Password Manager? Haben doch eh alle massive Schwachstellen. Kann man die überhaupt im Unternehmenskontext nutzen? Worauf sollte der CIO achten?

Vorweg: wir halten Password Manager für ein unverzichtbares Instrument für Unternehmen, um die Sicherheit und Verwaltung von Passwörtern effektiv zu gewährleisten. Das sieht übrigens auch das BSI  so und hat wie so oft hervorragende Informationen zum Thema zusammengestellt. Als CIO stehen Sie also vor der Herausforderung, den richtigen Password Manager für Ihr Unternehmen auszuwählen, denn die Herstellenden-Vielfalt ist enorm: von Open Source Lösungen, bis zu hochintegrierten Systemen, die auch erweiterte Funktionen wie z.B. Privileged Access bieten. In diesem Artikel werden wir auf die inhaltlichen Punkte eingehen, auf die Sie bei der Auswahl eines Password Managers achten sollten, sowie wichtige Anforderungen und technische Differenzierungsmerkmale. Zudem schauen wir auf die Seite der Herstellenden.

Sicherheit

Die Sicherheit steht wenig überraschend an erster Stelle bei der Auswahl eines Password Managers. Beachten Sie folgende Punkte:

a) Verschlüsselung: Der Password Manager sollte eine starke Verschlüsselung verwenden, um die Passwörter sicher zu speichern und zu übertragen. Eine bewährte Methode ist die End-to-End-Verschlüsselung, bei der die Daten bereits auf dem Gerät des Benutzenden verschlüsselt werden und nur von diesem entschlüsselt werden können. Relevante Verschlüsselungsalgorithmen sind z.B. Advanced Encryption Standard (AES) mit unterschiedlichen Schlüssellängen (AES-128, AES-192 und AES-256), Blowfish (symmetrischer Blockverschlüsselungsalgorithmus), TwoFish als Nachfolgelösung von Blowfish und RSA (asymmetrischer Verschlüsselungsalgorithmus). Darüber hinaus geht es aber nicht nur um die technische Verschlüsselung:  sicherheitsrelevante Praktiken wie Salting, Hashing und Key-Derivation-Funktionen sollten ebenfalls im Produktkatalog des Herstellers erscheinen.

b) Mehrfaktor-Authentifizierung: Ein guter Password Manager sollte die Möglichkeit bieten, die Konten zusätzlich durch die Verwendung von Mehrfaktor-Authentifizierung zu schützen. Dadurch wird ein zusätzliches Sicherheitsniveau erreicht.

c) Umgang mit einem Masterpasswort: Es gibt Lösungen, die kommen komplett ohne Masterpasswort aus, in dem Sie z.B. auf die Built-in Security eines Smartphones setzen (inkl. Face-ID) oder alternativ YubiKey

d) Audit- und Überwachungsfunktionen: Um die Sicherheit zu gewährleisten, sollte der Password Manager Audit- und Überwachungsfunktionen bereitstellen. Dadurch können verdächtige Aktivitäten erkannt und mögliche Sicherheitslücken identifiziert werden. Eine typische Funktion für die Enterprise-Anwendung, da im Regelfall im Privatbereich kein SOC den sicheren Betrieb überwacht.

Benutzerfreundlichkeit

Die Benutzerfreundlichkeit spielt eine entscheidende Rolle, da sie die Akzeptanz und den effizienten Einsatz des Password Managers beeinflusst. Achten Sie auf folgende Aspekte und nutzen Sie Demos oder PoC’s, um sich nicht nur auf Folien zu verlassen:

a) Einfache Integration: Der Password Manager sollte nahtlos in die bestehende IT-Infrastruktur integrierbar sein. Er sollte mit den gängigen Betriebssystemen, Browsern und Anwendungen kompatibel sein.

b) Intuitive Benutzeroberfläche: Eine benutzerfreundliche Oberfläche ermöglicht den einfachen Zugriff auf gespeicherte Passwörter, das Hinzufügen neuer Konten und das Teilen von Passwörtern mit anderen autorisierten Benutzern. Auch eine umfangreiche Such-Funktion erleichtert die Bedienung.

c) Automatisches Ausfüllen von Anmeldeinformationen: Der Password Manager sollte die Funktion bieten, Anmeldeinformationen automatisch in Webformulare einzufügen, um den Benutzenden Zeit und Aufwand zu sparen. Am besten per Drag&Drop, Copy2Clipboard und Auto-Type.

Skalierbarkeit

Bei der Auswahl eines Password Managers ist die Skalierbarkeit von entscheidender Bedeutung. Stellen Sie sicher, dass der Password Manager in der Lage ist, mit dem Wachstum des Unternehmens und der steigenden Anzahl von Benutzenden und Konten umzugehen. Er sollte flexibel sein und eine einfache Verwaltung von Benutzerkonten ermöglichen. Skalierbarkeit ist selbstverständlich dann auch beim Preis ein relevantes Thema…

Support und Wartung

Ein zuverlässiger Support und regelmäßige Wartungsmaßnahmen sind wichtig, um eventuelle Probleme schnell zu beheben und die Software auf dem neuesten Stand zu halten. Achten Sie darauf, dass der Password Manager regelmäßige Updates und Patches erhält und dass ein guter Support zur Verfügung steht.

Umgang mit Schwachstellen (CVE)

Sie kennen den Satz, dass es keine fehlerfreie Software gibt und sehen am Update-Zyklus Ihres Smartphones den Beweis. Das gilt nun leider auch für die sicherheitskritischen Password Manager. Hier hat es in den letzten Jahren „berühmte“ Vorfälle gegeben. Aktuell (im Sommer 2023) warnt das BSI vor Schwachstellen im Produkt KeePassXC. Ende 2022 kam es zu einem vielbeachteten Vorfall beim beliebten Produkt LastPass.

