article

Passwörter richtig verwalten: Best Practices für Unternehmen

Bei der Passwortverwaltung handelt es sich um eine Kombination von Systemen und Prozessen zur sicheren Abwicklung der Vergabe, des Zugriffs, der Speicherung und der Verwaltung von Passwörtern. Aufgrund der steigenden Anzahl an Systemen und Geräten wurde die Passwortverwaltung zu einem festen Aufgabe für jedes IT-Team. Passwortverwaltung erleichtert die Umsetzung von Best Practices im gesamten Lebenszyklus von Passwörtern – von der Erstellung bis zur Deaktivierung.

Erfahren Sie, wie Sie mit Passwortverwaltung die Zahl der Anrufe beim Helpdesk reduzieren, die Sicherheit erhöhen und die Benutzerfreundlichkeit verbessern können.

Da Cyberbedrohungen immer raffinierter und effektiver werden, stellt die Passwortverwaltung einen wichtigen Schutz vor unbefugten Zugriffen auf Systeme, Apps und Daten dar.

Passwortverwaltung ermöglicht es Unternehmen, unvorsichtigem Verhalten, das zu Datenverletzungen führen kann, vorzubeugen und sich dagegen zu wehren. Verhaltensweisen, die vermieden werden sollen, sind z.B.:

  • Einfache und leicht zu erratende Passwörter
  • Weitergabe von Passwörtern über Gespräche im Büro, durch Dokumente, E-Mails, per Telefon oder per SMS
  • Nutzung desselben Passworts für alle Anmeldungen
  • Aufschreiben von Passwörtern

Neben einem weniger riskanten Umgang mit Passwörtern bietet die Passwortverwaltung folgende Vorteile:

  • Es ist nicht mehr notwendig, sich Passwörter zu merken.
  • Verschlüsselte Benutzerpasswörter für erhöhten Schutz
  • Gewährleistet die Einhaltung von Vorschriften und Best Practices.
  • Erleichtert die Erstellung sicherer, komplexer und schwer zu erratender Passwörter.
  • Beschleunigt das Erstellen, Verwalten und Verwenden von Passwörtern und vereinfacht sie.
  • Minimiert die Wiederverwendung von Passwörtern.
  • Benachrichtigt Benutzer, wenn Anmeldeinformationen von einer Datenverletzung oder einem Phishing-Versuch betroffen waren.
  • Ermöglicht es, Anmeldedaten automatisch auszufüllen, wenn ein Anmeldeformular erkannt wird, für das das System über einen Benutzernamen und ein Passwort verfügt.
  • Unterstützt die Synchronisierung von Anmeldedaten über mehrere Geräte hinweg.

Risiken der browsereigenen Passwortverwaltung

Passwort-Manager für Browser haben sich durchgesetzt, weil Benutzer meistens über Browser auf Websites und Dienste zuzugreifen. Funktionen zur Passwortverwaltung sind in alle wichtigen Browser bereits integriert.

Die Passwortverwaltung des Browsers ermöglicht es Benutzern, Anmeldedaten für Konten zu speichern. Der Browser füllt sie danach automatisch aus. Viele Benutzer nutzen die Vorteile der Passwortverwaltung des Browsers, ohne sich über die Sicherheitsrisiken im Klaren zu sein. Diese umfassen:

Browser wurden nicht zur Verwaltung von Passwörtern entwickelt. Da die Passwortverwaltung ein Browser-Add-on ist, fehlen meistens die Sicherheits- und Produktivitätsfunktionen, die speziell entwickelte Lösungen bieten.

Wenn ein Gerät gestohlen wird, können Passwörter aus geöffneten Browsern abgerufen werden. Da die meisten Benutzer sich nicht von Browsern abmelden, ist die Passwortverwaltung im Browser eine risikoreiche Methode der Passwortverwaltung.

Passwörter sind gefährdet, wenn ein Browser angegriffen wird. Browser sind anfällig für Cyberangriffe, die Geräte über bösartige E-Mail-Anhänge, infizierte Dateien, die von Websites heruntergeladen werden, oder Besuche auf infizierten Websites infizieren. Cyberkriminelle gefährden Browser auch durch die Kombination von Malware mit Browser-Erweiterungen und durch bösartige Shareware, Freeware, Adware und Spyware.

