Sichere Authentifizierung im Unternehmen – Passwort-Manager, SSO und welche Fehler Sie vermeiden sollten

bei

 / 16. Oktober. 2017

Authentifizierung betrifft jedes Unternehmen, egal welche Größe. Denn ein System kann noch so gut abgesichert sein, mit einem schwachen Passwort sind grundsätzlich alle Türen offen. Wenn Unternehmer die Verantwortung für gute Passwörter auf ihre Mitarbeiter abschieben, haben diese oft keine Wahl, als einfache Passwörter zu verwenden, die man sich leicht merken kann. Wenn hingegen ein System eingerichtet ist, das eine gute Passwortwahl für Mitarbeiter einfach macht, wird keiner test oder 1234 verwenden.

Bei Boxcryptor haben wir uns in letzter Zeit auf zwei verschiedenen Ebenen mit sicherer Authentifizierung auseinandergesetzt. Wir merken erstens, dass mit dem Wachstum unseres eigenen Unternehmens andere Anforderungen an Authentifizierung entstehen. Außerdem sind wir dabei, unser Produkt in Sachen Authentifizierung aufzurüsten. Die wichtigsten Faktoren dabei sind Single Sign-on und 2-Faktor-Authentifizierung.

Wir haben als Start-up mit drei Teammitgliedern gestartet und sind inzwischen bei 30 Mitarbeitern. Unsere ersten Unternehmenskunden waren ebenfalls vorrangig kleine Teams. Heute haben wir einige Kunden mit deutlich mehr Nutzern und durch das neu eingeführte Single Sign-on erhalten wir Anfragen von noch einmal größeren Teams. Nicht nur wir wachsen also, sondern auch die Unternehmen, für die wir unser Produkt entwickeln. Unsere Empfehlungen für kleine und größere Unternehmen, sowie unsere Tipps, welche Fehler zu vermeiden sind, basieren auf diesem Erfahrungsfundus, den wir als wachsendes Start-up im IT-Sicherheitsbereich mit wachsendem Kundenstamm generieren konnten.

Empfehlung für kleine Unternehmen und Start-ups: Passwortmanager

Jedes Unternehmen sollte die obligatorische Nutzung eines Passwortmanagers einführen. Einmal eingerichtet erhöht er die Passwortsicherheit enorm und gleichzeitig machen Unternehmen ihren Angestellten das Leben leichter. Der Nutzer merkt sich nur noch ein sicheres Passwort – das für den Passwortmanager – und alle weiteren Passwörter werden automatisch generiert und im Manager verwaltet. So können Mitarbeiter 16-stellige Passwörter ohne semantischen Zusammenhang und mit x-beliebig vielen Sonderzeichen nutzen, die die Erinnerungsfähigkeiten eines normalen Menschen bei weitem übersteigen würden.

Für die Erstellung des Passworts für den Passwortmanager sollten gewisse Standards und Richtlinien gelten, die Ihre Mitarbeiter einhalten müssen. Wie diese Standards leicht einzuhalten sind, sollte der Unternehmer den Mitarbeitern beibringen und sie auch hier nicht sich selbst überlassen. Denn ein genauso wichtiger Faktor für die IT-Sicherheit im Unternehmen ist Mitarbeiterschulung. Helfen Sie Mitarbeitern zu verstehen, warum bestimmte Standards wichtig sind und wie sie diese einfach einhalten können.

Fazit: Vorbildliche Authentifizierung im Startup bedeutet die Nutzung eines Passwortmanagers, im Idealfall mit zusätzlicher 2-Faktor-Authentifizierung.

Empfehlung für größere Unternehmen ab 50+: Single Sign-on

Unser Enterprise-Paket mit Single Sign-on gibt es zwar erst ab einer Anzahl von 50+ Nutzern, doch wir merken, dass wir intern schon bei 30 Mitarbeitern an die Grenzen unseres Passwortmanager-Systems stoßen. Immer wenn ein neuer Mitarbeiter oder ein Praktikant beginnt, müssen Zugänge geteilt werden. Bei stark wachsenden IT-Unternehmen, bei denen täglich Mitarbeiter hinzukommen, ist dies nicht mehr zu stemmen, höchstens auf Kosten des armen Systemadministrators.

Aber noch viel wichtiger ist das umgekehrte Szenario, wenn ein Mitarbeiter das Unternehmen verlässt. In allen geteilten Konten müssen Zugänge und Berechtigungen wieder entzogen werden und es geschieht schnell, dass dabei ein paar Accounts vergessen werden.

Die Lösung hierfür ist Single Sign-on, das nicht nur das Nutzermanagement erleichtert, sondern auch die IT-Sicherheit im Unternehmen erhöht. Mit Single Sign-on werden ausscheidende Mitarbeiter zuverlässig und an einer Stelle aus allen Accounts entfernt. Für erhöhte Passwortsicherheit legt die Administration im Idealfall an zentraler Stelle Richtlinien fest, die Passwortlänge und Sonderzeichenanzahl bestimmen. Das Passwort sollte nicht kürzer als 12 Zeichen sein und Sonderzeichen sowie Groß- und Kleinschreibung enthalten. Der Nutzer muss sich nur noch ein Passwort merken und mit diesem kann er sich bei allen Diensten anmelden. Der Administrator muss einen Nutzer nur an einer Stelle hinzufügen und nicht in jedem einzelnen Programm. In diesem Idealfall der Authentifizierung übernimmt das Unternehmen die Verantwortung für die Authentifizierung und lädt sie nicht beim einzelnen Mitarbeiter ab.

