Zum „Password Day“: Passwort-Manager bringt Mehrwerte
3. Mai 2022Es ist wieder soweit: Wie jedes Jahr am ersten Donnerstag im Mai soll der Welt-Passwort-Tag auf die Verletzlichkeit von Einwahldaten aufmerksam machen. Da selbst im beruflichen Umfeld viele Menschen noch immer zu leichte Passwörter wählen, diese mehrfach verwenden und sie schlimmstenfalls sogar weitergeben, ist eine solch regelmäßige Erinnerung auch dringend nötig.
Bei so vielen kennwortgeschützten Plattformen und Anwendungen, die den beruflichen wie privaten Alltag bestimmen, sind sich die meisten nicht einmal mehr bewusst, wie viele Passwörter sie tatsächlich verwenden. Ein Passwort-Manager für Unternehmen kann hier Abhilfe schaffen. Im Folgenden soll aufgezeigt werden, wie dieser im Tagesgeschäft dazu beiträgt, sicherheitsrelevante Risiken zu minimieren.
Die Anzahl der Zugangsdaten pro Person hat sich in den vergangenen 20 Jahren drastisch erhöht. Während sich noch in den frühen 2000er Jahren kaum jemand mehr als zehn Passwörter merken musste, können es heute schnell 100 oder mehr sein. Vielen ist dabei gar nicht bewusst, wie viele Anmeldedaten sie in ihrem Browser gespeichert haben. Von regelmäßig verwendeten Cloud-Lösungen bis hin zu Online-Shops, in denen nur einmal eingekauft wurde, sammeln sich so diverse Passwörter.
Hier den Überblick zu behalten, ist fast unmöglich. Wenn der Browser, in dem die Daten gespeichert sind, dann von einer Schadsoftware infiziert wird – bestes Beispiel ist die jüngst identifizierte BlackGuard-Malware – oder wenn jemand Zugang zum E-Mail-Konto erhält und so die Kennwörter zurücksetzen kann, stehen Angreifern alle Tore offen.
Vor diesem Hintergrund helfen Passwort-Manager, Anmeldedaten besser im Blick und unter Kontrolle zu behalten – ein wichtiges Argument für den Einsatz im Unternehmen. Konkret zeigen sich die Vorteile solcher Tools an den neun gängigsten Schwachstellen in Sachen Passwortsicherheit:
- Gemeinsame Nutzung von Passwörtern: Wo mehrere Personen sich einen Zugang teilen, werden oft relativ einfache Anmeldedaten gewählt. Zu simple Passwörter wie „Name+Geburtsdatum“ können jedoch einfach weitergegeben werden, etwa per Telefon. Komplexe, zufällige Kombinationen aus Zahlen, Buchstaben und Sonderzeichen tragen dazu bei, die Gefahr einer absichtlichen Weitergabe oder des sogenanntes „Social Engineerings“ zu minimieren.
- Wiederverwendung des Firmenpassworts für persönliche Zwecke: Wurde für die Verwendung im Unternehmen einmal ein Passwort mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen definiert, wird dieses häufig auch privat verwendet. Handelt es sich dabei auch noch um geteilte Accounts – beispielsweise für einen Streamingdienst – wird dies zu einem enormen Sicherheitsrisiko. Da zufällig generierte Passwörter aufgrund ihrer Komplexität unpraktisch für die geteilte Verwendung sind, besteht kaum Gefahr, dass sie in privatem Kontext genutzt werden.
- Gleiches Passwort für alles: Die meisten Menschen können sich nur einige wenige Passwörter merken, die dann bestenfalls noch etwas variieren. Ein Firmenpasswort kann so jedoch schnell mit Dutzenden von unkontrollierten Konten verknüpft sein. Mit einem Passwort-Manager lässt sich hingegen überall ein anderes Passwort erstellen. Bei der Anmeldung sind alle Kennwörter hinterlegt und werden automatisch eingefügt. Für die Nutzer entsteht kein Mehraufwand.
- Zugangsdaten-Leak im Dark-Web: Immer wieder gelangen Passwörter und persönliche Daten durch Sicherheitspannen und Hacker-Angriffe ins Netz. Dann hilft nur noch, die jeweiligen Zugangsdaten zurückzusetzen. Problematisch ist, dass es einige Zeit dauern kann, bis ein Datenleck auffällt. Den einzelnen Nutzer trifft in dem Fall zwar keine Schuld, dennoch gilt es, Vorsichtsmaßnahmen zu treffen. Glücklicherweise speichern die meisten Webseiten Passwörter nicht offen, sondern verwenden einen Passwort-Hash. Angreifer müssen also trotzdem noch beträchtlichen Aufwand investieren, um die Passwörter zu knacken. Doch auch hier gilt: Je einfacher das Kennwort, desto wahrscheinlicher, dass es entschlüsselt wird. Ein langes und komplexes Passwort, wie es ein Passwort-Manager erzeugt, kann mit der heutigen Computerleistung hingegen nicht geknackt werden. Selbst wenn es zu einem Datendiebstahl kommt, ist ein so erstelltes Passwort höchstwahrscheinlich sicher.
