Passwortverwaltung im Fokus: Wie ein Passwort-Manager Ihre Unternehmensdaten vor Sicherheitsrisiken schützt

Ein neuer Tag im Büro beginnt mit einer Nachricht, die niemand hören möchte: Sensible Unternehmensdaten sind kompromittiert. Ein Albtraum, der leider allzu oft Wirklichkeit wird. Die Ursache: Ein schlecht verwaltetes Passwort-Management.

Denn laut einer Statistik von KommondoTech eine mangelnde Passwortsicherheit trägt zu 81% aller Datenverletzungen bei. Dabei involvieren 85% der Brüche das menschliche Element, wie Auswertungen zu schwachen Passwörtern zeigen.*

Wie kommt es durch schlechte IT-Sicherheit zum Datenverlust?

Es gibt mehrere Möglichkeiten, die in einem Unternehmen zu Datendiebstählen führen und Cyberkriminellen Tür und Tor öffnen. Von menschlichem Versagen bis hin zu Softwareproblemen kann es hier viele Ursachen geben. Zum Glück kann mit wenigen Stellschrauben ein großer Faktor schnell und einfach behoben werden: Mit einem zentralen Passwort-Manager für Unternehmen können im ersten Schritt größere Schwachstellen geschlossen, sensible Unternehmensdaten geschützt und die IT-Sicherheit erhöht werden.

Schauen wir uns zunächst an, welche 5 Schwachstellen es zu bereinigen gibt und am Ende erfahren Sie, wie diese Schwachstellen in der IT-Sicherheit erheblich verbessert werden können.

Schwachstelle 1: Der Menschliche Faktor – Eine Schwachstelle im Sicherheitsnetz der Unternehmen

Ein Mitarbeiter muss sich möglicherweise Dutzende von Passwörtern für viele Tools oder Webanwendungen merken. Ohne einen effektiven Passwort-Manager führt das unweigerlich dazu, dass ein Passwort für mehrere Logins verwendet wird oder die Passwörter auf irgendwelchen Zetteln aufbewahrt werden. Der Klassiker: Firmenname + Jahreszahl.

Was benötigt dieser Mitarbeiter also, um zukünftig seine Passwörter sicher aufzubewahren und für jeden Login eigene, sichere Passwörter zu verwenden? Er braucht einen zentralen und sicheren Speicherort, um dort alle Passwörter abzulegen und auf sie zuzugreifen, ohne sie sich alle merken zu müssen. Zudem ist es für ihn hilfreich, wenn Passwörter automatisch generiert werden. So kann sichergestellt werden, dass er für jeden Login ein einzigartiges, sicheres und langes Passwort mit Sonderzeichen nutzt.

Zudem muss der IT-Admin eine zentrale Zugriffsverwaltung über alle Passwörter und Schnittstellen haben. So ist das Unternehmen vor unbefugtem Zugriff auf ihre sensiblen Unternehmensdaten geschützt. Sie wollen doch auch nicht, dass der Praktikant weiß, wie viel Geld auf ihrem Geschäftskonto ist oder welche Transaktionen Sie vorgenommen haben.

Welchen Vorteil hat das Ganze aber für den einzelnen Mitarbeiter? Durch Schäden, die ein Mitarbeiter durch das unsichere Aufbewahren von Passwörtern anrichtet, könnte sein Job bei Datenverlust ganz schnell in Gefahr sein. Eine sichere, zentrale Passwortverwaltung schützt somit nicht nur sensible Unternehmensdaten, sondern gibt auch den Mitarbeitern durch das zentralisierte Passwort-Management Schutz.

Und wenn wir schon beim Thema Kündigung sind: Wie läuft es in Ihrem Unternehmen, wenn ein Mitarbeiter kündigt oder gekündigt wird? Erhalten Sie von ihm alle Zugangsdaten? Wissen Sie überhaupt, auf welchen Plattformen der Mitarbeiter Konten hatte? Können Sie behaupten, dass Sie regelmäßig alle Logins nach einer Kündigung ändern und kein ausgeschiedener Mitarbeiter mehr Zugriff auf aktive Zugänge hat? Mit einem zentralen Passwort-Manager sparen Sie sich hier viel Zeit und Nerven. Sie haben alle Zugänge zentral im Überblick, können die Zugangsdaten nach Ausscheiden des Mitarbeiters schnell mit wenigen Klicks ändern und so ebenfalls zu einem sicheren Passwort-Management beitragen.

