1 Einführung
Kennwörter sind noch längst nicht Geschichte. Auch wenn man einen Trend hin zu alternativen Authentifizierungsmethoden und insbesondere auch zu biometrischen Verfahren beobachten kann, sind Kennwörter in vielen Anwendungsszenarien immer noch die Regel und werden es auch noch auf längere Sicht bleiben. Kennwörter ergänzen andere Verfahren auch, gerade bei der MFA (Mehr-Faktor-Authentifizierung).
Ob es sich um Administrationskennwörter für Betriebssysteme, um die Kennwörter für Datenbank-Administratoren, um die Administrationskonten für viele der gängigen Cloud-Dienste oder auch Kennwörter von normalen Anwendern handelt: Überall wird noch mit Kennwörtern gearbeitet, auch für hochsensible Zugriffe. Das gilt auch für den Zugriff auf die Unternehmenskonten sozialer Medien wie Twitter und viele weitere kritische Einsatzsituationen.
Da Kennwörter immer noch Normalität sind und es auch bleiben werden, sowohl in der normalen Nutzung der IT als auch in kritischen und sensiblen Einsatzbereiche, benötigen Unternehmen geeignete Konzepte, um die daraus entstehenden Risiken beherrschbar zu machen. Das gilt in besonderem Maße für gemeinsam genutzte Benutzerkonten und die damit auch gemeinsam genutzten Kennwörter, aber grundsätzlich für alle Arten von Kennwörtern. Die immer noch häufig zu findenden Vorgehensweisen von Klebezetteln mit Kennwörtern am Bildschirm bis hin zu Kennwortlisten, die relativ einfach zugänglich auf File-Servern liegen, sind ein enormes Sicherheitsrisiko.
Neben Strategien, die auf einen Ersatz von Kennwörtern durch stärkere Mechanismen abzielen – eine Zwei-Faktor-Authentifizierung beispielsweise in Kombination mit biometrischen Verfahren (wobei auch hier oft Kennwörter als ein Faktor zum Einsatz kommen) – ist es daher essentiell, dass man auch Verfahren im Einsatz hat, um den Umgang mit Kennwörtern zu verbessern und sicherer zu gestalten. Dazu zählen beispielsweise die konsequente Verschlüsselung von Kennwörtern bei der Ablage und der Übertragung, aber auch eine automatische Rotation von Kennwörtern, wo immer möglich, oder die Nutzung von Einmalkennwörtern für besonders kritische Zugriffe.
Für die Umsetzung eines zentralen, unternehmensweiten Password-Managements gibt es verschiedene Lösungsansätze:
- Traditionelle Enterprise Single Sign-On-Lösungen (E-SSO) arbeiten mit zentralen Kennwortspeichern und dezentralen Clients, über die Kennwörter im Hintergrund an Anwendungen übergeben werden.
- Privileged Access Management-Lösungen (PAM) und hier die Funktionalität für das Shared Account Password Management (SAPM) unterstützen die automatische Bereitstellung von Kennwörtern im Hintergrund für privilegierte Zugriffe und die Nutzung von Einmal-Kennwörtern mit automatischer Rotation für hoch privilegierte Zugriffe.
- Kennwort-Manager für individuelle Benutzer, in denen diese ihre Kennwörter verwalten können, allerdings ohne unternehmensweite Steuerung und Kontrolle.
- Zentrale Kennwort-Manager mit zentralen Speicher- und Verwaltungsfunktionen.
Die Grenzen zwischen diesen Kategorien verlaufen zum Teil fließend. Zentrale Passwort-Manager überlappen sich sowohl mit E-SSO- als auch PAM-Lösungen und bieten oft auch Varianten für die individuelle Nutzung. Sie sind im Gegensatz zu PAM-Lösungen mit ihrem stark administrativen Fokus und der typischerweise sehr viel breiteren Funktionalität aber üblicherweise einfacher in der Einführung und Nutzung.
E-SSO-Lösungen sind dagegen tendenziell eher auf den Umgang mit traditionellen „fat client“-Anwendungen ausgerichtet. Insofern stellen zentrale Passwort-Manager eine interessante Lösung für viele Unternehmen dar, die für eine breitere Palette von Anwendungsszenarien für alle Nutzer eine Lösung für mehr Kennwort-Sicherheit bei zentraler Verwaltung benötigen.
MATESO, ein deutscher Software-Anbieter, liefert mit Password Safe eine spezialisierte Lösung für das zentrale Passwort-Management in Unternehmen.