Sicherheit
24.04.2018
Zugangsschutz
1. Teil: „Sichere Passwörter in Unternehmen verwalten“

Sichere Passwörter in Unternehmen verwalten

Login FensterLogin FensterLogin Fenster
mama_mia / shutterstock.com
Passwortmanager erhöhen die Sicherheit in Unternehmen. com! professional vergleicht sechs Business-Programme zur Verwaltung von Login-Daten miteinander.
Meist wird erheblich unterschätzt, welche Flut an Zugangsdaten in einem Unternehmen jeden Tag benötigt wird. Zugangsdaten inklusive Passwörtern werden in jedem Unternehmen praktisch überall und ständig genutzt. Häufig handelt es sich dabei sogar um Zugänge, die sich mehrere Mitarbeiter teilen müssen, etwa zu Cloud-Diensten, Datenbanken oder Online-Dienstleistern. Während man dafür früher diverse Passwörter innerhalb der Abteilung weitergab, ist das heute nicht mehr nötig – und wäre auch fahrlässig.
  • Quelle: Hasso-Plattner-Institut
Ein im Passwortmanager hinterlegter Zugang dagegen öffnet zum Beispiel das Service-Portal eines Cloud-Anbieters und übergibt dann die Zugangsdaten. Auf diese Weise hat ein Mitarbeiter kontrolliert Zugang zu dem Service, ohne das Passwort selbst zu kennen. Und scheidet jemand aus der Firma aus, wird ihm einfach nur der Zugriff entzogen. Wüsste er die Passwörter, müssten alle Zugänge neu angelegt oder geändert werden – ein enormer Zeit- und Kostenaufwand für eine IT-Abteilung. Passwortmanager können das viel besser und bringen so nicht nur mehr Sicherheit, sondern sparen auch Kosten.
Passwortmanager spielen ihre Vorteile auch dann aus, wenn das häufige Wechseln von Zugangsdaten nicht infrage kommt, weil das Unternehmen dann zu Recht befürchten müsste, dass die Mitarbeiter zu gefährlichen Alternativen wie dem berühmten Zettel unter der Tastatur greifen. Solche Szenarien gehören der Vergangenheit an, wenn ein Passwortmanager zum Einsatz kommt, der die Zugangsdaten nach Abteilungen und Zugangsstufen getrennt verwalten kann.
com! professional hat sich sechs Passwortmanager angesehen, die ganz auf die Bedürfnisse von Unternehmen ausgelegt sind. Teils sind die Passwortmanager reine Cloud-Dienste, teils sind es Client-Server-Lösungen, die sich nur innerhalb des eigenen Netzwerks betreiben lassen. Einige bieten auch die Option, via firmeneigenen Server oder Webserver einen selbst kontrollierten Cloud-Dienst zu betreiben.
Konkret stellen wir folgende Programme vor: AceBit Password Depot, Dashlane Password Manager, Keeper Business, LogMeIn Lastpass, Mateso Password Safe und Pleasant Password Server.
Tabelle:

2. Teil: „AceBIT Password Depot“

AceBIT Password Depot

Die Client-Server-Lösung Password Depot steht klassisch im Unternehmen. Für die Workstations gibt es Software für Windows- oder Mac-Rechner. Die extra zu erwerbende Version für Windows-Server lässt sich neben der internen Nutzung auch für den externen Zugriff konfigurieren. Für die mobile Zusammenarbeit liefert der Hersteller AceBIT kostenfrei mobile Apps für iOS und Android mit.
  • Password Depot: Die Datenbank ist einfach strukturiert und wird im Unternehmen per Server-Version gesteuert.
Einzelne oder mehrere Passwort-Datenbanken lassen sich via Client anlegen und einstellen. Die Nutzerübernahme via Active Directory ist ebenfalls möglich. Eventuell vorhandene Zugangsdaten sind mit Hilfe eines Assistenten auch importierbar. Beim Einsatz der Server-Version lassen sich die Zugriffsrechte für Teams, Abteilungen und Gruppen festlegen. Dabei ist via Rechtemanagement jeder einzelne Eintrag steuerbar. Wird ein Datensatz oder Eintrag geändert, wird auch der Urheber dieser Aktion immer mitgespeichert. Sollen Nutzer keine Einsicht in den Datensatz haben, so lässt sich fest­legen, dass sie die Zugangsdaten zwar verwenden, aber nicht sehen dürfen.
Die Bedienoberfläche ist einfach gestaltet und benötigt nur wenig Schulungsaufwand. Um es noch weiter zu vereinfachen, lässt sich auch der zu nutzende Browser vordefinieren. Für diesen Fall bietet Password Depot Erweiterungen für die Browser Chrome, Firefox oder Internet Explorer. Wird ein Passwort gebraucht, reicht damit ein Klick und die Oberfläche steht bereit.
Sofern nötig, lassen sich einzelne Datenbanken auch auf eigenen Webserver-Storages oder Cloud-Speichern wie Dropbox, Google Drive, OneDrive, HiDrive oder Box ablegen. Der Einsatz eines definierten USB-Sticks ist ebenfalls möglich. Bei all diesen Optionen entfällt allerdings die Steuerungsmöglichkeit nach Teams und Gruppen.
  • Kennwort-Generator: Passwort Depot erstellt nach vorgegebenen Richtlinien hochsichere Schlüssel.
Auf bestimmten Ebenen dürfen Nutzer auch neue Zugänge und Passwörter speichern. Damit sie nur starke Passwörter verwenden, lässt sich der Einsatz des internen Passwortgenerators mit Schlüssellängen und weiteren Parametern definieren. Für noch mehr Sicherheit können Anwender sogar eine vorhandene virtuelle Tastatur für Eingaben im Internet verwenden.
Für den externen Zugriff stehen der Webclient oder Apps zur Verfügung. Die Anbindung an den eigenen Server erfolgt dabei verschlüsselt mit SSL/TLS und auf Wunsch mit Sicherheits-Zertifikaten. Der Datenaustausch zwischen dem Enterprise-Server und den externen Apps ist immer mit AES-256-Bit verschlüsselt. Für den erweiterten Schutz des Masterpassworts lässt sich auch der Einsatz einer Schlüsseldatei vorschreiben.
Sehr hilfreich ist außerdem die interne Kennwortanalyse über die gesamte Datenbank hinweg. Wurden zum Beispiel zu schwache Passwörter in die Datenbank importiert, lassen sie sich damit schnell herausfiltern. Wie schlecht die Pass­wörter sind, zeigen die Schlüsselstärke in Bit und die Zeit an, um das Passwort zu errechnen. Oft sind dies nur Minuten, dabei sollten es Jahre sein.
3. Teil: „Dashlane Password Manager“

