Passwort-Verwaltung in Unternehmen richtig einsetzen

Privilegierte Benutzerkonten von Administratoren stellen für Unternehmen ein hohes Sicherheitsrisiko dar, denn die Passwörter sind der Schlüssel zu sämtlichen kritischen Datenbeständen. Knapp zwei Drittel der deutschen Unternehmen setzen keine Lösung zur regelmäßigen, automatischen Änderung von Administratoren-Passwörtern ein. Das fand Cyber-Ark, ein US-Anbieter von Sicherheitssystemen, bei einer Umfrage unter mehr als 280 IT-Experten aus größeren deutschen Firmen heraus.

Verschärfte regulatorische Anforderungen und Sicherheitsvorgaben zwingen Unternehmen aber zunehmend, die Verwaltung und Überwachung privilegierter Accounts mit einer speziellen Identity-Management-(IM)-Lösung zu zentralisieren und zu automatisieren. Doch bei vielen Unternehmen herrscht noch eine gewisse Unsicherheit in Bezug auf die technisch-organisatorischen Integrationsmöglichkeiten und den Funktionsumfang einer solchen Lösung. IT-Sicherheitsspezialist hat deshalb die häufigsten Fragen rund um das Passwort-Management gesammelt und beantwortet.

Ist die zentrale Speicherung von Passwörtern mit Risiken verbunden? Nein, aber Voraussetzung dafür ist, dass die eingesetzte IM-Lösung zur Passwort-Verwaltung mehrere unterschiedliche Security-Layer hat, Features für On-Time-Password-(OTP)-Token oder Zertifikate zur Authentifizierung und für die Zugriffskontrolle. Dadurch werde gewährleistet, dass nur autorisierte Anwender Zugang zu Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten.

Nach welchen Regeln kann die automatisierte Passwort-Änderung erfolgen? Moderne Passwort-Management-Lösungen lassen sich an individuelle Security-Richtlinien anpassen. Anwender können die Komplexität, Passwortstärke und die Änderungszyklen weitgehend frei definieren. Das gilt auch für Workflows. Darin kann festgelegt sein, dass Benutzer, die ein Passwort anfordern, ein offenes und gültiges Ticket eingeben müssen, dessen Kennung mit dem Ticketing-System abgeglichen wird.

Teaser-Foto: maxkabakov/Fotolia.com