Tokens statt Passwörter: Die FIDO Alliance

FIDO steht für Fast Identity Online. Die gemeinnützige FIDO Alliance wurde im Juli 2012 von Infineon, PayPal, Lenovo, Nok Nok, Validity Sensors und Agnitio gegründet. Die FIDO-Standards zielen darauf ab, Passwörter durch ein einziges Token zu ersetzen, das für die Authentifizierung verwendet wird, und Multi-Faktor-Authentifizierung zu nutzen, um Sicherheit und Benutzerfreundlichkeit zu verbessern.

Mit FIDO melden sich Benutzer mit Passkeys an, die vor Phishing geschützt sind. Passkeys ersetzen die Anmeldung mit Passwörtern. Mit FIDO können sich Benutzer geräteübergreifend mit Passkeys anmelden, indem sie ein biometrisches Merkmal oder einen Sicherheitsschlüssel verwenden.

Was sind Passkeys?

Passkeys sind Berechtigungsnachweise, mit dem sich Benutzer bei Apps, Websites, Diensten und Systemen anmelden können, ohne ein Passwort eingeben zu müssen. Dies gilt jedoch nur für Geräte, mit denen sie sich bereits angemeldet haben (z. B. auf ihrem eigenen Smartphone oder Laptop). Passkeys basieren auf dem Web-Authentifizierungsstandard und nutzen Public-Key-Kryptographie für mehr Sicherheit. Dadurch wird verhindert, dass Passkeys bei Cyberangriffen wie Phishing gestohlen werden. Passkeys speichern den privaten Schlüssel auf den Geräten der Benutzer, während sich der öffentliche Schlüssel auf den Servern der Unternehmen befindet.

Die Verwendung von Passkeys zur Benutzerauthentifizierung macht anfällige Benutzernamen und Passwörter überflüssig. Passkeys ersetzen herkömmliche Anmeldedaten durch digitale Anmeldedaten, die physischen Schlüsseln ähneln. Der Zugriff auf diese digitalen Schlüssel erfolgt, indem sich die Benutzer mit einer persönlichen Identifikationsnummer (PIN), einem Entsperrmuster oder biometrischen Merkmalen (z. B. Fingerabdruck) anmelden.

Die gängigsten Vorteile von Passkeys sind:

  • Optimierte Authentifizierung für Benutzer
  • Mehr Barrierefreiheit für Benutzer mit Behinderungen
  • Geringere Belastung des Helpdesks durch Benutzer, die Passwörter zurücksetzen müssen
  • Abwehr von Phishing-Angriffen
  • Standardbasierter Ansatz, der die Integration von Autorisierungsfunktionen für Entwickler beschleunigt

Wie dezidierte Passwortmanager funktionieren

Eigens entwickelte Passwortverwaltungslösungen oder Passwortmanager bieten eine Reihe von Funktionen, die passwortbezogene Funktionen automatisieren, optimieren und sichern. Sie bieten einen größeren Schutz als browsereigene Passwortmanager. Zu diesen Funktionen gehören:

Individuelle Passwortrichtlinien erstellen

Unternehmen mit Teams, die unterschiedliche Zugriffsanforderungen haben, können Passwortverwaltungsrichtlinien auf granularer Ebene umsetzen. So lassen sich beispielsweise für Benutzer, die auf sensible Informationen zugreifen, erweiterte Autorisierungsanforderungen einrichten.

Änderungen erkennen

Ein Passwortverwaltungssystem kann automatisch Änderungen an Passwörtern erkennen und sie mit allen passenden Apps synchronisieren.

Multi-Faktor-Authentifizierung aktivieren

Die Passwortverwaltung bietet robuste Funktionen zur Multi-Faktor-Authentifizierung, um Benutzer, die versuchen, Zugang zu erhalten, zu überprüfen. Dies umfasst das Einschalten der Multi-Faktor-Authentifizierung, wenn ungewöhnliche Verhaltensweisen erkannt werden.

