Password Manager Pro: Sichere Übergabe und zentrale Verwaltung von Passwörtern

15. April 2011 von Martin Seibert

Wann haben Sie zum letzten Mal ein Passwort für ein internes System per E-Mail zugeschickt bekommen? Wahrscheinlich ist es nicht lange her und kommt häufiger vor. Kleben bei manchen Ihrer Mitarbeiter Post-its mit Passwörtern zu internen Tools an den Bildschirmen? Möglicherweise ist auch das der Fall. Damit stehen viele Unternehmen vor einer zentralen Herausforderung: Passwörter werden nicht sicher genug verwaltet, Informationssicherheit und Zugriffskontrolle vernachlässigt. Die webbasierte Software Password Manager Pro vereinfacht die sichere Übergabe und die Verwaltung von Passwörtern und sicherheitsrelevanten Informationen an zentraler Stelle.

Herausforderungen

Unsichere Speicherung von Passwörtern
In vielen Unternehmen ist der laxe Umgang mit Passwörtern gang und gäbe: Passwörter werden auf Zettel geschrieben. Passwörter stehen in Excel-Tabellen, die auf einem Netzlaufwerk gespeichert werden. Passwörter liegen in Wiki-Dokumenten und sind durchsuchbar. Unverschlüsselte Datenbanken oder gar Zettel und Notizbücher können leicht abhanden kommen und in falsche Hände geraten. Das kann (gerade gegenüber Kunden) schnell peinlich oder sogar haftungsrelevant werden.

Unsichere Weitergabe von Passwörtern
Viel zu oft werden Passwörter intern einfach per unverschlüsselter E-Mail oder Instant Messenger weitergegeben. Passwörter werden teilweise per E-Mail durch das öffentliche Internet geschickt und können (sogar automatisiert) ausgelesen werden.

Zu viele Rechte bei einzelnen Nutzern
Viele Unternehmen haben sog. Super-User, die uneingeschränkten Zugriff auf alle Systeme im Unternehmen haben und diesen aber zumeist gar nicht benötigen. Muss ein Geschäftsführer, der sich mit der strategischen Ausrichtung des Unternehmens, nicht aber mit operativen Details im Tagesgeschäft befasst, über uneingeschränkten Zugang zu sämtlichen Tools im Intranet verfügen? Viele Mitarbeiter haben Zugriff auf zu viele Passwörter, weil es einfach einfach ist. Und es reicht schon aus, wenn ein Mobiltelefon oder ein Notebook verloren geht, um ein signifikantes Sicherheitsproblem entstehen zu lassen.

Passwörter nur bei einer Person gespeichert
Probleme treten auch auf, wenn Passwörter nur bei einer Person gespeichert sind: Ist dieser Mitarbeiter nicht verfügbar, weil er krank oder im Urlaub ist, hat zunächst auch sonst niemand Zugang zum System. Ist der Mitarbeiter gar ausgeschieden oder verstorben, kann im schlimmsten Fall sogar die Situation eintreten, dass dauerhaft kein Zugriff z.B. auf einen Server oder eine Datenbank möglich ist.

Gemeinsame Nutzung von Passwörtern
Wenn ein Passwort von einem Team verwendet wird und (z.B. aufgrund von Compliance-Richtlinien) regelmäßig zurückgesetzt werden muss, muss der Mitarbeiter immer auch seine Kollegen informieren. Er hat einen entsprechenden Kommunikationsaufwand und versendet Passwörter auch hier per E-Mail oder Instant Messenger. Vergisst er, das Team zu informieren, setzt nach fehlgeschlagenen Logins womöglich ein anderer Kollege seinerseits das Passwort zurück – Verwirrung ist vorprogrammiert.

