Bei der Passwortverwaltung handelt es sich um eine Kombination von Systemen und Prozessen zur sicheren Abwicklung der Vergabe, des Zugriffs, der Speicherung und der Verwaltung von Passwörtern. Aufgrund der steigenden Anzahl an Systemen und Geräten wurde die Passwortverwaltung zu einem festen Aufgabe für jedes IT-Team. Die Passwortverwaltung erleichtert die Umsetzung von Best Practices im gesamten Lebenszyklus von Passwörtern – von der Erstellung bis zur Deaktivierung.
Erfahren Sie, wie Sie mit der Passwortverwaltung die Zahl der Anrufe beim Helpdesk reduzieren, die Sicherheit erhöhen und die Benutzerfreundlichkeit verbessern können.
Da Cyberbedrohungen immer raffinierter und effektiver werden, stellt die Passwortverwaltung einen wichtigen Schutz vor unbefugten Zugriffen auf Systeme, Apps und Daten dar.
Die Passwortverwaltung ermöglicht es Unternehmen, unvorsichtigem Verhalten, das zu Datenschutzverletzungen, führen kann, vorzubeugen und sich dagegen zu wehren, z. B. durch:
- Einfache und leicht zu erratende Passwörter
- Weitergabe von Passwörtern über Gespräche im Büro, durch Dokumente, E-Mails, per Telefon oder per SMS
- Nutzung desselben Passworts für alle Anmeldungen
- Aufschreiben von Passwörtern
Neben einem weniger riskanten Umgang mit Passwörtern bietet die Passwortverwaltung folgende Vorteile:
- Es ist nicht mehr notwendig, sich Passwörter zu merken
- Verschlüsselte Benutzerpasswörter für erhöhten Schutz
- Gewährleistet die Einhaltung von Vorschriften und Best Practices
- Erleichtert die Erstellung sicherer, komplexer und schwer zu erratender Passwörter
- Beschleunigt das Erstellen, Verwalten und Verwenden von Passwörtern und vereinfacht sie
- Minimiert die Wiederverwendung von Passwörtern
- Benachrichtigt Benutzer, wenn Anmeldeinformationen von einer Datenschutzverletzung oder einem Phishing-Versuch betroffen waren
- Ermöglicht es, Anmeldedaten automatisch auszufüllen, wenn ein Anmeldeformular erkannt wird, für das das System über einen Benutzernamen und ein Passwort verfügt
- Unterstützt die Synchronisierung von Anmeldedaten über mehrere Geräte hinweg
Passwort-Manager für Browser
Passwort-Manager für Browser haben sich durchgesetzt, weil Benutzer meistens über Browser auf Websites und Dienste zuzugreifen. Die Passwortverwaltung ist in alle wichtigen Browser integriert.
Die Passwortverwaltung des Browsers ermöglicht es Benutzern, Anmeldedaten für Konten zu speichern. Der Browser füllt sie danach automatisch aus. Viele Benutzer nutzen die Vorteile der Passwortverwaltung des Browsers, ohne sich über die Sicherheitsrisiken im Klaren zu sein. Diese umfassen:
Browser wurden nicht zur Verwaltung von Passwörtern entwickelt. Da die Passwortverwaltung ein Browser-Add-on ist, fehlen den meisten die Sicherheits- und Produktivitätsfunktionen, die speziell entwickelte Lösungen bieten.
Wenn ein Gerät gestohlen wird, können Passwörter aus geöffneten Browsern abgerufen werden. Da die meisten Benutzer sich nicht von Browsern abmelden, ist die Passwortverwaltung im Browser eine risikoreiche Methode der Passwortverwaltung.
Passwörter sind gefährdet, wenn ein Browser angegriffen wird. Browser sind anfällig für Cyberangriffe, die Geräte über bösartige E-Mail-Anhänge, infizierte Dateien, die von Websites heruntergeladen werden, oder Besuche auf infizierten Websites infizieren. Cyberkriminelle gefährden Browser auch durch die Kombination von Malware mit Browser-Erweiterungen und durch bösartige Shareware, Freeware, Adware und Spyware.
Was ist FIDO?