Passwortrichtlinien im ganzen Unternehmenj durchsetzen

Die Passwortverwaltung unterstützt Unternehmen bei der automatischen Implementierung und Durchsetzung von Passwortrichtlinien. Alle Anforderungen werden netzwerkweit durchgesetzt, einschließlich der Verwendung sicherer Passwörter, regelmäßiger Passwortaktualisierungen und der Verwendung eindeutiger Passwörter für verschiedene Apps, Dienste und Systeme.

Sichere Passwörter generieren

Ein System zur Verwaltung von Passwörtern kann automatisch eindeutige, starke Passwörter erstellen, die Benutzer nur schwer erstellen können.

Über Geräte und Betriebssysteme hinweg synchronisieren

Da Benutzer auf mehrere Geräte angewiesen sind, gibt die Passwortverwaltung automatisch Passwörter für alle Geräte frei, damit das Passwort nicht mehr manuell auf verschiedenen Geräten eingegeben werden muss.

Weitere Funktionen von robusten Lösungen zur Passwortverwaltung sind:

  • Aufzeichnung, Überwachung und Löschung der Passwörter von Benutzern
  • Zugriffskontrolle für Mitarbeitergeräte
  • Optionen für die Bereitstellung vor Ort und in der Cloud
  • Passwortverwaltung auf den Endgeräten der Mitarbeiter
  • Tools zur Berichterstattung
  • Selbstbedienungsfunktionen

Globale Sicherheitszertifikate für die Passwortverwaltung

Es gibt viele Sicherheitszertifikate im Zusammenhang mit der Passwortverwaltung. Nachfolgend finden Sie Zertifikate, die bei internationalen Unternehmen am beliebtesten sind.

APEC CBPR (Asia-Pacific Economic Cooperation Cross-Border Privacy Rules)

APEC CBPR ist ein staatliches Datenschutzzertifikat, mit dem Unternehmen die Einhaltung internationaler Datenschutzbestimmungen nachweisen können. Es legt den Schwerpunkt auf Datenschutzpraktiken, die die personenbezogenen Daten von APEC-Kunden bei der grenzüberschreitenden Übertragung gemäß den vorgeschriebenen Standards schützen.

APEC PRP (Asia-Pacific Economic Cooperation Privacy Recognition for Processors)

APEC PRP ist eine Zertifikat für Datenverarbeiter, die im Auftrag von Kundenorganisationen (Datenverantwortlichen) tätig sind und so nachweisen können, dass sie die Datenschutzanforderungen für die Datenverantwortlichen effektiv umsetzen.

BSI C5 (Cloud Computing Compliance Controls Catalogue)

BSI C5 ist ein geprüfter Standard, der einen verbindlichen Mindeststandard für die Cloud-Sicherheit und den Einsatz von Public-Cloud-Lösungen festlegt. Er wurde in Deutschland vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt.

ISO 27001

ISO 27001 ist eine international anerkannte Norm für ein Information Security Management System (ISMS), das die gesamte Verwaltung der Informationssicherheit bewertet.

SOC2 Type II

Ein SOC-Audit (Service Organization Control) vom Typ II bewertet, wie ein Anbieter von Cloud-basierten Diensten mit sensiblen Daten umgeht. Dazu gehört die Angemessenheit der Kontrollen eines Unternehmens und seine operative Effektivität.

SOC3

Bei einem SOC-III-Audit (Service Organization Control) werden die internen Kontrollen in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeit bewertet.

Datenschutz-Grundverordnung (DSGVO)

Die DSGVO ist eine Verordnung, die eine Reihe von standardisierten Datenschutzgesetzen in der Europäischen Union (EU) umfasst, um den Datenschutz zu verbessern und die Datenrechte der EU-Bürger zu stärken.

EU-US-Datenschutzschild

Das EU-US-Datenschutzschild ist ein rechtlicher Rahmen, der den transatlantischen Austausch von personenbezogenen Daten zu kommerziellen Zwecken zwischen der Europäischen Union und den Vereinigten Staaten regelt und Datenschutzmaßnahmen vorschreibt.

Herausforderungen bei der Passwortverwaltung

Passwortverwaltung bietet viele Vorteile, birgt aber auch einige bemerkenswerte Herausforderungen. Solange Sie die Herausforderungen verstehen, können Sie sicher und effektiv den maximalen Nutzen aus Ihren Lösungen ziehen.

