Starkes DSGVO-konformes Passwort-Management

safe-3407061_640Angesichts des hohen Werts unternehmenskritischer Daten ist die Notwendigkeit einer starken Authentifizierung aktuell wichtiger denn je – nicht zuletzt mit Blick auf die aktuelle EU-Datenschutzgrundverordnung (DSGVO).  Sicherheitslösungen wie der „YubiKey „von Yubico und die Passwort-Management Software „Password Safe“ von Mateso setzen genau hier an und können in Kombination angewendet für ein maximales Sicherheitsniveau sorgen.

Egal ob Cloud-Dienste, E-Mail-Konten oder Web-Interfaces von IT-Geräten – Mitarbeiter verwenden im Rahmen ihrer täglichen Arbeit eine Vielzahl an Unternehmensapplikationen und -systemen. Sind diese Applikationen nicht mit ausreichend komplexen Passwörtern geschützt, sind Datendieben in vielen Fällen Tür und Tor geöffnet. Laut des diesjährigen Verizon-Data-Breach-Investigation-Reports sind allein 81 Prozent aller Datenschutzverletzungen auf schwache Passwörter zurückzuführen.

Dabei sind Sicherheitsmängel innerhalb der Unternehmens-IT häufig hausgemacht. Denn um angesichts der Vielzahl an verwendeten Applikationen für Ordnung im alltäglichen Passwort-Wirrwarr zu sorgen, greifen viele Mitarbeiter mangels besseren Wissens häufig immer noch zu Papier und Stift – und das trotz strikter Compliance-Richtlinien. Dies hat nicht nur den Nachteil, dass das gesuchte Passwort unter Umständen nicht parat ist, wenn es benötigt wird. Im schlimmsten Fall können die Passwörter auch in falsche Hände geraten. Zudem dominieren in Unternehmen nach wie vor schwache beziehungsweise einheitliche Passwörter mit geringem Sicherheitsniveau (weniger als zwölf Zeichen, ohne Zahlen oder Sonderzeichen).

 

Aufholbedarf bei sicheren Passwörtern

Eine 2016 erschienene Studie von Sailpoint bestätigt den sorglosen Umgang mit Passwörtern. Danach verwenden allein 65 Prozent der Befragten ein identisches Passwort für mehrere Applikationen.  Insgesamt 20 Prozent der deutschen Befragten wären sogar bereit, ihre Zugangsdaten gegen eine vergleichsweise geringe Summe von 1000 Dollar an Dritte weiterzugeben.

Ein organisiertes und auf die Bedürfnisse der Mitarbeiter zugeschnittenes Passwort- und Zugriffsmanagement kann solchen Szenarien vorbeugen und helfen, Schwachstellen bei der IT-Sicherheit im Vorhinein zu vermeiden. Dies nicht zuletzt mit Blick auf die verschärfte EU-DSGVO.

 

Passwort-Management-Systeme schaffen Abhilfe beim Passwort-Wirrwarr

Ein Blick auf das Password-Safe-Dashboard vpn Mateso.
Ein Blick auf das Password-Safe-Dashboard vpn Mateso.

In Anbetracht der gestiegenen Sicherheitsanforderungen sind daher robustere Authentifizierungsverfahren gefragt, die zusätzliche Sicherheitsaspekte bieten. Um das Risiko eines Passwortdiebstahls bereits im Vorfeld so gering wie möglich zu halten, setzen Unternehmen deshalb vermehrt auf Passwort-Management-Systeme.  Die Software generiert hierbei schwer zu knackende Passwörter aus langen Zeichenfolgen.

Werden die Anmeldeinformationen beim nächsten Log-in benötigt, trägt die Software das Passwort automatisch ein.

 

Mehr Faktoren sorgen für mehr Sicherheit

Zugriffsberechtigungen für Benutzer oder Benutzergruppen können auf granularer Ebene festgelegt werden.
Zugriffsberechtigungen für Benutzer oder Benutzergruppen können auf granularer Ebene festgelegt werden.

Um sicherzustellen, dass das Benutzerpasswort nicht in falsche Hände gerät, empfiehlt sich zusätzlich der Einsatz einer Zwei-Faktor-Authentifizierung. Diese erweitert das vorhandene Passwort um einen zweiten Faktor und schafft somit eine zusätzliche Sicherheitsebene. Das Grundprinzip basiert auf einer Kombination aus den beiden Komponenten „Wissen“ und „Besitzen“. Will sich ein Anwender authentifizieren, benötigt dieser neben einem ihm bekannten Faktor (wie zum Beispiel Passwort oder PIN) zusätzlich eine zweite Komponente wie einen Hard- oder Software-Token. Der Zugriff auf die benötigte Ressource wird erst erteilt, wenn der durch den Token generierte Einmalcode zur Identifizierung nachgewiesen werden kann. Selbst wenn Kriminelle bereits im Besitz des Benutzerpassworts oder des jeweiligen Hardware-Tokens sind, können diese somit nicht auf sensible Daten zugreifen, da sie lediglich über einen der benötigten Faktoren verfügen. Genau an dieser Stelle setzt die Kombination aus Yubikey-Hardware-Dongle und der Password-Safe-Software an.

 

Yubikey und Password-Safe bieten im Zusammenspiel eine DSGVO konforme Lösung

Der Yubikey-Token von Yubico generiert nach Verbindung mit einem USB-Port per Knopfdruck ein Einmalpasswort.
Der Yubikey-Token von Yubico generiert nach Verbindung mit einem USB-Port per Knopfdruck ein Einmalpasswort.

