Passwörter sind nach wie vor die gebräuchlichste Methode der Benutzerauthentifizierung. Die steigende Anzahl von Anwendungen, die Mitarbeiter für ihre Aufgaben benötigen, sowie erhöhte Compliance-Anforderungen stellen IT-Abteilungen vor neue Herausforderungen.
Wir haben mit Thomas Braun von LogMeIn (LastPass) und Daniel Holzinger von Colited über Cloud, DSGVO und die Umsetzung von Passwortmanagement in der Praxis gesprochen.
Wann sollte man in einem Unternehmen die Frage nach einem Passwortmanagement Konzept bzw. einer Enterprise-Passwort-Management-Lösung stellen?
Wenn man bedenkt, dass über 70% der IT-Führungskräfte sagen, dass sie keine komplette Kontrolle über Cloud-Anwendungen der Mitarbeiter haben, dann wird die Herausforderung in diesem Kontext erkennbar. Darüber hinaus gehen rund 80% der Sicherheitsverletzungen auf gestohlene und / oder unsichere Passwörter zurück. Auch in der DSGVO, Artikel 32, wird davon gesprochen geeignete organisatorische und technische Maßnahmen zum Schutz personenbezogener Daten zu ergreifen. Da bis zum 25. Mai nicht mehr allzu viel Zeit bleibt, ist jetzt ein idealer Zeitpunkt sich darüber Gedanken zu machen.
Was sind die organisatorischen und technischen Herausforderungen?
Die Herausforderung besteht meist darin, die Anforderungen der IT-Abteilung mit den Wünschen der Mitarbeiter unter einen Hut zu bekommen.
Seitens der IT-Abteilungen gilt es einen Bericht über die Passwortsicherheit (mehrfache Verwendung identischer Login Informationen) der zu schützenden Applikationen zu erhalten und die immer höheren Compliance Anforderungen zu erfüllen. Hingegen wünscht sich der Anwender einen einfachen, reibungslosen Zugriff auf seine Anwendungen und keine zusätzlich auszuführenden Schritte.
Was kann eine moderne Enterprise-Passwort-Management-Lösung? Was ist bei der Auswahl entscheidend?
Für das IT-Management ist es essentiell, einen Überblick über alle Informationen auf einem zentralen Dashboard zu haben, um die Einhaltung von Richtlinien kontrollieren zu können und um aussagekräftige Berichte erstellen zu können. Technisch ist es erforderlich, dass sich eine Enterprise-Passwort-Management-Lösung mit dem Active-Directory synchronisiert und ein Single Sign-On ermöglicht. Auch eine flexible Multifaktor-Authentifizierung sollte ein Auswahlkriterium sein.
Wesentlicher Bestandteil aller Kontrolle ist das sogenannte Zero-Knowledge Model. So können alle administrativen und Compliance relevanten Reports erstellt werden, ohne die Passwörter der einzelnen User einsehen oder nutzen zu können.
Welche Faktoren sind bei der Umsetzung zu beachten?
Technisch ist eine Enterprise-Passwort-Management-Lösung in kürzester Zeit implementiert. Wichtig ist aber auch das begleitende Change-Management. Es gilt möglichst früh mit den Anwendern in einen Dialog zu treten und die Warum-Frage zu klären. Die Kommunikation muss primär darauf ausgerichtet sein, dass die Anwender mitmachen wollen, weil sie auch für sich selbst Vorteile erkennen. Kurze Online-Schulungen runden die Einführung ab und stellen sicher, dass die Enterprise-Passwort-Management-Lösung nachhaltig im Tagesablauf verankert wird.