Ein Nachteil von SSO ist, dass die zentrale Authentifizierung auch einen zentralen Angriffspunkt bietet. Allerdings überwiegen die Vorteile bei weitem. Phishing-Attacken werden deutlich erschwert und es ist viel schwerer, einen auf Authentifizierung spezialisieren SSO-Anbieter zu hacken, als einzelne Tools, die im Unternehmen im Einsatz sind.

Fazit: Vorbildliche (sichere, systemadministrator- und mitarbeiterfreundliche) Authentifizierung im Großunternehmen bedeutet die Nutzung einer SSO-Lösung, im Idealfall mit 2FA.

Welche Fehler auf jeden Fall vermieden werden sollten

Auch wenn der eine oder andere Leser die folgenden Tipps für trivial halten sollte, er wäre erstaunt, wenn er wüsste, wie viele – auch große und etablierte Unternehmen – solche Praktiken noch heute einsetzen. Und das, obwohl sie sich ein Rundumsorglos-Paket mit Passwortmanager und SSO obendrauf, schön verschnürt mit 2FA, leisten könnten.

Fehler Nr. 1: Das Thema sichere Passwörter nicht ernst genug nehmen. Konsequenz: Erhöhte Gefahr, gehackt zu werden. Mehr als die Hälfte der Unternehmen in Deutschland wurden in den letzten zwei Jahren Opfer von Wirtschaftsspionage, Sabotage oder Datendiebstahl, wobei nur jedes dritte Unternehmen diese Vorfälle gemeldet hat (https://www.bitkom.org/Presse/Presseinformation/Spionage-Sabotage-Datendiebstahl-Deutscher-Wirtschaft-entsteht-jaehrlich-ein-Schaden-von-55-Milliarden-Euro.html). Schwache Passwörter und nicht erkannte Phishing-Attacken bieten die leichtesten Wege in die Systeme von Unternehmen.

Fehler Nr. 2: Verantwortung auf Mitarbeiter abwälzen, aka Passwörter von Mitarbeitern selbst verwalten lassen und keinen Passwortmanager zur Verfügung stellen. Konsequenz: Das gleiche Passwort wird für alle Dienste verwendet, die einzelnen Passwörter sind sehr leicht zu merken und dadurch leicht zu knacken, oder eine schriftliche Passwortliste wird geführt, die am besten direkt am Arbeitsplatz herumliegt.

Fehler Nr. 3: Mitarbeiter zum regelmäßigen Passwortwechsel zwingen. Konsequenz: Leicht zu merkende Passwörter, die durch das einfache Anhängen von einer Ziffer verändert werden. Aus Test wird dann Test1 und im nächsten Quartal wahrscheinlich Test12. Nicht, weil ihre Mitarbeiter nicht intelligent sind, sondern weil kein Mensch sich alle paar Monate gute, hochwertige Passwörter für zig Dienste merken kann. Selbst wenn Sie ausschließlich Genies beschäftigen, werden diese Genies ihre Intelligenz hoffentlich auf andere Dinge loslassen, als Passwörter.

Fehler Nr. 4: Keine 2-Faktor-Authentifizierung einrichten. Warum dies so wichtig ist, kann ich leicht an einem Beispiel aus den letzten paar Wochen zeigen. Vor kurzem kursierten Screenshots einer potentiellen Phishing-Attacke, in der Entwickler das Pop-up, in dem die Apple-ID abgefragt wird, perfekt duplizieren konnten (https://www.heise.de/mac-and-i/meldung/Passwort-Phishing-in-iOS-Apple-hat-ein-Pop-up-Problem-3856135.html). Optisch ist kein Unterschied zur Originalabfrage erkennbar. Bei Eingabe Ihrer Daten im Falle einer echten Phishing-Attacke würden Sie Ihre Apple-ID nicht an Apple, sondern an die Angreifer senden. Dass der fiktive Hacker in diesem Szenario die Daten erhält, kann der zweite Faktor nicht verhindern. Jedoch kann er mit den Daten nichts anfangen, wenn Sie eingestellt haben, dass die Apple-ID nur in Kombination mit einem zweiten Faktor benutzbar ist.

Fazit: Prüfen Sie die Passwortsicherheit im Unternehmen, für das Sie die Verantwortung tragen oder in dem Sie arbeiten. Schwache Passwörter zu benutzen ist ungefähr so als würden Sie abends die Bürotür offen lassen. Hacker können sich mit sehr geringem Aufwand Zugriff verschaffen.

Unser Verschlüsselungstool Boxcryptor, beispielsweise, verschlüsselt die Cloud so sicher, dass unberechtigte Dritte nicht mehr an die Daten kommen. Doch wenn ein Nutzer das Passwort passwort verwendet, hilft auch die beste Verschlüsselung nichts mehr. Ein Angreifer hätte eine sperrangelweit geöffnete Tür gefunden. Mit einem Passwort, das von einem Passwortmanager generiert wurde, hat er es schon schwerer. Mit zusätzlicher 2-Faktor-Authentifizierung müsste sich der Hacker außerdem Zugriff auf den zweiten Faktor verschaffen – beispielsweise das Smartphone des Mitarbeiters. Mit Single Sign-on und 2-Faktor-Authentifizierung sind Sie ebenfalls auf der sicheren Seite und Sie ersparen Ihrem Systemadministrator Kopfschmerzen, wenn Mitarbeiter kommen und gehen.

Der Autor: Robert Freudenreich ist Mitgründer und CTO des IT-Start-ups Secomba GmbH. Das Augsburger Unternehmen entwickelt seit 2011 die Cloud-Verschlüsselungslösung Boxcryptor, mit dem Ziel Dropbox und Co. für Unternehmen sowie Privatnutzer sicherer zu machen.

Vorheriger ArtikelDer Aufstieg der smarten Authentifizierung
Nächster ArtikelIT-Sicherheitsgesetz und EU-Datenschutzgrundverordnung