Mit der Datenschutzgrundverordnung gelten deutlich verschärfte Bestimmungen hinsichtlich des Datenschutzes. Bei Zugriffen auf personenbezogene Daten wird beispielsweise auch eine starke Authentifizierung verpflichtend. Die Passwort-Management-Software Password-Safe von Mateso owie der Yubikey der schwedisch-amerikanischen Firma Yubico bieten zusammen eine DSGVO-konforme Lösung, welche sowohl Usability als auch Sicherheit effektiv miteinander vereint.

Beim Yubikey handelt es sich um einen Hardware-Schlüssel, der nach Verbindung mit einem USB-Port ein One-Time-Password generiert – ganz einfach per Knopfdruck. Er lässt sich in zahlreichen Szenarien einsetzen, bei dem starke Authentifizierung gefordert ist. Aufgrund seiner technischen Spezifikationen und der im Yubikey vereinten Funktionen kann der Hardwareschlüssel im U2F-Modus mit Online-Services wie Google, Facebook, Dropbox oder Salesforce genauso eingesetzt werden wie bei der zertifikats- und smartcardbasierten Anmeldung an Betriebssystemen. Ebenfalls möglich ist die Nutzung des Keys als Generator für Einmalpassworte, die zur 2FA-Anmeldung in klassischen Zwei-Faktor-Authentifizierungssystemen eingesetzt werden, an die sich wiederum Enterprise Services wie VPN-Gateways, Mail-Portale oder auch virtualisierte Desktop-Umgebungen anbinden lassen. Bei all diesen Anwendungsfällen ermöglicht der Yubikey eine starke Authentifizierung und erhöht so das Sicherheitsniveau der gesamten IT-Landschaft.

Während der Yubikey als zweiter Faktor sowohl den Zugriff auf den Passwordsafe absichern als auch eine starke Authentifizierung am eigentlichen Zielsystem gewährleisten kann, generiert Mateso-Password-Safe komplexe Passwörter und ermöglicht eine rollenbasierte Zugriffsberechtigung bis hinunter zur Datensatzebene. So können auf Basis eines Siegelsystems beispielsweise Freigaben für einzelne Datensätze erteilt werden. Damit diese erfolgt, muss eine vorab festgelegte Anzahl von freigabeberechtigten Nutzern zustimmen. Freigabeberechtigt können dabei Mitglieder einer entsprechenden Rolle oder namensbezogene Nutzer sein. Auf diese Weise können Administratoren genau festlegen, welche Benutzer beziehungsweise Benutzergruppen Zugang zu welchem Datensatz erhalten, und somit vorhandene Sicherheitsrichtlinien selbst auf granularer Ebene durchsetzen. Dank Reporting-Funktion haben IT-Verantwortliche dabei stets einen Überblick, welche Mitarbeiter auf welche Passwörter zugegriffen haben. Password-Safe kann dabei entweder im Ende-zu-Ende-Modus oder alternativ im Master-Key-Modus konfiguriert werden. Während der Ende-zu-Ende-Modus durch eine entsprechende End-to-End-Verschlüsselung höchste Sicherheit bietet, ist diese Lösung gleichzeitig mit einem erhöhten Aufwand bei der Administration verbunden. In einer Domäne müssen alle Benutzerinformationen, Organisationseinheiten und Rollenzugehörigkeiten sowohl in der Software Password-Safe als auch im Active-Directory (AD) angelegt werden, eine Verwaltung der Datensätze direkt im AD ist nicht möglich. Das führende System ist in diesem Konfigurationsmodus die Password-Safe-Software. Der Ende-zu-Ende-Modus wird speziell für besonders sicherheitssensible Umgebungen empfohlen. Weniger sicher, aber dafür äußerst komfortabel administrierbar ist der Master-Key-Modus. Hier findet die komplette Verwaltung aller relevanten Datensätze direkt und ohne Umwege im AD statt.  In diesem Fall ist das Active-Directory des Servers das führende System.

 

Fazit

Markus Senbert, Channel Manager bei Sysob
Markus Senbert, Channel Manager bei Sysob

Unternehmenskritische sowie personenbezogene Daten sind vielfältigen Bedrohungen ausgesetzt. Ihre Sicherheit sollte daher schon aus eigenem Interesse nicht dem Zufall überlassen werden. Ein Verstoß gegen die DSGVO kann schnell mit hohen Bußgeldern oder sogar einer Freiheitstrafe von bis zu drei Jahren geahndet werden. Umso wichtiger ist daher der Einsatz einer flexibel einsetzbaren Sicherheitslösung, welche auch die strengen Kriterien der DSGVO erfüllt. Die Kombination aus Yubikey-Hardwareschlüssel und Password-Safe-Software stellt hierbei eine valide Lösung dar. Durch das Zusammenwirken von USB-Dongle und leistungsstarkem Password-Safe-Tool wird ein Höchstmaß an Sicherheit erreicht. Darüber hinaus ist die Sicherheitslösung auch problemlos in umfangreiche IT-Infrastrukturen integrierbar und erlaubt Administratoren eine gleichsam umfassende wie auch individuelle Konfiguration.

Von Markus Senbert, Channel Manager bei Sysob

#Netzpalaver #Sysob #Mateso #Yubico

 

 

Sysob-Netzpalaver-Verweis