Dashlane Password Manager

Für den Einsatz von Dashlane benötigen Unternehmen keine eigenen Server. Der gesamte Datenverkehr und die Zugangsdaten werden verschlüsselt transportiert und auf den Webservern von Dashlane abgelegt. Der Online-Service lässt sich mit Hilfe von Windows- oder Mac-Software auf lokalen PCs nutzen, per App auf Android und iOS sowie via Bedienoberfläche im Browser. Der in den Software-Clients angebotene Funktionsumfang und auch die Art und Weise der Bedienung sind allerdings sehr unterschiedlich.
  • Dashlane: Passwörter kann man mit einzelnen Benutzern, aber auch mit Gruppen teilen.
Windows-Version und Apps sind relativ einfach zu handhaben und sehr ähnlich im Funktionsumfang, wenn auch mit einer jeweils an­ders aufgeteilten Bedienoberfläche. Der Webclient wiederum ist nur rudimentär mit den nötigsten Funktionen ausgestattet.
Nicht immer einleuchtend ist die Bedienlogik von Dashlane. So gibt es zum Beispiel zwar in den Apps einen Passwortgenerator, bei dem das Passwort und seine Stärke angezeigt werden, scheinbar aber nicht im Webclient. Erst wenn im Web ein Formular zum Ausfüllen angezeigt wird, lässt sich per Klick mit der rechten Maustaste ein starkes Passwort mit Hilfe eines zuvor integrierten Browser-Tools generieren. Aber wie das Passwort lautet, wird nicht angezeigt. Das kann man höchstens nach der Rücküberspielung der neu gespeicherten Zugangsdaten aus­lesen.
Die Teamfunktionen von Dashlane sind nicht für große Unternehmen gedacht. Vielmehr lassen sich damit nur etwas größere Teams verwalten. Damit das leichter geht, gibt es eine Active-Directory-Inte­gration. Auch die Security Assertion Markup Language (SAML) eines Identitätsanbieter-Services wird unterstützt.
Wer seine Mitarbeiter allerdings per Hand einpflegen muss, hat einiges an Arbeit vor sich. Während die Festlegung von Teams und Gruppen noch recht einfach geht, lassen sich weitere Rechte für einzelne Mitarbeiter nur schwer definieren. Es gibt zwar ein paar globale Richtlinien, aber diese sind eigentlich für Gruppen oder Teams nicht relevant. So vermisst man etwa die Funktion, dass eine Aushilfe ein Passwort nutzen, es aber nicht sehen kann.
In Sachen Sicherheit setzt Dashlane wie alle anderen Passwort-Services auf die Verschlüsselung mit AES-256-Bit und bei den Verbindungen auf SSL/TLS. Bei jedem neuen Log-in via Browser oder App wird automatisch ein sechsstelliger Zugangscode per E-Mail versendet. Diesen muss der Nutzer samt Zugangsdaten eingeben.
Damit Mitarbeiter auch tatsächlich alle ihre Passwörter sicher speichern, lässt sich innerhalb von Dashlane auch ein privates Konto mitverwalten. Die privaten Einträge werden von Firmeneinträgen getrennt gehalten.
4. Teil: „Keeper Business“

Keeper Business

Der Online-Service von Keeper Business setzt zwar keine eigenen Server voraus, aber ein versierter Adminis­trator zur Einrichtung und Verwaltung ist dennoch Pflicht. Die Lösung wendet sich an größere Unternehmen und umfangreiche Teams. Der Zugang zu den Passwort-Datenbanken kann via Browser-Oberfläche, Windows- und Mac-Tool sowie per iOS- oder Android-App erfolgen. Die Verwaltung des gesamten Teams und aller Richtlinien läuft über eine Admin-Konsole im Browser.
  • Keeper: Neue Einträge in die Datenbank lässt man sich komfortabel vom Passwortgenerator des Programms erstellen.
Für die Einrichtung der Mitarbeiter lässt sich Keeper mit dem Zusatzmodul Bridge an Active Directory und LDAP-basierte Verzeichnis-Dienste anschließen. Das ist aber nicht Pflicht. Wird Keeper von einem kleinen Team genutzt, lassen sich Anwender auch mit einer einfachen Mail-Liste im CSV-Format einladen.
Für mehr Sicherheit kann Keeper für den Single-Sign-on-Zugang mit Keeper SSO Connect und einem Internetdienstleister mit SAML 2.0 ausgebaut werden. Soll eine Zweifaktor-Authentifizierung genutzt werden, steht der Verknüpfung via Duo-Services, RSA SecurID oder Google Authenticator nichts im Weg. Grundsätzlich liefert Keeper einen SMS-Service von Haus aus mit, der sechsstellige Zahlencodes für den erweiterten Log-in sendet.
Sind die User erst einmal im System vorhanden, kann ein Administrator leicht Teams anlegen, Rechte verteilen und Rollen einrichten. Innerhalb der Rollen lassen sich auch weitere Sicherheitsvorgaben festlegen, etwa Mindeststärke und Ablaufdatum für Passwörter oder Plattformbeschränkungen. Damit kann man sogar für jedes Team bestimmen, dass zum Beispiel nur der Webtresor oder nur die App genutzt werden darf. Innerhalb der Teams wiederum lässt sich gezielt definieren, was dort erlaubt ist. Beim Team „Aushilfen“ kann man so zum Beispiel die Datensatzweiterleitung, die Datensatzbearbeitung und das Betrachten von Passwörtern deaktivieren.
  • Sicherheits-Check: Keeper prüft die verwendeten Passwörter auf ihre Stärke und erkennt, ob sie mehrfach verwendet werden.
Wurde vor dem Einsatz von Keeper bereits eine Passwortverwaltung genutzt, lassen sich Datensätze direkt von dort importieren. Keeper stellt dafür ein Tool bereit, das rund 15 populäre Datentresore kennt und deren Daten übernimmt.
Die Verwaltung und Zuweisung der Passworteinträge auf einzelne Nutzer oder Gruppen ist einfach zu handhaben. Etwas unglücklich ist, dass bei der Freigabe eines Ordners mit diversen Passworteinträgen der Sammelordner verloren geht. Es werden nur die Einträge weitergegeben. Das erschwert dem Nutzer die Übersicht.
Die Daten legt Keeper immer hoch verschlüsselt mit AES-256-Bit und PBKDF2 ab. Man findet in der Lösung sehr viele Einstellungen und Bereiche, die ständig auf eine Verbesserung der Sicherheit in allen einzelnen Stufen bedacht sind, so zum Beispiel die Übersichtsseite der Sicherheitsprüfung. Sie zeigt eine Auswertung aller Passwörter an und stuft sie nach deren Sicherheitsgrad ein. Auf diese Weise kommt man Nutzern mit dürftigen Passwörtern auf die Spur und der Sicherheitsbeauftragte des Unternehmens kann sofort reagieren.
Neben Passwörtern nimmt Keeper auch weitere sensible Dateien im verschlüsselten digitalen Tresor auf, etwa Dokumente, Fotos und Videos. Danach lassen sie sich mit anderen Nutzern teilen. Zur Ablage stellt Keeper 1 Terabyte an Speicher bereit, der, ebenso wie die Anwendung selbst, bei Amazon AWS gehostet wird.
5. Teil: „LogMeIn Lastpass“

