Eine professionelle Passwort-Management-Lösung ist ein Muss für Unternehmen. Das Angebot auf dem Markt reicht von kostenlosen Programmen bis zu Enterprise-Lösungen. Doch welche Anforderungen müssen erfüllt sein, damit sich das Passwort-Management im Unternehmenseinsatz bewährt? Im Folgenden sind 15 Grundregeln zusammengestellt.

Viel Spreu, wenig Weizen findet sich im Bereich der Passwort-Management-Lösungen. Je größer ein Unternehmen oder eine Organisation, desto schwieriger gestaltet sich bereits die Einhaltung der gesetzlichen Vorgaben. Diese können sich sogar im Einzelfall widersprechen. So beeinträchtigt zum Beispiel der US-amerikanische Patriot Act unter Umständen Datenschutzbestimmungen in der EU. Daher ist es sinnvoll, neben technischen Kriterien auch den Unternehmenssitz des Anbieters, die Entwicklungsabteilung und den Standort von Service und Support zu berücksichtigen. Diese sollten zumindest in der EU liegen. Ideal wäre ein Standort in Deutschland oder Österreich, da hier die Datenschutzbestimmungen besonders streng sind. Um die Wahl der Passwort-Management-Lösung sinnvoll einzugrenzen, sollte man die nachfolgenden Fragen klären.

Das Reporting einer Passwort-Management-Lösung sollte die Nutzung der Passwörter im Unternehmen und den Änderungsbedarf anzeigen. Bild: Mateso

1. Lassen sich die Daten zentral verwalten? Die kompetente Verwaltung von Daten ist äußerst anspruchsvoll und komplex. Neben unternehmensinternen Informationen ist zugleich der Schutz aller Kundendaten sicherzustellen. Die Lösung muss in der Lage sein, die zu schützenden Daten in jedem Bearbeitungsstadium nach dem Stand der Technik zu verschlüsseln und zentral vorzuhalten. Die Datenstruktur muss anpassbar sein. Das Projektteam sollte prüfen, ob man komplexe Kontaktinformationen und Passwörter bis zu einfachen Lizenzdateien und Dokumentationen erfassen kann.

2. Unterstützt die Passwort-Management-Lösung die Administration effektiv? Durch integrierte Remote-Desktop-Verbindung und automatische Mehrfacheintragung (Single Sign-on, SSO) sollten sich die Administratoren mit komplexen Passwörtern effektiv authentifizieren können. Erforderlich ist die Verwaltung und Kontrolle aller RDP- und SSH-Verbindungen (Remote Desktop Protocol, Secure Shell). Ein protokollierter Zugriff muss gemäß frei konfigurierbarer Berechtigungen möglich sein. Um auf dem Laufenden zu bleiben, sollte man tägliche automatisierte Reports erstellen können. Ein leicht bedienbares Filtersystem muss die gezielte Auswahl der zu untersuchenden Daten unterstützen. Unverzichtbar ist auch Active-Directory-Unterstützung: Hier ist zu prüfen, ob das Tool die Übernahme bestehendern Benutzer- und Gruppenstrukturen aus dem AD unterstützt und eine automatische Synchronisation der Benutzer inklusive deren Mitgliedschaften erfolgt.

3. Lassen sich die Daten an die Unternehmensstruktur anpassen? Man sollte hinterfragen, ob – und wenn ja, mit welchem Aufwand – sich Formularfelder und Eingabemasken individuell gestalten lassen. Dies ermöglicht eine flexible Anpassung an jede Unternehmensstruktur – auch bei größeren Umstrukturierungen oder starkem Wachstum.

Die abgebildete Organisationsstruktur des Unternehmens hilft, den Mitarbeitern die richtigen Berechtigungen zuzuweisen. Bild: Mateso

4. Werden die Passwörter verdeckt eingetragen? Die automatische Eintragung – ohne dabei das Passwort aufzudecken – ist heute Stand der Technik. Ein Projektteam sollte hier überprüfen, ob eine Sichtsperre auf schützenswerte Passwörter besteht und sich die Passwort-Management-Lösung so konfigurieren lässt, dass sie das Passwort via SSO verdeckt einträgt, ohne dass der Anwender das Passwort einsehen kann. Dies erhöht die Sicherheit und spart zugleich sehr viel Zeit.

5. Lassen sich alle Änderungen nachvollziehen und widerrufen? Alle Dokumente sind verschlüsselt und versioniert in der Datenbank abzulegen. Die Zugriffe darauf sind stets zu protokollieren und zu dokumentieren. Eine Anbindung des Logbuchs an einen Syslog-Server muss für eine revisionssichere Protokollierung möglich sein. Auch alle Aktionen innerhalb der Datenbank sind revisionssicher zu protokollieren. Eine effektive Auswertung muss durch den Einsatz granularer Logbuch-Filter gegeben sein. Eine leistungsfähige Datensatzhistorie sollte durch die Gegenüberstellung aller versionierten Datensätze den Überblick ermöglichen und einen älteren Datenstand bei Bedarf wiederherstellen können.

6. Ist der Zugriff auch offline und vor Ort möglich? Auf Passwörter, die ein Mitarbeiter vor Ort benötigt, muss er via Offline-Modus zugreifen oder alternativ mit einem Web-Zugriff arbeiten können. Die Passwortverwaltung muss auch ohne Verbindung zum Server arbeiten, die Änderungen sollten sich nach einer Rückkehr in das Netzwerk im Hintergrund synchronisieren.

