Wir haben mit Thomas Braun vom Passwort-Spezialisten LogMeIn über rechtliche, organisatorische und technische Anforderungen an das Passwort-Management gesprochen. Er nennt drei Tipps für mehr Passwort-Sicherheit.
- Welche Anforderungen an Passwort-Verwaltung und -Sharing gibt es neben möglicher SSO Lösungen in Unternehmen?
Auch wenn mittlerweile weit verbreitet, kann Single-Sign-On (kurz SSO genannt) in der Regel nicht alle Dienste und Services abdecken, die regelmäßig von Unternehmensmitarbeitern verwendet werden. So kann es sein, dass der Dienst oder Service keine technische Integration mit einer SSO-Lösung anbietet oder aber haben externe Mitarbeiter nicht immer die Möglichkeit, sich am Active-Directory anzumelden. Dementsprechend haben wir es oft mit der Aufgabenstellung zu tun, wie diese Dienste und Services sicher in die IT-Landschaft eingebunden werden können.
Eine weitere Herausforderung ist die Tatsache, dass viele gemeinsam genutzte Dienste schlicht und einfach keine Multi-User- oder Mandantenfähigkeit bereitstellen. Twitter beispielsweise. Hier hilft ein Passwort-Manager wie LastPass, der auch eine SAML Authentifizierung unterstützt. Mehrfaches Anmelden mit unterschiedlichen Rollen kann damit sehr einfach und ohne zusätzlichen Aufwand durchgeführt werden und verringert die Gefahr des menschlichen (Un-)Sicherheitsfaktors.
- Wie können Sie sicher sein, dass im Unternehmen gültige Passwort-Richtlinien für alle Mitarbeiter und Externe eingehalten werden?
Passwort-Richtlinien sollten mittlerweile in allen Unternehmen vorhanden sein. Dies kann per Dienstanweisung erfolgen, oder durch entsprechende Richtlinien im Active-Directory. Die Einhaltung dieser Richtlinien bei externen Diensten und Services bzw. bei externen Mitarbeiten lässt sich hingehen nur schwer überprüfen und nachvollziehen. Gerade das Reporting ist in diesem Zusammenhang ein wesentlicher Bestandteil der DSGVO Vorschriften und kann mit LastPass einfach durchgeführt werden.
- Wie können gemeinsame Passwörter „compliant“ und „auditierbar“ auch mit externen Partnern und Agenturen genutzt werden?
In LastPass stehen alle Informationen für interne und externe Audits sicher bereit. Außerdem können Passwörter sicher und geschützt mit anderen Nutzern geteilt werden.
- Welche Risiken ergeben sich für Unternehmen bzgl. Haftung, Reporting und Sicherheit?
Bei einer möglichen Sicherheitsverletzung und/oder Datenleck müssen Unternehmen Angaben zu den im Vorfeld getroffenen Sicherheitsmaßnahmen machen. Werden diese Sicherheitsmaßnahmen als mangelhaft oder nicht ausreichend bewertet, kann dies zu empfindlichen Strafen und zu weitreichenden Reputationsrisiken führen.
- Was wären deine 3 Tipps um sofort die Passwort-Sicherheit im Unternehmen zu verbessern?
- Einführung einer Enterprise Passwort Lösung für alle Mitarbeiter
- Awareness schaffen und Mitarbeiter trainieren
- Verwendung einer zusätzlichen privaten Lizenz von LastPass, um die Nutzung zu erhöhen und eine Trennung von dienstlichen und privaten Daten zu ermöglichen bzw. durchzusetzen.
