Identity-Management

Passwortverwaltung in Unternehmen richtig einsetzen

Das Ausspähen von Passwörtern gehört zu den häufigsten Angriffsmethoden von Hackern. So ist es nicht verwunderlich, dass Unternehmen verunsichert sind, was das Management von Passwörtern angeht. Wir haben den Security-Spezialisten Cyber-Ark zum Thema Passwortverwaltung befragt.

Privilegierte Benutzerkonten von Administratoren stellen für Unternehmen ein hohes Sicherheitsrisiko dar, denn die Passwörter sind der Schlüssel zu sämtlichen kritischen Datenbeständen. Knapp zwei Drittel der deutschen Unternehmen setzen keine Lösung zur regelmäßigen, automatischen Änderung von Administratorenpasswörtern ein. Das fand Cyber-Ark, ein US-Anbieter von Sicherheitssystemen, bei einer Umfrage unter mehr als 280 IT-Experten größerer deutscher Firmen heraus.

Unsicherheit beim Passwortmanagement

Sicherheitsrisiko Passwörter: Viele Firmen sind mit dem Passwortmanagement überfordert; die Prozesse werden weitgehend manuell durchgeführt.
Sicherheitsrisiko Passwörter: Viele Firmen sind mit dem Passwortmanagement überfordert; die Prozesse werden weitgehend manuell durchgeführt.
Foto: pn_photo - Fotolia.com

Verschärfte regulatorische Anforderungen und Sicherheitsvorgaben zwingen Unternehmen aber zunehmend, die Verwaltung und Überwachung privilegierter Accounts mit einer speziellen Identity-Management-Lösung (IM) zu zentralisieren und zu automatisieren. Doch bei vielen Unternehmen herrscht noch eine gewisse Unsicherheit in Bezug auf die technisch-organisatorischen Integrationsmöglichkeiten und den Funktionsumfang einer solchen Lösung. Der IT-Sicherheitsspezialist hat deshalb die häufigsten Fragen rund um das Passwortmanagement gesammelt und beantwortet.

Ist die zentrale Speicherung von Passwörtern mit Risiken verbunden? Nein, aber Voraussetzung dafür ist, dass die eingesetzte IM-Lösung zur Passwortverwaltung mehrere unterschiedliche Security-Layer hat, Features für On-Time-Password (OTP)-Token oder Zertifikate zur Authentifizierung und für die Zugriffskontrolle. Dadurch wird gewährleistet, dass nur autorisierte Anwender Zugang zu Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten.

Nach welchen Regeln kann die automatisierte Passwortänderung erfolgen? Moderne Passwortmanagementlösungen lassen sich an individuelle Security-Richtlinien anpassen. Anwender können die Komplexität, die Passwortstärke und die Änderungszyklen weitgehend frei definieren. Das gilt auch für Workflows. Darin kann festgelegt sein, dass Benutzer, die ein Passwort anfordern, ein offenes und gültiges Ticket eingeben müssen, dessen Kennung mit dem Ticketing-System abgeglichen wird.

Teaser-Foto: maxkabakov/Fotolia.com