Zu den Herausforderungen bei der Passwortverwaltung gehören:

  • Kompatibilität
    Da es keine verbindlichen Standards gibt, sind nicht alle Websites mit allen Maßnahmen zur Passwortverwaltung kompatibel.
  • Anfälligkeit des Master-Passworts
    Da Lösungen zur Passwortverwaltung ein Master-Passwort nutzen, um auf andere Passwörter zuzugreifen, könnten durch eine Kompromittierung die anderen Passwörter preisgegeben werden. Außerdem könnte der Benutzer bei Verlust des Master-Passworts den Zugang zu Apps, Diensten und Systemen verlieren.
  • Sicherheitsbedenken
    Die Passwortverwaltung kann selbst eine Schwachstelle darstellen, da alle Passwörter gleichzeitig preisgegeben werden, wenn das System kompromittiert wird.
  • Benutzerakzeptanz
    In einigen Fällen haben die Benutzer Probleme mit der Einrichtung und Verwendung neuer Passwortverwaltungssysteme.

Weitere Herausforderungen im Zusammenhang mit der Passwortverwaltung sind Cyberbedrohungen. Gezielt auf Passwörter abzielende Bedrohungen sind:

  • Brute-Force-Angriffe
    Es werden automatische Tools verwendet, um Passwörter zu stehlen oder zu erraten.
  • Datenverletzungen
    Cyberkriminelle verschaffen sich unbefugten Zugang zu Netzwerken und stehlen Anmeldedaten aus Website-Datenbanken.
  • Login-Spoofing
    Cyberkriminelle verwenden Passwörter, die illegal über eine gefälschte Anmeldeseite gesammelt wurden.
  • Shoulder-Surfing-Angriffe
    Passwörter werden von Cyberkriminellen gestohlen, die den Zugriff der Benutzer auf die Systeme beobachten (z. B. mit einer versteckten Kamera).
  • Sniffing-Angriffe
    Passwörter werden mit illegalen Methoden gestohlen, z. B. durch physischen Diebstahl, Keylogging und Malware.

Best Practices der Passwortverwaltung

Untersagen Sie die Wiederverwendung von Passwörtern

Passwörter sollten nicht für verschiedene Geräte oder Apps wiederverwendet werden. Jedes Konto sollte ein eigenes Passwort haben. Ohne Passwortverwaltung kann es schwierig sein, den Überblick zu behalten.

Erstellen Sie eine Richtlinie zur Passwortverwaltung und setzen Sie sie durch

Stellen Sie Mitarbeitern und Administratoren einen klaren Leitfaden für die Verwaltung von Passwörtern zur Verfügung, damit sich die Benutzer an Best Practices halten können, die von Administratoren einfach umgesetzt werden können.

Klären Sie Teammitglieder über Online-Sicherheit auf

Aufklärung ist ausschlaggebend dafür, dass Benutzer die Best Practices der Passwortverwaltung einhalten. Nachstehend finden Sie Möglichkeiten, wie Sie die Bedeutung der Best Practices für die Passwortverwaltung verdeutlichen und Anreize für deren Einhaltung schaffen können, um eine Kultur der Sicherheit aufzubauen und aufrechtzuerhalten.

  • Erklären Sie die Rolle der Passwortverwaltung zur Vermeidung von Datenverletzungen.
  • Schulen Sie Ihre Mitarbeitern in den Best Practices der Passwortverwaltung.
  • Helfen Sie Ihren Mitarbeitern, die Best Practices der Passwortverwaltung mit Hilfe von Automatisierung einzuhalten.
  • Bieten Sie ein On-Demand-Schulungsprogramm mit Ressourcen an, auf die die Mitarbeiter nach Belieben zugreifen können.
  • Bieten Sie Anreize für die Teilnahme an Schulungen und Übungen zur Passwortverwaltung (z. B. Geldprämien oder Geschenkkarten).

Verbessern Sie den Schutz von privilegierten Benutzerkonten und Passwörtern.