FIDO steht für Fast Identity Online. Die gemeinnützige FIDO Alliance wurde im Juli 2012 von Infineon, PayPal, Lenovo, Nok Nok, Validity Sensors und Agnitio gegründet. Die FIDO-Standards zielen darauf ab, Passwörter durch ein einziges Token zu ersetzen, das für die Authentifizierung verwendet wird, und die Multi-Faktor-Authentifizierung zu nutzen, um die Sicherheit und Benutzerfreundlichkeit zu verbessern.
Mit FIDO melden sich die Benutzer mit Passkeys an, die vor Phishing geschützt sind. Passkeys ersetzen die Anmeldung mit Passwörtern. Mit FIDO können sich Benutzer geräteübergreifend mit Passkeys anmelden, indem sie ein biometrisches Merkmal oder einen Sicherheitsschlüssel verwenden.
Was sind Passkeys?
Passkeys sind Berechtigungsnachweise, mit dem sich Benutzer bei Apps, Websites, Diensten und Systemen anmelden können, ohne ein Passwort eingeben zu müssen, was für Geräte gilt, mit denen sie sich bereits angemeldet haben (z. B. Smartphone oder Laptop). Passkeys basieren auf dem Web-Authentifizierungsstandard und nutzen die Public-Key-Kryptographie für mehr Sicherheit. Dadurch wird verhindert, dass Passkeys bei Cyberangriffen wie Phishing gestohlen werden. Passkeys speichern den privaten Schlüssel auf den Geräten der Benutzer, während sich der öffentliche Schlüssel auf den Servern der Unternehmen befindet.
Die Verwendung von Passkeys zur Benutzerauthentifizierung macht anfällige Benutzernamen und Passwörter überflüssig. Passkeys ersetzen herkömmliche Anmeldedaten durch digitale Anmeldedaten, die physischen Schlüsseln ähneln. Der Zugriff auf diese digitalen Schlüssel erfolgt, indem sich die Benutzer mit einer persönlichen Identifikationsnummer (PIN), einem Entsperrmuster oder biometrischen Merkmalen (z. B. Fingerabdruck) anmelden.
Die gängigsten Vorteile von Passkeys sind:
- Optimierte Authentifizierung für Benutzer
- Mehr Barrierefreiheit für Benutzer mit Behinderungen
- Geringere Belastung des Helpdesks durch Benutzer, die Passwörter zurücksetzen müssen
- Abwehr von Phishing-Angriffen
- Standardbasierter Ansatz, der die Integration von Autorisierungsfunktionen für Entwickler beschleunigt
Wie Passwortmanager funktionieren
Passwortverwaltungslösungen oder Passwortmanager bieten eine Reihe von Funktionen, die passwortbezogene Funktionen automatisieren, optimieren und sichern. Zu diesen Funktionen gehören:
Individuelle Passwortrichtlinien erstellen
Für Unternehmen mit Teams, die unterschiedliche Zugriffsanforderungen haben, können Passwortverwaltungsrichtlinien auf granularer Ebene implementiert werden. So lassen sich beispielsweise für Benutzer, die auf sensible Informationen zugreifen, erweiterte Autorisierungsanforderungen einrichten.
Änderungen erkennen
Ein Passwortverwaltungssystem kann automatisch Änderungen an Passwörtern erkennen und sie mit allen passenden Apps synchronisieren.
Multi-Faktor-Authentifizierung aktivieren
Die Passwortverwaltung bietet robuste Funktionen zur Multi-Faktor-Authentifizierung, um Benutzer zu überprüfen, die versuchen, Zugang zu erhalten. Dies umfasst die Möglichkeit einer Multi-Faktor-Authentifizierung, wenn ungewöhnliche Verhaltensweisen erkannt werden.
Passwortanforderungen durchsetzen
Die Passwortverwaltung unterstützt Unternehmen bei der automatischen Implementierung und Durchsetzung von Passwortrichtlinien. Alle Anforderungen werden netzwerkweit durchgesetzt, einschließlich der Verwendung sicherer Passwörter, regelmäßiger Passwortaktualisierungen und der Verwendung eindeutiger Passwörter für verschiedene Apps, Dienste und Systeme.
