Passwort Management in 5 Minuten

29.08.2016

Nach dem Gespräch mit unserem Informationssicherheitsbeauftragten im Unternehmen (ISB) [1] bin ich also schon etwas schlauer. Ich kenne unseren ISB und auch die aktuelle Kennwort-Richtlinie.

Was aber, wenn aus der „ISO-Umsetzungsempfehlungen von Richtlinien“ keine konkrete Tool-Empfehlung ausformuliert wurde oder der Einfachheit halber in den Kennwort-Richtlinien nur auf kryptografische Verschlüsselung und Sorgfalt verwiesen wird?  Sind die Anwender aus dem Schneider und die PostIts gerettet?

PostIts

 

 

 

 

 

 

Nein, tatsächlich werden Anwender damit komplett in die Verantwortung genommen. Dasselbe gilt auch bei Richtlinien wie „Passwörter dürfen nicht notiert werden, außer das Unternehmen hat hierfür eine sichere Methode zugelassen.“

Dabei ist die Verlagerung von Verantwortung auf die Anwender nicht unbedingt die einfachste oder etwa sicherste Lösung für ein Unternehmen.

Passwort Management: Unternehmen in der Verantwortung

Es ist nicht verwunderlich, dass Unternehmen auf ihre Mitarbeiter „vertrauen“ und selten konkrete Aussagen zu sicheren Methoden oder Toolempfehlungen festlegen. Schließlich haben alle Unternehmen auch mal klein angefangen und gerade in kleinen und mittelständischen Unternehmen fehlen oft die nötigen Ressourcen, um sich mit den umfangreichen Dokumentationen zu befassen, die mit Standards wie einer ISO Zertifizierung [2] oder dem IT-Grundschutz [3] einhergehen.

Wie zuvor erwähnt ist das BSI für Bürger (BSIFB) hier weitaus konkreter und darum stellt sich mir die Frage: Spricht etwas dagegen, die BSI für Bürger Empfehlung [4] einfach zu übernehmen, solange keine unternehmenseigenen Richtlinien definiert wurden?

Password Manager – eine BSIFB Empfehlung

Also Passwort-Verwaltungsprogramm als sichere und digitale PostIt-Alternative? Geklärt!
Die Frage nach Unternehmensrichtlinien? Geklärt!
Verantwortlichkeiten? Geklärt!

Bleiben eigentlich nur noch Einstiegshürden im Unternehmenskontext zu prüfen:

  • Tools und Features kennenlernen;
  • Konfigurieren und an die eigenen Bedürfnisse anpassen,
  • Backup-, Update- und Fallback-Strategien entwerfen.

Probieren wir doch einfach mal das BSI-Beispiel aus: KeePass Password Safe [5]ein Passwort Manager in fünf Minuten!

KeePass kennen und benutzen lernen
  1. Portable KeePass Version laden und z. B. auf dem Desktop in einen Ordner entpacken. Aktuelle Portable Versionen als ZIP-Download sind unter http://keepass.info/download.html [6] verfügbar.
  2. Deutsche Sprachdatei laden und in denselben Ordner entpacken:
    http://keepass.info/translations.html [7]
  3. Die unternehmensweite Konfigurationsvorlage laden und in denselben Ordner speichern. Hier mein Beispiel (Rechtsklick, Ziel speichern unter…):
    KeePass.config.xml [8]
  4. KeePass starten und eine neue Datenbank in demselben Ordner anlegen.
  5. KeePass ist eingerichtet, lernen wir das Tool kennen.
  6. Zum ersten Test sind bereits einige Einträge enthalten:
    • Den Testeintrag mit Link auswählen und auf den Link klicken (http://keepass.info/help/kb/testform.html).
    • Der Browser öffnet sich und man kann nun per Drag&Drop aus dem KeePass Fenster den Benutzernamen und das Passwort in die Felder auf der Seite ziehen.
    • Über den Submit-Button auf der Seite werden die eingefügten Inhalte angezeigt. Einfach, oder etwa nicht?

Und das war es auch schon – Passwort Manager erfolgreich eingerichtet und verwendet. Klar kann KeePass noch mehr, aber für den PostIt-Ersatz ist dieser Feature-Umfang als Einstieg definitiv ausreichend.