Lösungen mit Password Manager Pro

In Unternehmen sollten administrative Passwörter und digitale Identitäten also sicher verwaltet und der Zugriff kontrolliert werden. Die Software Password Manager Pro bietet einen Sicherheitsgewinn durch eine verschlüsselte und sichere Speicherung und Übertragung von Passwörtern. Dies sind gute Argumente für das Tool:

  • Zentrale Verwaltung und Übersicht von Zugriffsberechtigungen
  • Durch Skalierbarkeit gerade auch für große Unternehmen eine geeignete Lösung, die “in-house” installiert werden kann
  • Sicherheitsgewinn durch verschlüsselte und kontrollierte Speicherung und Übertragung von Passwörtern, PINs usw.
  • Kein unsicherer Versand von Passwörtern per E-Mail mehr erforderlich
  • Sicheres Teilen von Passwörtern mit einem Team, was sonst kaum eine Software bietet
  • Gewährung von zeitlich beschränktem Zugriff auf Ressourcen durch automatische Passwortänderung in Systemen (bspw. Zugriff auf Tool x auf y Stunden begrenzbar)
  • Auflösen von “Kopfmonopolen” (Herrschaftswissen)
  • Schnelleres Onboarding neuer Mitarbeiter: Fragen nach Passwörtern entfällt
  • Durchsetzen von Passwortrichtlinien: Zu erfüllende Standards in Sachen Länge, Sonderzeichen/Zahlen, Gültigkeitsdauer, Historie sind definierbar
  • Möglichkeit zum Backup: Verteilte Lösungen auf Workstations führen eher zu Datenverlust
  • Nur wenige ausgereifte Software-Alternativen am Markt verfügbar
  • Java-Software, die sich unter verschiedenen Betriebssystemen nutzen lässt
  • Tatsächliche Zugriffskontrolle durch Benutzer

Anwendungsfälle

Somit lassen sich mithilfe von Password Manager Pro konkrete Sicherheitsprobleme im Unternehmen lösen. Diese Anwendungsfälle können mit dem Tool systematisch abgebildet werden:

  • Übergabe von Passwörtern innerhalb des Unternehmens
  • Zuteilung von Einmalpasswörtern (z.B. für einen Entwickler), die nach dem Logout verfallen
  • Zwei-Faktoren-Authentifizierung für zusätzliche Sicherheit
  • Protokollierung von Zugriffen auf Systeme
  • Eintragen von neuen Passwörtern an einem sicheren Ort (inkl. Sharing)
  • Vereinfachung der Kommunikation über Passwortänderungen durch zentrale Ablage

Live-Demonstration

Ist Ihr Interesse geweckt? Dann sollten Sie einen Blick ins Innere von Password Manager Pro werfen. In einer unserer immer Donnerstags um 11:15 Uhr stattfindenden Live-Sessions zur Online-Beratung haben wir das System ausführlich unter die Lupe genommen und die Nutzung live demonstriert. Hier können Sie die etwa fünfundvierzigminütige Sendung als Aufzeichnung ansehen:

Dieses Video downloaden (119 MB, MP4)

Zielgruppen von Password Manager Pro

Grundsätzlich: Unserer Ansicht nach kann dieses System jedes Unternehmen gebrauchen. Auch in Firmen mit 20 Mitarbeitern wird Password Manager Pro großen Nutzen stiften und helfen, Risiken zu minimieren. Doch insbesondere in größeren Unternehmen führt die Etablierung des Tools zu einem massiven Gewinn an Sicherheit: Je größer Unternehmen sind, desto vielfältiger sind auch Systemlandschaft und Umfang der zu verwaltenden Nutzer und Systemzugänge. Hier kann Password Manager Pro seine Potenziale ausspielen. Dies sind die Zielgruppen:

  • Insbesondere größere Unternehmen mit Compliance-Richtlinien
  • Unternehmen mit Sicherheitsverpflichtungen und Garantien gegenüber ihren Kunden
  • Systemadministratoren (Kontrolle, Revision, Sicherheit, HA, …)
  • Sicherheitsbeauftragte (Information Assurance Manager)
  • Datenschutzbeauftragte
  • Voraussetzung für ITIL- und IT-Sicherheitszertifizierungen

Fazit

Password Manager Pro ist eine ausgereifte Software-Lösung zur Verwaltung von Passwörtern in Unternehmen. Passwörter können zentral gespeichert, auf Richtlinien geprüft und mit anderen Personen geteilt werden – und gerade hierin liegt ein großer Vorteil gegenüber anderen, vermeintlich effizienteren Tools wie 1Password, KeePass oder Post-it. Durch verschiedene Funktionalitäten lassen sich Standards für sichere Passwörter unternehmensweit etablieren. Außerdem ist ersichtlich, wer Zugriff auf Ressourcen hat und wer nicht. Erfolgte Zugriffe und die Nutzung der Passwörter werden dokumentiert.