Sichere Passwörter generieren
Ein System zur Verwaltung von Passwörtern kann automatisch eindeutige, starke Passwörter erstellen, die Benutzer nur schwer erstellen können.
Über Geräte und Betriebssysteme hinweg synchronisieren
Da Benutzer auf mehrere Geräte angewiesen sind, gibt die Passwortverwaltung automatisch Passwörter für alle Geräte frei, damit das Passwort nicht mehr manuell auf verschiedenen Geräten eingegeben werden muss.
Weitere Funktionen von robusten Lösungen zur Passwortverwaltung sind:
- Aufzeichnung, Überwachung und Löschung der Passwörter von Benutzern
- Zugriffskontrolle für Mitarbeitergeräte
- Optionen für die Bereitstellung vor Ort und in der Cloud
- Passwortverwaltung auf den Endgeräten der Mitarbeiter
- Tools zur Berichterstattung
- Selbstbedienungsfunktionen
Globale Sicherheitszertifikate für die Passwortverwaltung
Es gibt viele Sicherheitszertifikate im Zusammenhang mit der Passwortverwaltung. Nachfolgend finden Sie Zertifikate, die bei internationalen Unternehmen am beliebtesten sind.
APEC CBPR (Asia-Pacific Economic Cooperation Cross-Border Privacy Rules)
APEC CBPR ist ein staatliches Datenschutzzertifikat, mit dem Unternehmen die Einhaltung internationaler Datenschutzbestimmungen nachweisen können. Es legt den Schwerpunkt auf Datenschutzpraktiken, die die personenbezogenen Daten von APEC-Kunden bei der grenzüberschreitenden Übertragung gemäß den vorgeschriebenen Standards schützen.
APEC PRP (Asia-Pacific Economic Cooperation Privacy Recognition for Processors)
APEC PRP ist eine Zertifikat für Datenverarbeiter, die im Auftrag von Kundenorganisationen (Datenverantwortlichen) tätig sind und so nachweisen können, dass sie die Datenschutzanforderungen für die Datenverantwortlichen effektiv umsetzen.
BSI C5 (Cloud Computing Compliance Controls Catalogue)
BSI C5 ist ein geprüfter Standard, der einen verbindlichen Mindeststandard für die Cloud-Sicherheit und den Einsatz von Public-Cloud-Lösungen festlegt. Er wurde in Deutschland vom Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt.
ISO 27001
ISO 27001 ist eine international anerkannte Norm für ein Information Security Management System (ISMS), das die gesamte Verwaltung der Informationssicherheit bewertet.
SOC2 Type II
Ein SOC-Audit (Service Organization Control) vom Typ II bewertet, wie ein Anbieter von Cloud-basierten Diensten mit sensiblen Daten umgeht. Dazu gehört die Angemessenheit der Kontrollen eines Unternehmens und seine operative Effektivität.
SOC3
Bei einem SOC-III-Audit (Service Organization Control) werden die internen Kontrollen in Bezug auf Sicherheit, Verfügbarkeit, Verarbeitungsintegrität und Vertraulichkeit bewertet.
Datenschutz-Grundverordnung (DSGVO)
Die DSGVO ist eine Verordnung, die eine Reihe von standardisierten Datenschutzgesetzen in der Europäischen Union (EU) umfasst, um den Datenschutz zu verbessern und die Datenrechte der EU-Bürger zu stärken.
EU-US-Datenschutzschild
Das EU-US-Datenschutzschild ist ein rechtlicher Rahmen, der den transatlantischen Austausch von personenbezogenen Daten zu kommerziellen Zwecken zwischen der Europäischen Union und den Vereinigten Staaten regelt und Datenschutzmaßnahmen vorschreibt.
Herausforderungen bei der Passwortverwaltung
Die Verwaltung von Passwörtern bietet viele Vorteile, birgt aber auch einige bemerkenswerte Herausforderungen. Wenn Sie die Herausforderungen verstehen, können Sie sicher und effektiv den maximalen Nutzen aus Ihren Lösungen ziehen.