- Leicht zu entschlüsselnde Passwörter: Viele Angriffe setzen darauf, dass zu einfache Passwörter verwendet werden. Beim sogenannten „Passwort-Spraying“ werden beispielsweise weit verbreitete Codes (12345, 00000 etc.) automatisiert auf verschiedenen Plattformen ausprobiert – mit erschreckend großem Erfolg. Auch Passwörter mit „Salt Hashing“, die über zusätzliche Variablen verfügen, können bis zu einer Länge von acht Zeichen relativ einfach geknackt werden. Passwörter mit bis zu zwölf Zeichen und regulärem Hash stellen in der Regel ebenfalls kein Problem für Profis dar. Ab einer Länge von 16 Zeichen, wie sie Passwort-Manager generieren, erhöht sich die Sicherheit des Passworts aufgrund der exponentiell ansteigenden Möglichkeiten jedoch enorm.
- Gemeinsame Administratorkennwörter: In vielen Unternehmen gibt es geteilte Anmeldedaten, beispielsweise ein Admin-Passwort, das von allen IT-Administratoren gemeinsam genutzt wird. Selbst äußerst komplexe Passwörter könnten hier im Ernstfall nicht verhindern, dass diese in die falschen Hände geraten. Gelangen Hacker dann etwa an eine Excel-Tabelle, die die Zugangsdaten der Administratoren enthält, lassen sie sich kaum noch aufhalten. Passwort-Manager für Unternehmen bieten deshalb die Möglichkeit, Passwörter sicher zwischen einzelnen Personen auszutauschen und sie in einem Passwort-Tresor zu speichern.
- Offenlegung von Passwörtern für Managed Service Provider: Managed Service Provider (MSP) benötigen immer Admin-Zugriffsrechte für die von ihnen verwalteten Konten. Auf diesem Weg können Gruppen von MSP-Technikern diese gemeinsam nutzen. Die Kompromittierung der entsprechenden Anmeldeinformationen ist für einen MSP deshalb unter allen Umständen zu vermeiden, da sonst das Risiko von Remote-Verbindungen und der Verbreitung von Ransomware besteht. Passwort-Tresore erweisen sich in solchen Situationen jedoch als sehr effektiv.
- Unternehmensanwendungen ohne Multifaktor-Authentifizierung: Die meisten Anwendungen für Unternehmen unterstützen die Multifaktor-Authentifizierung (MFA). In der Regel geschieht dies über ein SAML-Protokoll (Security Assertion Markup Language), kann aber auch über eigene MFA-Lösungen erfolgen. Eine nicht zu unterschätzende Anzahl von Anwendungen verfügt jedoch noch immer über keine oder nur unzureichende MFA. Einige Unternehmen setzen allerdings besonders konsequent auf diesen Security-Ansatz, so wie etwa der CRM-Anbieter Salesforce seit Februar 2022. Bei Anwendungen, die keine MFA bieten, ist es entscheidend, dass zumindest die Anmeldeinformationen eindeutig sind und nicht wiederverwendet werden. Passwort-Manager sind in solchen Fällen kein Allheilmittel, sie reduzieren das Risiko jedoch deutlich.
- Unachtsamkeit bei der Eingabe von Passwörtern: Umfassende Schulungen sind immer wichtig, um für die Gefahren von Phishing-Angriffen oder Social Engineering (z.B. verdächtige Anrufe) zu sensibilisieren. Passwort-Manager helfen aktiv dabei, Nutzern die Bedeutung eines sicheren Passworts zu verdeutlichen und verringern die Wahrscheinlichkeit, dass sie es in kritischen Situationen verwenden.
Im Hinblick auf die Verletzlichkeit von Passwörtern wurde passwortlose Authentifizierung, etwa über biometrische Daten, in den vergangenen Jahren ein zunehmend relevantes Thema. Die Möglichkeiten dieser Technologien sind jedoch begrenzt. Sich per Gesichtserkennung am Computer oder mit dem Fingerabdruckscanner am Smartphone anzumelden, funktioniert sicher schon gut, für Webseiten oder einzelne Programme ist dies allerdings noch nicht der Fall. Es kann somit davon ausgegangen werden, dass Passwörter nicht verschwinden werden – zumindest nicht in absehbarer Zeit. Solange diese Verwendung finden, können Passwort-Manager die vorhandenen Risiken wirksam mindern.
Michael Haas ist Regional Vice President Central Europe bei WatchGuard Technologies.