Sie können viel Zeit in die Auswahl investieren – es wird Sie nicht absolut davor schützen, dass auch Ihr Produkt demnächst eine relevante Lücke aufweist. Wir halten aber für wichtig, wie die Herstellenden mit den Schwachstellen umgehen und natürlich auch, wie viele Schwachstellen es in Summe gibt. Auf Webseiten wie der National Vulnerability Datebase (von NIST) https://nvd.nist.gov/  oder https://www.cvedetails.com/  können Sie sich aktuelle und vergangene Sicherheitslücken zu den Produkten auflisten lassen.

Weitere technische Differenzierungsmerkmale

a) Cloud-basierte Lösungen: Einige Password Manager bieten cloudbasierte Lösungen an, bei denen die Passwörter sicher in der Cloud gespeichert werden. Dies ermöglicht den einfachen Zugriff von verschiedenen Geräten aus und bietet eine zusätzliche Sicherungsfunktion.

b) Integration mit Single Sign-On (SSO): Password Manager, die eine nahtlose Integration mit Single Sign-On (SSO) ermöglichen, bieten den Benutzenden ein einfacheres und sichereres Anmeldeverfahren für verschiedene Anwendungen und Dienste.

c) Passwortstärkeanalyse: Einige Password Manager bieten die Funktion der Passwortstärkeanalyse. Dadurch erhalten die Benutzende eine Einschätzung darüber, wie sicher ihre Passwörter sind, und können entsprechende Maßnahmen ergreifen.

d) Unterstützte Betriebssysteme: Windows ist meist der Standard, aber wie sieht es bei „Nischen“-OS aus, die für Sie relevant sind?

Herstellende und Preise

Wie so oft und gerade im Kontext mit CyberCompare die Frage nach dem besten Hersteller. Pauschal sehen wir keine klare Nr. 1. Es gibt besonders große und bekannte Anbietende wie 1Passwort, KeePass, LastPass oder Bitwarden, welche dementsprechend immer umfangreiche Features anbieten und über eine hohe Integrationsfähigkeit verfügen.

Allerdings tut sich viel auf dem Anbietendenmarkt, junge überzeugende Startups kommen hinzu und schneiden im 1:1 Direktvergleich wichtiger Kriterien nicht schlechter ab.

Im Folgenden eine Übersicht wichtiger Herstellender mit ebenfalls relevanten Bewertungen auf den einschlägigen und geschätzten Portalen der Kollegschaft von Gartner, G2 und Capterra. Teilweise gibt es hier Überschneidungen mit sogenannten PAM Tools (Privileged Access Management):

Bevor wir zum Fazit kommen, noch 2 Sätze zum kommerziellen Rahmen: wenn Sie den Einsatz zunächst nur für wenige User, z.B. Admins planen, können Sie in der Regel unkompliziert die Listenpreise auf den Webseiten des Herstellernden ablesen. Und ob Sie dann für 30 Admins 1.000, 2.500 oder 3.000 EUR p.a. zahlen ist sicherlich nicht umfangreiche Verhandlungen wert – da sollten Sie alleine auf Security, Usability und 2-3 Differenzierungsmerkmale schauen.

Ab 100 potenziellen Usern lohnen sich dann aber individuelle Anfragen bei Herstellenden oder Mitwirkenden und Sie erhalten Projektpreise, die sie dann (je höher der Preis) auch mit Marktbegleitenden vergleichen sollten.

Fazit

Zusammenfassend lässt sich sagen, dass die Auswahl eines Password Managers eine sorgfältige Prüfung verschiedener inhaltlicher Punkte erfordert. Die Sicherheit, Benutzerfreundlichkeit, Skalierbarkeit sowie technische Differenzierungsmerkmale sind entscheidende Kriterien bei der Auswahl. Ein gründlicher Vergleich verschiedener Anbietenden und die Berücksichtigung der individuellen Anforderungen Ihres Unternehmens helfen Ihnen dabei, den richtigen Password Manager zu finden, der Ihren Bedürfnissen gerecht wird und gleichzeitig die Sicherheit Ihrer Passwörter gewährleistet.

Da kommt CyberCompare ins Spiel, denn genau das ist unser Tagesgeschäft. Wir machen das nicht zum ersten Mal und können Sie individuell beraten und sicherstellen, dass Sie eine gute Lösung zu einem guten Preis einkaufen. Kontaktieren Sie uns einfach unter cybercompare@de.bosch.com

Übrigens: Der Artikel spiegelt unseren aktuellen Wissensstand wider – aber auch wir lernen jeden Tag dazu. Fehlen aus Ihrer Sicht wesentliche Aspekte, oder haben Sie eine andere Perspektive auf das Thema? Gerne diskutieren wir mit Ihnen und weiteren Experten in Ihrem Hause die gegenwärtigen Entwicklungen vertiefend und freuen uns über Ihr Feedback sowie Anfragen zu einem Austausch.

Und zuletzt noch: Nennungen (oder die fehlende Nennung) von Anbietern stellt keine Empfehlung seitens CyberCompare dar. Empfehlungen sind immer abhängig von der kundenindividuellen Situation.

Tage
Stunden
Minuten
Cyber Summit- Bridging IT & OT Security
18. April 2024 | 08:30 - 12:15 Uhr | Virtuelles Event
231219_BoschCC_Logo_White