diese durchsetzen. Auch ist es sinnvoll, bewährte Verfahren für die Länge und Komplexität von Passwörtern und Passphrasen befolgen, damit sie für Menschen oder Tools zum Knacken von Passwörtern schwerer zu erraten sind. Die Länge des Kennworts ist wichtiger als die Komplexität, und zusammen machen diese Faktoren ein Kennwort sicherer.
Wiederverwendung von Passwörtern verhindern
Jedes im Unternehmen verwendete Kennwort sollte einmalig sein. Niemals sollte dasselbe Kennwort mit mehreren Personen verknüpft werden oder Zugang zu mehreren Systemen gewähren. Auch sollten gespeicherte Passwörter regelmäßig überprüft und solche, die nicht mehr verwendet oder benötigt werden, entfernt werden. Zusätzlich sollte die Änderung von Passwörtern nach einem Zeitplan oder sogar ad hoc erzwungen werden.
Single-Sign-On implementieren
Single-Sign-On (SSO) reduziert den Aufwand für die Passwortverwaltung für die Benutzer, da sie sich einmal authentifizieren und SSO für den Zugriff auf mehrere Anwendungen verwenden können. SSO erleichtert zwar die Verwaltung des Zugriffs auf mehrere Anwendungen und vereinfacht die Benutzererfahrung. Aber es ist wichtig, zusätzliche Sicherheitsanforderungen für SSO einzuführen, wie z. B. Multi-Faktor-Authentifizierung (MFA) und Privileged Access Management, damit im Falle einer Kompromittierung von Anmeldeinformationen oder Passwörtern der Zugriff eines Angreifers eingeschränkt wird. SSO sollte immer mit PAM kombiniert werden, um sicherzustellen, dass sowohl die Authentifizierung als auch die Autorisierung sicher sind.
Den Passwort-Tresor in andere Unternehmenslösungen integrieren
Um die Passwortverwaltung für die IT- und Sicherheitsteams zu vereinfachen, sollte der Passwortmanager oder die PAM-Lösung in das IT-Ökosystem des Unternehmens integriert werden und nahtlos mit anderen Tools zur Verwaltung von Benutzeridentitäten und Systemzugriff zusammenarbeiten. Bewährt hat sich die Integration des Tresors mit Active Directory oder Azure AD (jetzt Entra ID), um Benutzer mit eindeutigen Identitäten zu verbinden. Alternativ können Unternehmen auch Workflow-Tools für die Weiterleitung von Helpdesk-Anfragen, z. B. zum Zurücksetzen von Passwörtern, und IGA-Systeme wie ServiceNow oder FastPath für die Identitätsverwaltung integrieren.
Überwachung der Passwortverwendung
Unternehmen sollten verfolgen, wann, wie oft und von wem Passwörter verwendet werden. Auf diese Weise kann eine Basis für die Passwortaktivität festgelegt werden, die es ermöglicht, etwaige Anomalien zu erkennen. Kommt es zu einem Ransomware-Angriff oder einen Cyberverstoß, sollten Unternehmen in der Lage sein, die Zurücksetzung von Passwörtern für alle Mitarbeitende zu erzwingen. Auf diese Weise wird verhindert, dass ein Eindringling weiteren Schaden anrichtet.
Vorschriften für die Passwortverwaltung einhalten
Kennwortverwaltungspraktiken müssen den Vorschriften der jeweiligen Branche und Datenschutzgesetzen wie NIST, PCI, HIPPA usw. entsprechen. Unternehmen sollten in der Lage sein, Berichte zu erstellen und diese mit Prüfern zu teilen, um ihre Passwortverwaltungspraktiken, einschließlich der von ihnen ergriffenen Maßnahmen zur Reaktion auf Vorfälle, nachzuweisen.
Multi-Faktor-Authentifizierung einführen
Selbst wenn all diese Empfehlungen für die Passwortverwaltung befolgt werden, können Passwörter gestohlen werden, denn Cyberkriminelle werden immer raffinierter. Strategien zur Identitätssicherung wie die Multi-Faktor-Authentifizierung fügen eine zusätzliche Sicherheitsebene hinzu, indem sie eine zweite Form der Überprüfung erfordern, z. B. einen einmaligen Code, der an ein mobiles Gerät gesendet wird. Auf diese Weise können Unternehmen sicherstellen, dass der Kennwortbenutzer derjenige ist, der er vorgibt zu sein.
Passwörter hinter die Kulissen stellen
Eine fortschrittliche Verwaltung von Kennwörtern besteht darin, die Kennwörter vollständig hinter die Kulissen zu stellen. Sie können automatisch erstellt, rotiert und überwacht werden, ohne dass ein Benutzer sie jemals sieht oder erstellt. Auf diese Weise besteht keine Gefahr, dass ein Benutzer versehentlich ein Kennwort weitergibt oder ihm jemand über die Schulter schaut, um es zu stehlen.
Fazit
Für Privatpersonen oder kleine Unternehmen reicht ein leistungsfähiger Passwort-Manager aus, um ihre persönlichen Passwörter zu verwalten und zu schützen. Dieser sollte mehrere der vorgestellten Empfehlungen zur Passwortverwaltung enthalten. Für größere Unternehmen und Konzerne bietet PAM all diese Best Practices für die Passwortverwaltung. PAM gewährleistet, dass Passwörter sicher verwaltet werden. Das entlastet die Benutzer, so dass sie sich auf ihre Arbeit konzentrieren können, ohne sich um die Passwortverwaltung kümmern zu müssen.