LogMeIn Lastpass

Das voll auf die Cloud aufgerichtete Angebot Lastpass von LogMeIn wendet sich mit der Variante Team an Unternehmen mit bis zu 50 Mitarbeitern und mit Enterprise an alles darüber. Die beiden Varianten sind hinsichtlich der Passwortverwaltung im Umfang nahezu gleich. Die Enterprise-Version gibt einem Administrator mehr Spielraum bei der Ausgestaltung der Richtlinien und der Rechte der einzelnen Gruppen. Auch der API-Zugriff, erweiterte Sicherheitstechniken wie Single Sign-on mit SAML oder mehr Zweifaktor-Authentifizierungen sind nur in der Enterprise-Version möglich. Das unterschiedliche Funktionsangebot schlägt sich im Preis nieder. Während ein Mitarbeiter beim Team-Tarif 29 Dollar pro Jahr kostet, sind es bei Enterprise 48 Dollar.
  • Lastpass: Mit dem Sicherheits-Check macht das Programm schnell alle schwachen Passwörter im Unternehmen ausfindig.
Die Enterprise-Version von Lastpass ist unterteilt in einen Passworttresor und eine Verwaltungskonsole. Innerhalb der Konsole werden alle Regeln, Richtlinien, Gruppen und Ordner definiert. Der Tresor kennt dann nur noch die Passwörter und spiegelt gleich die vergebenen Rechte der Nutzer und Gruppen wider. In der Konsole lassen sich alle Nutzer anlegen oder per Active Directory Connector Service übernehmen. Auch der Einsatz eines LDAP-Servers sowie der Anschluss eines Azure Active Directory oder einer Okta-Datenbank sind möglich. Kleine Teams können zudem schnell per CSV-Datei eingepflegt werden. Für neue Teammitglieder kann man Tresore vorab einrichten, um sie dann per vorgefertigter E-Mail dazu einzuladen.
Klassisch werden im Vorfeld Gruppen und Teams definiert, denen dann wiederum diverse Richtlinien zugeordnet werden. Davon kann man aber auch jederzeit abweichen und Mitglieder einzeln zu mehreren Teams hinzufügen. Zur besseren Übersicht lässt sich jeder Mitarbeiter mit all seinen Rechten anzeigen und verändern. Mit dieser freien Defini­tion kann man etwa auch eine Gruppe „Aushilfen“ gestalten, die zwar Passwörter für Zugänge nutzt, aber sie weder verändern noch sehen kann.
Kernstück der Passwortverwaltung sind neben den Gruppen und Teams die Passwörter und die Ordnerverwaltung. Damit lassen sich übersichtlich Passwörter für Bereiche sammeln und an Teams freigeben. Genauso schnell lassen sich bei Bedarf offene Ordner verändern oder entfernen.
Für den Zugriff unter Windows, Mac OS oder Linux gibt es keine gesonderte Software. Vielmehr werden nur Browser-Erweiterungen für Chrome, Firefox, Safari, Opera oder IE in­stalliert und so der Webclient bedient. Für den mobilen Zugriff stehen aber zusätzlich Apps für Android und iOS bereit.
Für besonders viel Sicherheit lässt sich einer von mehr als einem Dutzend Zweifaktor-Authentifizierungs-Services nutzen. Darunter sind Software-Services wie Google Authenticator, Duo Security oder RSA SecurID. Aber auch Hardware-Tools wie Yubikey oder Fingerabdruckscanner an mobilen Geräten lassen sich einstellen. Wie bei die Konkurrenz sind Verbindungen SSL/TLS-gesichert und die Verschlüsselung erfolgt mit AES-256-Bit, PBKDF2 SHA-256 und Salted Hashes.
Die Business-Version von Lastpass wurde soeben ins Deutsche übersetzt. Einzelne Teile der mehrheitlich in Deutsch gehaltenen Funktionen wechseln ab und zu noch ins Englische.