Schwachstelle 2: Nehmen die Mitarbeiter die Lösung schnell an?

Schon wieder ein neues Tool?! Kein Mitarbeiter möchte sich in neue, komplizierte Systeme hineindenken. Doch wie gehen Sie am besten bei der Einführung eines neuen Passwort-Tools vor?

Versuchen Sie als IT-Administrator abteilungsübergreifend alle Passwörter und sensiblen Daten zusammenzufassen. Holen Sie hierbei alle mit ins Boot. Wenn Sie eine neue Passwort-Verwaltung einführen, achten Sie darauf, dass die Lösung schnell von allen Mitarbeitern und Abteilungen angenommen wird. Daher sollten Sie eine Lösung verwenden, die wenig Schulungsaufwand benötigt und eine einfache Benutzeroberfläche bietet. Am besten funktioniert das, wenn die Mitarbeiter das Tool schon im privaten Bereich nutzen und im Unternehmen auf die Business-Version zurückgreifen können. Häufig nutzen in der Praxis einige Abteilungen bereits solche privaten Lösungen, doch hier sollten Sie sicherstellen, dass Sie das Passwort-Management zentralisieren und alle Passwörter abteilungsübergreifend auf einem Server haben.

Wir haben häufig festgestellt, dass viele Unternehmen den KeePass als Lösung in einzelnen Abteilung einsetzen, aber auch privat nutzen. Das liegt daran, dass dieses Tool kostenlos und Open Source ist und eine einfache Bedingung bietet. Wir haben KeePass deshalb selbst getestet. Zwar war das Tool sehr leicht zu bedienen, doch für die Bedürfnisse unseres Unternehmens im Bezug auf die IT-Sicherheit und abteilungsübergreifende Verwaltung konnte es und nicht die Features bieten, die wir benötigen – doch dazu später mehr.

Schwachstelle 3: Ein Faktor reicht doch, wozu brauche ich dann Zwei?!

Die Zwei-Faktor-Authentifizierung ist auch bei uns inzwischen kein Neuland mehr. Trotzdem wird sie immer noch viel zu selten genutzt. Viele sehen nicht den Mehrwert dahinter oder haben keine Lust, einen Login noch „unnötig“ via SMS oder Authentificator zu bestätigen.

Aber: Die Zwei-Faktor-Authentifizierung sorgt dafür, dass Hacker, aber auch Kollegen, nicht auf Ihre Daten und alle Zugänge, auf die Sie Zugriff haben, zugreifen können – selbst, wenn sie an Ihr Passwort gekommen sind. Die Zwei-Faktor-Authentifizierung ist somit also im wahrsten Sinne des Wortes die letzte Verteidigungslinie.

Schwachstelle 4: Das Teilen von Passwörtern stellt für viele Unternehmen große Hürden dar

In Unternehmen ist es oft notwendig, Passwörter sicher mit Teammitgliedern zu teilen. Ich habe es selbst erlebt, dass in vielen Unternehmen Logins immer noch auf Zetteln, in Excel-Tabellen oder per E-Mail im Team verteilt werden. Aber all diese Herangehensweisen beinhalten große Risiken. Natürlich hofft man immer, dass niemand im eigenen Team einem etwas Böses will – nur kann Ihnen niemand die Garantie dafür geben. Wenn Sie Kollegen Ihre Logins mit einem Zettel weitergeben, kann dieser prinzipiell von jedem verwendet werden, ohne dass Sie hier Personen ausschließen können oder darüber Kontrolle haben. Somit besteht jederzeit die Gefahr, dass sich ein Kollege oder eine Kollegin in Ihrem Namen einloggt und bewusst Schaden anrichtet – der natürlich dann auf Sie zurückfällt. Das Gleiche kann Ihnen natürlich per Mail passieren, aber hier gibt es noch eine zweite Schwachstelle: Hacker können diese Mails abfangen. Was diese dann mit den Logins anstellen können, brauche ich in diesem Abschnitt gar nicht weiter auszuführen.