7. Besteht ein einstellbares Siegelsystem? Das Abrufen der Passwörter sollte optional durch ein Siegelsystem erfolgen können, also durch eine lückenlos protokollierte Abfrage nach Mehr-Augen-Prinzip. Hier ist zu gewährleisten, dass dieser Vorgang nur über eine vorher definierte Freigabe erfolgen kann. Hier kann es auch nötig sein, Accounts per Mehr-Faktor-Authentifizierung zu schützen, zudem ist die Entnahme eines Passworts durch eine oder mehrere digitale Unterschriften zu autorisieren. Wer im Mehr-Augen-Prinzip versiegelte Datensätze freigeben und das Siegel brechen darf, muss individuell einstellbar sein. Betroffene Personen sind automatisch über das Benachrichtigungssystem zu informieren. Bei einem Siegelbruch oder dem Öffnen bestimmter Passwörter muss man zudem einstellen können, dass der Sicherheitsbeauftragte automatisch per E-Mail informiert wird.

8. Wird die rollenbasierte Sicherung von Dokumenten unterstützt? Die Berechtigung für Zugriffe auf Dokumente muss rollenbasiert möglich sein, idealerweise bis auf Datensatzebene – nur so lassen sich erforderliche Zugriffe exakt steuern.

Bei der Siegelvergabe sollte es möglich sein, die benötigten Freigaben zu bestimmen. Bild: Mateso

9. Wie gut ist die Passwort-Datenbank intern abgesichert? Wünschenswert ist eine zusätzliche Sicherung der Datenbank für Passwörter durch eine eigene Firewall als weitere Barriere gegen unberechtigte unternehmensinterne Zugriffe.

10. Lassen sich Systemaufgaben einstellen? Die Lösung sollte mittels System-Tasks in der Lage sein, periodisch E-Mails zu verschicken und die Benutzer über die Aktualität der Daten zu informieren. Zum Beispiel lassen sich dadurch zu Wochenanfang E-Mails erzeugen, in denen abgelaufene oder in den kommenden Tagen ablaufende Passwörter gelistet sind.

11. Sind temporäre Freigaben möglich? Auch zeitlich befristete Berechtigungen für Benutzer und Rollen sollte das Tool unterstützen. Damit lassen sich auch Vertretungen regeln, zum Beispiel Zugriffe, die ein Stellvertreter bei Urlaub oder Krankheitsvertretung benötigt.

12. Lässt sich untypisches Benutzerverhalten über Session Monitoring aufdecken? Ein Tracking und Reporting untypischen Benutzerverhaltens inklusive automatischer Benachrichtigungen hilft, Missbrauchsversuche zu entlarven.

13. Gibt es einen automatischen Passwort-Reset? Dienstkonten, die durch schlechte Passwörter „gesichert“ sind, stellen ein Sicherheitsrisiko für das gesamte Unternehmen dar. Ein automatischer Passwort-Reset erzeugt stark verschlüsselte Passwörter und generiert diese immer wieder neu, sodass stets der bestmögliche Schutz der Zugänge gewährleistet ist.

14. Ist die Lösung skalierbar? Beim unternehmensweiten Rollout steht die Skalierbarkeit der Software im Vordergrund. Diese muss auf mehreren Anwendungs-Servern und Datenbank-Clustern laufen können. Bei Ausfällen hat ein Backup- System die Daten wiederherzustellen.

15. Ist die Hochverfügbarkeit gewährleistet? Ein Unternehmen sollte überprüfen, ob eine Multi-Tier-Architektur die Hochverfügbarkeit über Datenbank-Clustering und Load Balancing der Anwendungs-Server garantiert. Die Bedeutung dieses Kriteriums wächst mit der Unternehmensgröße.

Warum Unternehmen Passwort-Manager benötigen

Warum ist eine professionelle Passwort-Management-Lösung zumindest im Unternehmensumfeld unverzichtbar? Weil nur sichere Passwörter den Zugang zu sicherheitsrelevanten Daten wirksam versperren. Es gibt zwar kein Passwort, das sich nicht entschlüsseln ließe. Doch es macht einen großen Unterschied, ob diese Entschlüsselung binnen Sekunden oder in Jahrhunderten möglich ist. Ohne Passwort-Management-Lösung stehen Unternehmens vor einem Dilemma: Entweder sie verwenden ein leicht zu merkendes, möglichst kurzes Passwort (und dieses kann gar nicht sicher sein!), oder das Passwort ist sicher – dann ist es weder kurz noch leicht zu merken oder einzugeben, weil es auch Sonderzeichen enthalten sollte, die nicht auf der normalen Tastatur zu finden sind. Daher schreiben viele Anwender das verwendete Passwort auf einen Zettel, den sie an den Bildschirm kleben, unter die Tastatur oder in die Schreibtischschublade legen. Professionelle Passwort-Management-Lösungen lassen unsichere Passwörter gar nicht erst zu und erzeugen auf Wunsch sichere Passwörter, die sie stark verschlüsselt speichern. Im Idealfall ist auch deren Verwaltung sehr komfortabel.

Christian Strobel ist COO von Mateso ().