KeePass konfigurieren und eigene Bedürfnisse anpassen

Die Einstellungen sind mit etwas technischem Verständnis selbsterklärend. Jedoch wird jedes Unternehmen eigene spezifische Einstellungen bevorzugen und diese dann auch an alle Anwender verteilen? Des Weiteren will nicht jeder Anwender im Unternehmen jede Einstellung über die Oberfläche selbst vornehmen.

Die Lösung hierzu: Eine gemeinsame Konfigurationsvorlage, wie in meinem Beispiel oben KeePass.config.xml [8] gezeigt.

Passwort Manager Setup im Unternehmen

Ein für mich sehr wichtiger Vorteil bei der Wahl des Passwort Managers: Portabilität.

Diese Flexibilität lässt sich für Unternehmen nutzen, da KeePass für den Benutzer zum Programmstart eine Default-Konfiguration unter KeePass.config.xml anlegt. In dieser Datei werden alle nicht Datenbank-spezifischen Einstellungen der portablen Anwendungsvariante gespeichert.

Vorteil dabei: Die XML-Datei und damit die Einstellungen sind von allen Personen lesbar und flexibel änderbar.

Flexibel im Fall von KeePass bedeutet: Ich kann Einträge beliebig ändern oder auch entfernen und beim Start der Anwendung übergeben: Unternehmensspezifische Default-Einstellungen.

Gerade im Unternehmens- oder auch im Projektumfeld lassen sich so bequem Default-Setups pflegen und untereinander verteilen. Da KeePass insgesamt portabel ist, klappt sogar die Verteilung der ganzen Anwendung und Default-Einstellungen als Paket.

Fazit:

Passwort Manager ersetzen nicht Brain 2.0, sondern bieten den Benutzern einfach ein Plus an Komfort. Durch klare Richtlinien, oder wenigstens Empfehlungen, können Unternehmen dabei auch ihre Verantwortung wahrnehmen.

Das Rad muss hierzu nicht neu erfunden werden: Empfehlungen von anderen Stellen wie beispielsweise dem BSI für Bürger sind dabei besser als gar nichts.

Übrig bleiben dann nur noch selbst auferlegte Einstiegshürden, wie beispielsweise den Passwort Manager kennenzulernen und für die eigenen Bedürfnisse einzurichten. Gerade im Unternehmenskontext könnte aber auch die Einrichtungshürde auf Minimum für die Anwender reduziert werden und Default-Einstellungen für alle Anwender bereitgestellt werden.

Fehlen zum Schluss eigentlich nur noch Backup-, Update- und Fallback-Strategien. Hier gehts zum nächsten Beitrag.

Disclaimer:

Dieser Beitrag zeigt einfache Lösungswege am Beispiel von KeePass auf, mit denen Unternehmen den verantwortungsvollen Umgang mit Kennwörtern ihrer Anwender unterstützen können.

Die Inhalte dieses Beitrags stellen keine doubleSlash-Empfehlung zu Sicherheit oder Compliance in Unternehmen dar. Das Konfigurationsbeispiel KeePass.config.xml [8] leitet sich dabei nicht aus den BSI Empfehlungen ab, es wurden lediglich folgende Einstellungen exemplarisch konfiguriert:

  • Deutsche UI-Sprache.
  • Prüfung auf Programmupdates beim Start.
  • Passwörter laufen per Default ab. Das erinnert mich daran, sie z. B. mindestens einmal im Jahr zu wechseln.
  • Da KeePass bei mir oft zum Einsatz kommt, schließe ich die Anwendung nicht, sondern lasse sie im Hintergrund laufen und in das Benachrichtigungsfeld (Tray / Windows Taskbar) „verschwinden“.
  • Die Kombination der Einstellungen bzgl. „Sperren“ und „Automatisch speichern beim Sperren“ sorgt dafür, dass keine Änderung ungespeichert bleibt.
  • Autotype lasse ich abbrechen, falls ich beim Autotype-Login versehentlich das Browser-Fenster wechsle oder sich ein Popup den Fokus schnappt.

 

Mehr Informationen zu Secure Password Share

 


Quellen:
[1] https://blog.doubleslash.de/passwort-management-in-unternehmen/
[2] http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=54534
[3] https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/ITGrundschutzStandards_node.html
[4] https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang_node.html
[5] http://keepass.info/
[6] http://keepass.info/download.html
[7] http://keepass.info/translations.html
[8] https://raw.githubusercontent.com/doubleSlashde/blog.doubleSlash.de/master/keepass/templates/KeePass.config.xml

Zurück zur Übersicht

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*Pflichtfelder

*