Deshalb benötigen Sie einen zentralen Passwort-Manager für Ihre Passwörter im Unternehmen, der es Ihnen ermöglicht, Ordner für beispielsweise einzelne Abteilungen anzulegen und nur den Mitarbeitern Zugriff zu geben, welche die darin liegenden Daten auch wirklich benötigen. Mit einer zentralen Rechtevergabe, die von den IT-Administratoren zentral steuerbar ist, wird die Verwaltung von Passwörtern in Ihrem Unternehmen um einiges vereinfacht.

Schwachstelle 5: Kein Zugriff von unterwegs – da muss es doch eine Lösung geben

Wer kennt es nicht? Sie sind unterwegs und möchten sich irgendwo anmelden, können aber nicht auf die Zugangsdaten zurückgreifen, da diese im Büro sind. Was ist hier die Lösung? Das Notieren der Passwörter auf Zetteln, die Sie dann außerversehen eines Tages im Zug liegen lassen? Das Senden Ihrer Passwörter an Ihre eigene E-Mail-Adresse, wo Hacker diese abfangen können? Oder am Besten bei jedem Login den Kollegen oder die Kollegin anrufen und sie schön vom Arbeiten abhalten? Nein!

Mit einem geeigneten Passwort-Manager können Sie via Desktopanwendung, einer App oder mit einer Webanwendung von überall aus auf Ihre Passwörter zugreifen.

Zusätzlich macht Sie ein Passwort-Manager flexibler und ermöglicht es Ihnen, immer und von überall auf Ihre Daten zuzugreifen – auch unterwegs, beim Kunden oder bei einem Geschäftspartner.

Hier ein kurzes Beispiel: Ein Kollege hatte eine routinemäßige Wartung bei einem Kunden. Doch dann passierte es und aus dem Nichts crashte sein Surface. Er hatte keinen Zugriff mehr auf die Passwörter, die er zur Wartung brauchte – könnte man denken. Doch dank des mobilen Zugriffs auf den Passwort-Manager via Handy konnte er auf die für eine Wartung nötigen Login-Daten zugreifen und die Wartung abschließen. Das war aber nur möglich durch eine flexible Passwort-Lösung.

Schwachstelle 6: Cloud vs. On-Premises: Ein entscheidender Unterschied

Es gibt zwei Möglichkeiten, wo Unternehmen ihre Zugangsdaten ablegen können: Auf Cloud-basierten und On-Premises-Lösungen. On-Premises bedeutet, dass Ihre Daten auf Ihrem eigenen Server liegen.

Cloud-Lösungen bieten zwar Flexibilität, Sie können aber nie genau nachverfolgen, wo Ihre Daten genau liegen. On-Premises-Lösungen legen größten Wert auf Datenschutz und Sicherheit. Sie bieten Ihnen die volle Kontrolle über Ihre eigenen Daten und die Sicherheit, genau zu wissen, wo Ihre Daten liegen – nämlich bei Ihnen.

Was übrigens auch ein wichtiger Faktor ist: Viele Branchen, wie öffentliche Einrichtungen und das Gesundheitswesen, dürfen ihre Daten aus Gründen des Datenschutzes nur On-Premises speichern.

Wie kann Ihr Unternehmen diese Schwachstellen dann vermeiden?

Bis dato sind wir immer wieder darauf eingegangen, dass es ein geeignetes Passwort-Management für die Probleme in der Passwortverwaltung braucht. Aber was ist nun diese eine Lösung, die all unsere Probleme löst und unsere Unternehmensdaten vor unbefugten Zugriffen schützt?

Für uns ist die Antwort ganz einfach: Ein zentraler Passwort-Manager, der zu den Bedürfnissen und Anforderungen Ihres Unternehmens passt.

Durch die Nutzung eines geeigneten Passwort-Managers haben sich für uns folgende Probleme gelöst:

• Die Admins können Zugänge und Passwörter zentral verwalten
• Durch die leichte Nutzung und Passworterstellung verwendet jeder Mitarbeiter sichere Passwörter für jeden einzelnen Zugang
• Wir haben immer und überall Zugriff auf unsere Passwörter – auch wenn der Laptop crasht
• Durch die On-Premises-Lösung und die Zwei-Faktor-Authentifizierung sind unsere Zugangsdaten so sicher wie nie zuvor
• Es gehen keine Zugangsdaten mehr verloren, nur weil ein Kollege sich das Passwort lieber gemerkt hat, als es aufzuschreiben

Aber wie findet jedes Unternehmen den für sich passenden Passwort-Manager und was kostet das überhaupt?