Allerdings ist Password Manager Pro Software und damit nicht perfekt. Optimierungsbedarf besteht vor allem in Sachen Usability. Zudem können bislang keine mobilen Geräte und Browser integriert werden. Darüber hinaus ist Password Manager Pro ein proprietäres Tool mit einem Lizenzmodell, demzufolge nur Administratoren Passwörter einstellen können, was wiederum zu einem gewissen Mehr an Bürokratie führen kann. Dennoch können wir Password Manager Pro nahezu uneingeschränkt empfehlen.

Haben Sie Fragen zum Thema Passwortverwaltung und Zugriffsmanagement? Benötigen Sie ausführliche Informationen zum Thema? Möchten Sie Password Manager Pro kennenlernen? Wir beraten Sie gerne und stellen Ihnen auf Wunsch eine Testversion des Systems zur Verfügung. Bitte sprechen Sie uns unverbindlich an.

Weiterführende Informationen

Unsere öffentliche Wiki-Seite mit weiteren Infos, Lizenzkosten und Preisbeispielen
Die Website von //SEIBERT/MEDIA/SYSTEMS
Internet-Security-Beratung von //SEIBERT/MEDIA/SYTEMS
IT-Sicherheit wie den Brandschutz regelmäßig prüfen
Warum Unternehmen Penetrationstests durchführen sollen (und eigentlich auch müssen)


2 Reaktionen zu diesem Beitrag

  1. Thomas Hecker

    Interessanter Artikel. Wie schauts es mit der Synchronisation mehrerer Endgeräte und dem ZUgriff außerhalb des internen Netzes aus (Notebook, iPhone, privater Rechner zu Hause)?


  2. Martin Seibert

    Hallo Thomas,

    die Synchronisation mit Endgeräten ist bisher nicht möglich, wohl aber geplant. Wir können hier von überall auf die Instanz über die Weboberfläche zugreifen. Das ist eine Frage der IT-Topografie. Bei uns sitzt das System hinter der Firewall, so dass ich mich auf dem iPhone erst am VPN anmelden muss. Klappt ansonsten aber wohl.

    Meines Erachtens ist das nicht als Ersatz für 1Password oder Keepass zu sehen, sondern als Antwort des Unternehmens auf die Passwort- und Informationssicherheitsfrage, die bei fast allen Unternehmen unsauber gelöst ist.

    Hier halte ich PMP für fast konkurrenzlos.

    Wir gewähren auf die Lizenzen übrigens 10% Naturalrabatt.

    Ciao
    Martin Seibert


Eine Antwort hinterlassen





//SEIBERT/MEDIA besteht aus den vier Kompetenzfeldern Consulting, Design, Technologies und Systems und gehört zu den erfahrenen und professionellen Multimedia-Agenturen in Deutschland. Wir entwickeln seit 1996 mit heute über 65 Mitarbeitern Intranets, Extranet-Systeme, Web-Portale aber auch klassische Internet-Seiten. Seit 2005 konzipiert unsere Designabteilung hochwertige Unternehmensauftritte und kommunikative Konzepte. Beratungen im Bereich Online-Marketing und Usability runden das Leistungsportfolio ab.

Zu unseren teils weltweit agierenden Kunden gehören u.a. Accor, Allianz, Atlas MTT, BAD, Deutsche Klinik für Diagnostik, Deutsche Post, Hitachi, Honda Motor, Hotel InterContinental, Institut Fresenius, Kabel Deutschland, Lufthansa, SAP, SGS AG, STA Travel, StepStone sowie viele andere große und kleine interessante Unternehmen.