Zu den Herausforderungen bei der Passwortverwaltung gehören:
- Kompatibilität
Da es keine verbindlichen Standards gibt, sind nicht alle Websites mit allen Maßnahmen zur Passwortverwaltung kompatibel. - Anfälligkeit des Master-Passworts
Da Lösungen zur Passwortverwaltung ein Master-Passwort nutzen, um auf andere Passwörter zuzugreifen, könnten durch eine Kompromittierung die anderen Passwörter preisgegeben werden. Außerdem könnte der Benutzer bei Verlust des Master-Passworts den Zugang zu Apps, Diensten und Systemen verlieren. - Sicherheitsbedenken
Die Passwortverwaltung kann eine einzige Schwachstelle sein, da alle Passwörter veröffentlicht werden könnten, wenn das System kompromittiert wird. - Benutzerakzeptanz
In einigen Fällen haben die Benutzer Probleme mit der Einrichtung und Verwendung neuer Passwortverwaltungssysteme.
Weitere Herausforderungen im Zusammenhang mit der Passwortverwaltung sind Cyberbedrohungen, wie Bedrohungen für Passwörter bei:
- Brute-Force-Angriffe
Es werden automatische Tools verwendet, um Passwörter zu stehlen oder zu erraten. - Datenschutzverletzungen
Cyberkriminelle verschaffen sich unbefugten Zugang zu Netzwerken und stehlen Anmeldedaten aus Website-Datenbanken. - Login-Spoofing
Cyberkriminelle verwenden Passwörter, die illegal über eine gefälschte Anmeldeseite gesammelt wurden - Shoulder-Surfing-Angriffe
Passwörter werden von Cyberkriminellen gestohlen, die den Zugriff der Benutzer auf die Systeme beobachten (z. B. mit einer versteckten Kamera) - Sniffing-Angriffe
Passwörter werden mit illegalen Methoden gestohlen, z. B. durch physischen Diebstahl, Keylogging und Malware.
Best Practices der Passwortverwaltung
Untersagen Sie die Wiederverwendung von Passwörtern
Passwörter sollten nicht für verschiedene Geräte oder Apps wiederverwendet werden. Jedes Konto sollte ein eigenes Passwort haben. Ohne Passwortverwaltung kann es schwierig sein, den Überblick zu behalten.
Erstellen Sie eine Richtlinie zur Passwortverwaltung und setzen Sie sie durch
Stellen Sie Mitarbeitern und Administratoren einen klaren Leitfaden für die Verwaltung von Passwörtern zur Verfügung, damit sich die Benutzer an Best Practices halten können, die von Administratoren einfach umgesetzt werden können.
Klären Sie Teammitglieder über Online-Sicherheit auf
Aufklärung ist ausschlaggebend dafür, dass Benutzer die Best Practices der Passwortverwaltung einhalten. Nachstehend finden Sie Möglichkeiten, wie Sie die Bedeutung der Best Practices für die Passwortverwaltung verdeutlichen und Anreize für deren Einhaltung schaffen können, um eine Kultur der Sicherheit aufzubauen und aufrechtzuerhalten.
- Erklären Sie die Rolle der Passwortverwaltung zur Vermeidung von Datenschutzverletzungen.
- Schulen Sie Ihre Mitarbeitern in den Best Practices der Passwortverwaltung.
- Helfen Sie Ihren Mitarbeitern, die Best Practices der Passwortverwaltung mit Hilfe von Automatisierung einzuhalten.
- Bieten Sie ein On-Demand-Schulungsprogramm mit Ressourcen an, auf die die Mitarbeiter nach Belieben zugreifen können.
- Bieten Sie Anreize für die Teilnahme an Schulungen und Übungen zur Passwortverwaltung (z. B. Geldprämien oder Geschenkkarten).
Verbessern Sie den Schutz von privilegierten Benutzerkonten und Passwörtern.
Verwalten Sie privilegierte Zugänge, um Konten, die einen höheren Zugriff auf Daten und Apps bieten und bei Cyberkriminellen begehrt sind, zusätzlich zu schützen.