Eins vorweg: Ein Passwort-Manager wird immer Geld kosten. Aber was ist Ihnen lieber? Ein paar Tausend Euro im Jahr für ein sicheres Passwort-Management ausgeben oder ein Datenverlust, der im Extremfall teils sechs- bis siebenstellige Schäden verursachen kann? Das ist keine erfundene Geschichte – sowas haben wir alles schon erlebt.

Da nun die Frage geklärt ist, dass ein Passwort-Manager definitiv ein sinnvolles Investment ist, bleibt jetzt nur die Frage, in welche Passwortverwaltung ein Unternehmen investieren sollte.

Stellen Sie sich zuerst die Frage, ob Sie Ihre Daten lieber in einer Cloud oder On-Premises gespeichert haben möchten. Die Vorteile haben wir Ihnen eben schon erläutert. Dann sollten Sie vergleichen, wie benutzerfreundlich die unterschiedlichen Passwort-Manager sind – bedenken Sie auch, dass nicht alle Mitarbeiter so technikaffin sind wie Sie. Haben Sie bereits Passwörter gesammelt? In diesem Fall sollte der Passwort-Manager auch den Import von Daten unterstützen.

Welchen Passwort-Manager wir nutzen und empfehlen

Vor allen Problemen, die ich eben erwähnt habe, standen wir vor ein paar Jahren auch. Bei der Recherche im Internet nach einem geeigneten Passwort-Manager bin ich dann unter anderem auf den Pleasant Password Server gestoßen.

Das war uns bei der Auswahl des Passwort-Managers wichtig:

• Einfaches Handling in der Nutzung und Verwaltung
• Volle Kontrolle der Daten auf dem eigenen Server
• Möglichkeit zur Datensicherung & -wiederherstellung
• Datenexport &  -import
• Anlegen von Nutzergruppen mit Rechtevergabe

Da der Pleasant Password Server all diese Kriterien erfüllt und eine 30-tägige Demo anbietet, haben wir ihn auch gleich abteilungsübergreifend und vollumfänglich getestet. In der Demo waren alle Features der Vollversion enthalten und so konnten wir uns ab Tag 1 mit den Sicherheitsfunktionen, der einfachen Nutzung und der zentralen Verwaltung vertraut machen.

Nach ca. 2 Wochen habe ich mal vorsichtig in einigen Abteilungen und auch in der IT-Administration nachgefragt, wie zufrieden sie so mit dem Tool sind. Zu meiner Überraschung setzten alle Abteilungen den Passwort-Manager schon voll umfänglich ein und arbeiteten aktiv damit.

Woran das lag? Der Pleasant Password Server nutzt den KeePass-Client, der für seine leichte und intuitive Bedienung bekannt ist. Mitarbeiter, die bereits privat den KeePass genutzt haben, waren daher sofort mit der Oberfläche vertraut. Aber auch die Mitarbeiter, die den KeePass bis dato nicht kannten, fanden sich auf der benutzerfreundlichen Oberfläche schnell zurecht.

Da der Pleasant Password Server ein Passwort Manager für Unternehmen ist, der Daten On-Premises speichert, lagen die Passwörter außerdem auf unserem eigenen Server. Dieses Kriterium war unserem IT-Administrator damals besonders wichtig. Da ich aktuell immer mehr von Datenverlusten in Cloud-Speichern lese, verstehe ich nun auch immer mehr, wieso er damals so auf diese Lösung beharrt hat.

Für mich also ein klares Zeichen, dass der Pleasant Password Server für uns die absolut richtige Wahl war und immer noch ist. Auch der deutschsprachige Support ist ein großer Faktor, wieso wir mit dem Passwort-Manager so zufrieden sind.