Marktüberblick: Passwort-Manager für Unternehmen (Teil 1)

Tabelle:
● ja ○ nein

6. Teil: „Mateso Password Safe“

Mateso Password Safe

Die Passwortmanager-Lösung Password Safe von Mateso gibt es in vier Editionen: Essential, Professional, Enterprise und Enterprise Plus. Die kleinste Version ist für Unternehmen kaum geeignet, da die Sichtsperre für Passwörter und die Zweifaktor-Authentifizierung fehlen. Diese finden sich zwar ab der Professional-Variante, dafür fehlt hier wiederum die für Unternehmen wichtige Active-Directory-Integration. Ab der Enterprise-Version wird es für größere Firmen spannend, da damit ein effektives Management stattfinden kann.
  • Mateso Password Safe: Teams können für einen schnellen Zugriff mit der Favoriten-Ansicht arbeiten.
Die Client-Server-Lösung des Programms lässt sich innerhalb der Firma im Intranet oder mit externem Zugriff nutzen. Die Server-Version verlangt entweder einen Windows-Server oder einen Webserver mit Apache oder Nginx. Für den Desktop gibt es nur eine Windows-Version. Nutzer aller anderen Systeme wie Mac OS oder Linux müssen über den auf Java­script basierenden Webclient auf den Datentresor zugreifen. Das gilt auch bei mobilen Zugriffen via Android oder iOS. Der Webclient passt sich immerhin durch responsives Design auf allen Geräten automatisch in der Größe an und ist gut bedienbar. Beim Zugriff via Browser gibt es für den Single-Sign-on-Zugriff Browser-Add-ons für Firefox, Chrome und IE.
Die im System eingetragenen Mitarbeiter lassen sich in Teams, Gruppen oder Abteilungen verwalten und mit Rollen und Richtlinien belegen, die man auch nach einer bereits aktiven Vergabe noch verändern kann. So lässt sich für Mitarbeiter die Nutzung von Zugangsdaten abstufen. Während etwa die Geschäftsleitung die Daten voll einsehen darf, ist für eine Aushilfe nur die Nutzung ohne Ansicht möglich. Zusätzlich ist eine zeitlich befristete Nutzung einstellbar, die automatisch ausläuft. Insgesamt ist der angebotene Funktionsumfang zu jedem Eintrag und den geordneten Passwortsammlungen sehr hoch. Was die Sicherheit angeht, so steht Mateso anderen Herstellern in nichts nach. Es wird die beste Verschlüsselung mit AES-256-Bit und PBKDF2 eingesetzt und RSA 4096 für Langzeitschlüssel. Der externe Zugriff erfolgt nur via SSL/TLS. Bei externen Zugriffen garantiert Mateso eine Ende-zu-Ende-Verschlüsselung.