Erkennen Sie Sicherheitsprobleme schnell und helfen Sie Ihren Mitarbeitern, gefährdete Konten zu reparieren
Die Passwortverwaltung sollte passwortbezogene Sicherheitsprobleme und gefährdete Konten proaktiv erkennen. Wenn Probleme erkannt werden, sollte die Lösung automatische Reaktionen zur Behebung und Warnungen für Konten, die als besonders riskant eingestuft werden, auslösen.
Aktivieren Sie die Multi-Faktor-Authentifizierung
Bei der Multi-Faktor-Authentifizierung (MFA) müssen Benutzer zwei oder mehr Nachweise (Faktoren) erbringen, um ihre Identität zu prüfen, bevor sie Zugang erhalten. Diese Faktoren umfassen:
- Etwas, das Sie wissen – ein Passwort oder eine persönliche Identifikationsnummer (PIN)
- Etwas, das Sie haben – ein Smartphone, Handy oder Token
- Etwas, das Sie sind – biometrische Daten (z. B. Fingerabdruck oder Gesichtserkennung)
Richten Sie verpflichtende Passwortänderungen ein
Verlangen Sie von den Benutzern, dass sie ihre Passwörter nach einer festgelegten Zeit ändern. Die Passwortverwaltung automatisiert diesen Prozess, um die Einhaltung der Vorschriften zu gewährleisten.
Abschaffung der browserbasierten Passwortverwaltung
Die browserbasierte Passwortverwaltung stellt ein Sicherheitsrisiko dar. Unternehmen sollten Pläne zur Abschaffung der browserbasierten Passwortverwaltung erstellen und sie durch eine speziell entwickelte Lösung ersetzen.
Setzen Sie sichere Passwörter voraus
Passwörter sollten komplex und einzigartig sein, damit sie von Cyberkriminellen nicht geknackt werden können. Passwortverwaltungssysteme können automatisch starke Passwörter generieren, die Folgendes enthalten:
- Mehr als acht Zeichen
- Eine Kombination aus Groß- und Kleinbuchstaben
- Verschiedene Zahlen und Sonderzeichen
Speichern Sie Passwörter in einem Passwortverwaltungssystem
Verwenden Sie ein spezielles Passwortverwaltungssystem, um die Abläufe für die Benutzer zu optimieren und die Verwaltung durch IT-Teams zu erleichtern. Dies ermöglicht Regeln für die Passwortverwaltung und erhöht die Sicherheit.
Verwenden Sie Passwortverschlüsselung
Eine unumkehrbare Ende-zu-Ende-Verschlüsselung ist ein Muss für die Passwortverwaltung, um Anmeldedaten zu schützen – denn selbst das stärkste Passwort ist angreifbar, wenn es nicht verschlüsselt ist. Die Passwortverschlüsselung sichert Daten, die gespeichert oder übertragen werden. Bei der Verschlüsselung werden digitale Daten mathematisch kodiert, um zu verhindern, dass sie mit einem Schlüssel oder Passwort gelesen oder entschlüsselt werden können.
Passwortverwaltung: Ein einfaches, aber wirkungsvolles Sicherheitsupgrade
Die Cybersicherheit stellt eine zunehmende Herausforderung dar, da Cyberkriminelle und ihre Taktiken durch moderne Technologien wie künstliche Intelligenz und maschinelles Lernen unterstützt werden. Die gesamte Technologie, die eingesetzt wird, um sie fernzuhalten, wird auch genutzt, um sich unbefugten Zugang zu verschaffen. Sicherheitsteams müssen ein Netz von Lösungen einsetzen, um Schutz zu bieten.
Die Passwortverwaltung ist eine der am einfachsten zu implementierenden Sicherheitslösungen und sehr wirksam. Durch die Passwortverwaltung wird ein viel genutzter Angriffsvektor nahezu eliminiert. Die Passwortverwaltung verhindert die Kompromittierung von Anmeldedaten, die Unternehmen unermesslichen Schaden zufügen kann.
Das könnte Sie auch interessieren:
Intelligente, skalierbare, nahtlose Identitätssicherheit
48 % der Fortune 500-Unternehmen vertrauen uns