Verwalten Sie privilegierte Zugänge, um Konten, die einen höheren Zugriff auf Daten und Apps bieten und bei Cyberkriminellen begehrt sind, zusätzlich zu schützen.

Erkennen Sie Sicherheitsprobleme schnell und helfen Sie Ihren Mitarbeitern, gefährdete Konten zu reparieren

Die Passwortverwaltung sollte passwortbezogene Sicherheitsprobleme und gefährdete Konten proaktiv erkennen. Wenn Probleme erkannt werden, sollte die Lösung automatische Reaktionen zur Behebung und Warnungen für Konten, die als besonders riskant eingestuft werden, auslösen.

Aktivieren Sie Multi-Faktor-Authentifizierung

Bei Multi-Faktor-Authentifizierung (MFA) müssen Benutzer zwei oder mehr Nachweise (Faktoren) erbringen, um ihre Identität zu prüfen, bevor sie Zugang erhalten. Diese Faktoren umfassen:

  • Etwas, das Sie wissen – ein Passwort oder eine persönliche Identifikationsnummer (PIN)
  • Etwas, das Sie haben – ein Smartphone, Handy oder Token
  • Etwas, das Sie sind – biometrische Daten (z. B. Fingerabdruck oder Gesichtserkennung)

Richten Sie verpflichtende Passwortänderungen ein

Verlangen Sie von den Benutzern, dass sie ihre Passwörter nach einer festgelegten Zeit ändern. Die Passwortverwaltung automatisiert diesen Prozess, um die Einhaltung der Vorschriften zu gewährleisten.

Abschaffung der browserbasierten Passwortverwaltung

Die browserbasierte Passwortverwaltung stellt ein Sicherheitsrisiko dar. Unternehmen sollten Pläne zur Abschaffung der browserbasierten Passwortverwaltung erstellen und sie durch eine speziell entwickelte Lösung ersetzen.

Setzen Sie sichere Passwörter voraus

Passwörter sollten komplex und einzigartig sein, damit sie von Cyberkriminellen nicht geknackt werden können. Passwortverwaltungssysteme können automatisch starke Passwörter generieren, die Folgendes enthalten:

  • Mehr als acht Zeichen
  • Eine Kombination aus Groß- und Kleinbuchstaben
  • Verschiedene Zahlen und Sonderzeichen

Speichern Sie Passwörter in einem Passwortverwaltungssystem

Verwenden Sie ein spezielles Passwortverwaltungssystem, um die Abläufe für die Benutzer zu optimieren und die Verwaltung durch IT-Teams zu erleichtern. Dies ermöglicht Regeln für die Passwortverwaltung und erhöht die Sicherheit.

Verwenden Sie Passwortverschlüsselung

Eine unumkehrbare Ende-zu-Ende-Verschlüsselung ist ein Muss für die Passwortverwaltung, um Anmeldedaten zu schützen – denn selbst das stärkste Passwort ist angreifbar, wenn es nicht verschlüsselt ist. Die Passwortverschlüsselung sichert Daten, die gespeichert oder übertragen werden. Bei der Verschlüsselung werden digitale Daten mathematisch kodiert, um zu verhindern, dass sie mit einem Schlüssel oder Passwort gelesen oder entschlüsselt werden können.

Passwortverwaltung: Ein einfaches, aber wirkungsvolles Sicherheitsupgrade

Die Cybersicherheit stellt eine zunehmende Herausforderung dar, da Cyberkriminelle und ihre Taktiken durch moderne Technologien wie künstliche Intelligenz und maschinelles Lernen unterstützt werden. Die gesamte Technologie, die eingesetzt wird, um sie fernzuhalten, wird auch genutzt, um sich unbefugten Zugang zu verschaffen. Sicherheitsteams müssen ein Netz von Lösungen einsetzen, um Schutz zu bieten.

Die Passwortverwaltung ist eine der am einfachsten zu implementierenden Sicherheitslösungen und sehr wirksam. Durch die Passwortverwaltung wird ein viel genutzter Angriffsvektor nahezu eliminiert. Die Passwortverwaltung verhindert die Kompromittierung von Anmeldedaten, die Unternehmen unermesslichen Schaden zufügen kann.

Date: 12. Juli 2024Reading time: 14 minutes
Security