Pleasant Password Server

Der in der Unternehmensversion Pleasant Password Server für Keepass genutzte Tresor ist eine speziell angepasste Version der Open-Source-Software Keepass. Der bei End­anwendern beliebte Passwortmanager ist relativ schmucklos, aber sehr funktionell. Die Standard-Version lässt sich allerdings nicht in einem Client-Server-Modell nutzen. Pleasant Solutions hat deshalb die Windows- und Mac-Version von Keepass sowie die Apps für An­droid, iOS und Windows Phone für einen Betrieb mit Server-Kontakt ausgerüstet und stellt auch eine vorbereitete Server-Version für Windows oder Windows-Server bereit. Ein Unternehmen kann dann frei entscheiden, ob es den Server intern oder extern in einem Rechenzentrum betreiben will.
  • Pleasant Password Server: Die Android-App ist zwar schmucklos, aber durchaus funktionell.
Interessenten können unter drei Ausbaustufen wählen: Community, Enterprise und Enterprise+. Die Community-Edition ist für kleine Teams gedacht. Ihr fehlen die Möglichkeiten, ein Active Directory oder LDAP zu nutzen. Weiterhin lassen sich Zugriffsrechte und Richtlinien für Gruppen und Teams erst ab der Enterprise-Edition zuweisen. Ab Enter­prise+ sind auch noch die Nutzung eines Universal-Single-Sign-on-Moduls sowie eines SSH-Proxys möglich. Die Lizenzpakete starten in allen Editionen ab fünf Nutzern und lassen sich in Fünferschritten bis zu Hunderten von Nutzern steigern. So kosten zum Beispiel 25 Nutzer der Enterprise-Version etwa 1700 Euro inklusive Updates für ein Jahr. Die Verwaltung aller Nutzer, Gruppen und Teams erfolgt über eine Admin-Konsole. Via LDAP oder Active Directory landen alle Nutzer schnell in der Verwaltung. Dort lassen sie sich weiter gruppieren und vorgefertigten Richtlinien zuweisen.
Auf der Bedienoberfläche findet sich auch eine vom Admin bearbeitbare Version des gesamten Passworttresors. Mit wenigen Mausklicks kann man hier definierte Zugänge oder ganze Verzeichnisse mit Zugangsdaten Nutzergruppen oder Teams zuweisen oder sie verweigern. Die Nutzungsrechte laufen intern über Zugriffsebenen, die sich frei anpassen lassen, auch wenn sie bereits zugewiesen sind. An dieser Stelle legt man zum Beispiel auch Zugriffsregeln für Aushilfen fest, damit diese mit Zugriffsdaten arbeiten können, ohne sie zu sehen.
Interessant ist das ausgefeilte Berichtswesen von Pleasant Password Server. Dort lassen sich zum Beispiel Passwort- und Zugriffsberichte ausgeben. Dabei ist es zugleich möglich, sämtliche Passwörter in der Datenbank auf ihre Schlüsselstärke zu prüfen. Unterschreiten Passwörter 40 Bit, werden sie sofort ausgefiltert. Damit Mitarbeiter in Zukunft keine zu schwachen Passwörter generieren, lässt sich ein Schlüsselprofil definieren, das die zu verwendenden Zeichen und somit die Schlüsselstärke vorgibt.
Für die Sicherheit der Passwörter und beim internen und externen Zugriff darauf sorgen ein 128-Bit-SSL-Zertifikat, ein FIPS-140-2-konformer AES-256-Bit-Algorithmus und ein Hash-Algorithmus SHA-512. Durch den frei wählbaren Server-Standort ist auch ein sicherer Betrieb ausschließlich im Intranet möglich.

Marktüberblick: Passwort-Manager für Unternehmen (Teil 2)

Tabelle:
● ja ○ nein


mehr zum Thema