Wie gesagt nutzen wir diesen Passwort-Manager nun schon seit einigen Jahren und können ihn wärmstens empfehlen. Testen Sie Ihn 30 Tage kostenlos [hier klicken] und schaut Sie doch einfach selbst, ob er zu den Anforderungen und Bedürfnissen Ihres Unternehmens passt.

Wenn Sie zusätzlich noch nach einer „Guideline für den sicheren & effizienten Umgang zur Verwaltung von Passwörtern“ suchen, stellt Pleasant Password Server diese ebenfalls kostenlos zum Download [hier klicken] bereit.

*Quelle: https://kommandotech.com/statistics/weak-password-statistics/

Neuigkeiten

Kritische IT-Security: 1,8 Millionen PCs in Deutschland laufen noch auf alten Windows-Versionen

7. Januar 2024 • News

Eine Studie des Cybersicherheitsunternehmens ESET hat aufgedeckt, dass in Deutschland eine alarmierend hohe Zahl von Computern – geschätzt 1,8 Millionen – immer noch mit veralteten Versionen von Windows-Betriebssystemen arbeiten. Gefahren von überholten Betriebssystemen Ein Großteil dieser Computer nutzt Windows 7, für das Microsoft bereits vor vier Jahren den Support beendete. Zusätzlich sind zahlreiche Geräte mit […]

Lebensdauer von USB-Sticks

5. Januar 2024 • News

Wenn die Daten auf einem USB-Stick nicht mehr lesbar sind und man ihn auch nicht mehr mit seinen neuen Dateien beschreiben kann, ist er unbrauchbar. Die Lebensdauer von USB-Sticks kann je nach Modell und Marke stark variieren. Doch welche Sticks glänzen mit einer zufriedenstellenden Anzahl an nutzbaren Jahren? Das habe ich herausgefunden.  Welche Technik führt […]

Hilfe bei Hochwasserschäden: DATA REVERSE® bietet im Januar 50% Rabatt auf Datenrettungsleistungen

5. Januar 2024 • News

Schnelle und erschwingliche Unterstützung für von der Flut betroffene Privatpersonen und Unternehmen Inmitten der schweren Hochwasserlage, die Niedersachsen, Bremen, Sachsen-Anhalt und Bayern erfasst hat, entstehen nicht nur physische Schäden. Eine ebenso dringende Herausforderung ist der drohende Verlust wertvoller Daten in überfluteten Wohn- und Arbeitsbereichen, einschließlich Homeoffices und Serverräumen. DATA REVERSE® reagiert auf diese Krise mit […]

EZB will mit Schwachstellentests IT-Sicherheit von Banken testen

2. Januar 2024 • News

Die Europäische Zentralbank (EZB) unternimmt Schritte, um die IT-Sicherheit von Banken im Euroraum zu stärken. Angesichts steigender Cyberangriffe wird 2024 ein „Cyber Resilience Stress Test“ eingeführt, um Schwachstellen in den IT-Systemen der Banken aufzudecken. Dieser Test umfasst eine detaillierte Analyse der Reaktionsfähigkeit der Banken auf simulierte Cyberattacken. Besonderes Augenmerk liegt auf der Rolle von Drittanbietern […]

Die 10 Herausforderungen der Datenrettung im Jahr 2024

30. Dezember 2023 • News

Die Welt der Datenrettung steht vor einer Vielzahl von Herausforderungen, die mit dem Fortschritt der Technologie und der zunehmenden Abhängigkeit von digitalen Informationen einhergehen. Die Datenrettungsbranche muss sich ständig weiterentwickeln, um mit den sich ändernden Anforderungen und Bedrohungen Schritt zu halten. In diesem Artikel werden wir die zehn größten Herausforderungen untersuchen, denen sich die Datenrettungsbranche […]

Häufige Ausfälle: Defekte an externen SSDs von WD / Sandisk

8. November 2023 • News

Daten sind das Gold des digitalen Zeitalters, und ihre Sicherheit liegt in der Zuverlässigkeit der Speichermedien. Jedoch scheinen aktuelle Entwicklungen auf dem Markt der externen SSDs Anlass zur Sorge zu geben. Speziell Produkte des bekannten Speicherherstellers Western Digital sowie dessen Tochterunternehmen Sandisk stehen im Fokus der Diskussion, da Berichte über eine erhöhte Ausfallrate dieser Geräte […]