Passwort Management in Unternehmen

kommentiert 0
gelesen 189

Login-Passwort, Passwort Management in UnternehmenVor einer Weile habe ich mich mit einem Kollegen über Passwörter und Passwort Manager unterhalten und wir kamen überein, dass beides ziemlich genial ist. Trotzdem verwendet mein Kollege keine digitale Lösung sondern setzt auf Brain 2.0, verknüpft mit einer embedded Passwort-Rule-Engine. Ich hingegen setze auf Open Source und verwende meinen Passwort Manager von der Stange schon seit geraumer Zeit. Brain 2.0 setze ich seitdem nur noch aus nostalgischen Gründen z.B. für meine Kreditkarten und Handy Pins ein.

Passwort Management: Brain vs. Software

Das Gespräch lies mich nicht los und überlegte, was mich an meinem Passwort Manager so begeistert. Und meine Erkenntnisse sind recht simpel.

Genial weil:

  • Ich muss mir diese kryptischen Passwortkombinationen nicht mehr merken.
  • Ich muss mich nicht mit der Eingabe der Passwortkombinationen herumschlagen.
  • Mein Passwort Manager führt den Login-Prozess nach einem Stupser meinerseits weitestgehend autonom durch.

Weniger genial weil:

  • „Lästige“ Tool-Themen wie Einrichtung, Sicherheit und Backupstrategie.
  • Hoher Aufwand für jeden Benutzer den Passwort Manager kennen zu lernen und für die eigenen Bedürfnisse einzurichten.
  • Individuelle Ansprüche an Sicherheit, Features und Komfort der Passwort-Lösung werden nicht berücksichtigt.
  • Nicht intuitive und komplizierte Oberfläche zur Pflege der Einträge.
  • Out of the box funktioniert in der Regel nur das Speichern und Lesen der Einträge.

Zusammengefasst ist Passwort Management mit Hilfe eines Tools einfacher und komfortabler – aber leider erst, wenn es eingerichtet ist und ich es zu bedienen weiß. Bis dahin gilt es, die Einstiegshürden zu überwinden: Tool und Features kennen lernen, konfigurieren und an die eigenen Bedürfnisse anpassen, Backup-, Update- und Fallback-Strategien entwerfen. Also doch lieber bleiben lassen?

Password Manager: Unternehmensrichtlinien vs. einfach mal ausprobieren

Das Gespräch und die Überlegungen zum Passwort Management beschäftigten mich noch darüber hinaus.

Privat würde ich sagen „Einfach mal ausprobieren“. Aber neben den Vor- und Nachteilen stellte sich mir plötzlich auch eine andere Frage: „Wie ist eigentlich das Passwort Management in Unternehmen geregelt?“.

Darum machte ich mich auf, um meinen Informationssicherheitsbeauftragten im Unternehmen (ISB) diesbezüglich zu konsultieren. Ich quetschte ihn sozusagen zu allen Standards der Informationssicherheit aus, um weitere Hinweise zu erhalten. Und tatsächlich konnte er mir auch bei meiner Frage weiter helfen.

Richtlinien zum Umgang mit Kennwörtern in Unternehmen müssen berücksichtigt werden.

Das Thema Passwort Management wird indirekt auch mit übergreifenden Standards und Informationssicherheit in Verbindung gebracht. Beispielsweise werden in den Standards ISO 27001 [1] und ISO 27002 [2] (genauer in deren Appendix) die Themen Benutzer- und Kennwort-Richtlinien sowie ein System zur Kennwortverwaltung referenziert. Jedoch handelt es sich bei den ISO-Dokumenten erstens um eine „Umsetzungsempfehlungen von Richtlinien“ und zweitens um eine „Vorlage, die unternehmensspezifisch auszuformulieren ist“.

Konkrete Empfehlungen zum Passwort Management in Unternehmen, konkrete Umsetzungsvarianten oder gar Tool-Empfehlungen werden dabei nicht genannt.

Am Ende des Gesprächs überraschte mich mein ISB dann noch mit einem besonderen Abschnitt aus den ISO-Umsetzungsempfehlungen für Kennwortrichtlinien in Unternehmen: Passwörter dürfen nicht notiert werden, außer das Unternehmen hat hierfür eine sichere Methode zugelassen.

Dabei handelt es sich erst einmal nur um eine Empfehlung, jedoch klingt der Satz irgendwie auch nach:

  • Kennwörter auf PostIts sind nicht erlaubt.
  • Kennwörter per EMail sind nicht erlaubt.
  • Kennwörter in Notizbüchern sind nicht erlaubt.

Ich verzichte an dieser Stelle mit der Aufzählung weiterer möglicher Varianten, egal ob analog oder digital.

Sofern also ein Unternehmen diesen Abschnitt in seinen Unternehmensrichtlinien entsprechend ausformuliert, so können wir auch erwarten, dass „sichere Methoden“ dort ebenfalls für das Unternehmen dokumentiert sind.

Das BSI für Bürger ist im Umgang mit Passwörtern [3] übrigens konkreter. Neben allerlei Empfehlungen Rund um das Thema Passwörter (und vieles mehr!) nennt das BSI den Bürgern tatsächlich auch ein konkretes Toolbeispiel: KeePass Password Safe [4].

„Einfach mal ausprobieren“ ist somit keine Option in Unternehmen mit detailliert ausformulierten Sicherheits- bzw. Kennwortrichtlinien. Da diese Richtlinien individuell je Unternehmen formuliert werden, stellt sich mir aber auch gleich die nächste Frage:

Wie konkret sind eure Richtlinien im Unternehmen zum Thema Passwort Management?

Fazit: No shame! No fear!

Falls sich der ein oder andere Leser als Arbeitnehmer nun plötzlich unwissend oder gar unwohl fühlt: Bitte schämt euch nicht dafür, sondern sprecht zeitnah euren Informationssicherheitsbeauftragter im Unternehmen hierzu an. Ein guter ISB wird euch gerne Auskunft über die aktuellen Unternehmensrichtlinien geben und euch auch vertraulich zu Themen rund ums Passwort Management beraten.

Falsche Scham beim Thema Sicherheit richtet oft mehr Schaden an als es Nutzen bringt.

Lesen Sie im nächsten Beitrag, wie man sich das Passwort Management mit KeePass in fünf Minuten leichter machen kann.


Quellen:
[1] http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=54534
[2] http://www.iso.org/iso/home/store/catalogue_ics/catalogue_detail_ics.htm?csnumber=54533
[3] https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang_node.html
[4] http://keepass.info/

Zurück zur Übersicht

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*Pflichtfelder

*