Was ist ein Kennworttresor?

Ein Kennworttresor, Password Manager oder Kennwortspeicher ist ein Programm, das Benutzernamen und Kennwörter für mehrere Anwendungen sicher und in einem verschlüsselten Format speichert. Benutzer können über ein einziges „Master“-Kennwort auf den Tresor zugreifen. Der Tresor gibt dann das Kennwort für das Konto an, auf das sie zugreifen möchten.

Da sich Benutzer nur ein einziges Kennwort merken müssen, ist die Wahrscheinlichkeit größer, dass sie komplexe Kennwörter verwenden, die nicht leicht gestohlen oder kompromittiert werden können.

In Unternehmen weltweit werden immer noch schwache Kennwörter verwendet oder dasselbe Kennwort für mehrere Konten benutzt. Cyberkriminelle haben es dadurch leicht, Kennwörter zu stehlen, um in Unternehmensnetzwerke einzudringen. Kennwörter mit privilegiertem Zugriff sind für Cyberkriminelle besonders attraktiv, da sie einen „Schlüssel“ für den Zugriff auf eine Vielzahl von Ressourcen zu böswilligen Zwecken verwenden können.

Das Risiko solcher Angriffe steigt, wenn Unternehmen ihre Kennwörter nicht richtig verwalten. Ein Kennworttresor ist eine Möglichkeit für Unternehmen, das Risiko von kennwortbasierten Cyberangriffen zu minimieren.

Ein Kennworttresor ist ein Schlüsselelement des Privileged Access Management (PAM). Er ist ideal für Unternehmen, die ihre Benutzerkonten zentral und sicher schützen müssen. Die Anwendung ist benutzerfreundlich, da Benutzer sich nicht mehrere Kennwörter merken müssen. Außerdem trägt sie dazu bei, Best Practices in Bezug auf Kennwörter durchzusetzen und das Unternehmen vor Bedrohungen von außen zu schützen.

PAM ist am besten für Unternehmen geeignet, die privilegierte Konten überwachen, verwalten und schützen müssen. PAM isoliert die Kontrolle und Nutzung privilegierter Konten mit granularer Role-based Access Control (rollenbasierter Zugriffskontrolle, RBAC), um die Risiken eines versehentlichen oder böswilligen Missbrauchs von Anmeldeinformationen zu minimieren. Mit PAM können Unternehmen auch automatisch Auditierungsprotokolle erstellen und die Compliance-Anforderungen von DSGVO, ISO/IEC 27001 usw. erfüllen.

PAM besteht aus einem Password Manager, einem Zugriffsmanager zur Verwaltung des Benutzerzugriffs und einem Sitzungsmanager zur Erkennung, Verhinderung und Beendigung verdächtiger Aktivitäten. Wenn PAM als Teil einer umfassenderen Cybersicherheitsstrategie implementiert wird, kann es die gesamte Angriffsfläche reduzieren und Sicherheitsrisiken mindern.

Die durchschnittlichen Kosten einer Datensicherheitsverletzung aufgrund kompromittierter Anmeldeinformationen betragen 4,37 Millionen US-Dollar. Um solche Katastrophen zu verhindern, müssen Unternehmen ihre Kennwörter auf intelligentere Weise speichern können. Hier kommt der Kennworttresor ins Spiel.

• Sichere Speicherung von Unternehmenskennwörtern: Ein Kennworttresor ist eine sichere Methode zur Verwaltung und Speicherung von Unternehmenskennwörtern. Einige Tresore können zudem automatisch starke, sichere und eindeutige Kennwörter zum Schutz von Anwendungen generieren.

• Benutzerfreundlich: Benutzer müssen sich nicht mehrere Kennwörter merken, um sich bei mehreren Konten anzumelden, sondern nur ein einziges starkes Masterkennwort, das den Tresor öffnet.

• Verhinderung von Kontokompromittierung und Datensicherheitsverletzungen. Kennwörter werden nach dem Zufallsprinzip generiert, wodurch sie schwieriger zu Hacken sind und Konten vor dem Missbrauch von Anmeldeinformationen oder Verstößen geschützt werden.

• Einfachere Kennwortrücksetzung: Wenn ein Konto gehackt oder ein Kennwort kompromittiert wurde, lassen sich Kennwörter einfach zurücksetzen oder ändern.

• Mehrere Anmeldemethoden: Einige Kennworttresore verfügen über eine integrierte Multi-Faktor-Authentifizierung (MFA), sodass sich der Benutzer, selbst wenn er sein Masterkennwort vergisst, über ein Einmalkennwort (OTP), einen Fingerabdruck usw. beim Tresor anmelden kann.

• Bedrohungswarnmeldungen: Bestimmte Tresore warnen Benutzer vor potenziellen Phishing-Versuchen, damit sie nicht auf bösartige Links klicken oder bösartige Anhänge in gefälschten E-Mails herunterladen.

• Geräteübergreifende Synchronisierung: Einige Password Manager synchronisieren die Anmeldeinformationen über mehrere Betriebssysteme und Geräte hinweg, was den Anmeldevorgang weiter vereinfacht.

• Ein zentraler Schwachpunkt: Wenn ein Cyberkrimineller das Masterkennwort in die Hände bekommt, kann er alle Kennwörter auf einmal stehlen und letztlich mehrere Konten gefährden.

• Anfällig für Malware: Wenn das Hauptkennwort auf einem von Malware befallenen Computer verwendet oder gespeichert wird, kann dies alle anderen vom Tresor kontrollierten Kennwörter gefährden.

Ein Password Manager für Unternehmen ist ein zentralisiertes System mit integrierten Sicherheitskontrollen, die verhindern, dass Cyberkriminelle die Kennwörter des Unternehmens für böswillige Zwecke missbrauchen. RBAC schränkt den Kennwortzugriff auf Grundlage der Rolle einer Person ein, sodass Mitarbeiter nur auf die Konten zugreifen können, die sie für ihre Arbeit benötigen.

Kennworttresore für Unternehmen verschlüsseln Kennwörter mit Standards wie AES-256, enthalten integrierte Zufallsgeneratoren für Kennwörter, unterstützen das automatische Zurücksetzen von Kennwörtern und ermöglichen es Administratoren, Kennwortrichtlinien durchzusetzen. Einige Tools sind auch mit MFA ausgestattet, um zusätzliche Sicherheit zu bieten.

Es gibt zwei Arten von Kennworttresoren für Unternehmen:

1. Desktop-basiert: Desktop-basierte Tresore speichern Kennwörter sicher und lokal auf einem Gerät. Wenn also das Gerät beschädigt wird, gestohlen wird oder verloren geht, verliert der Benutzer alle darauf gespeicherten Kennwörter.

2. Cloud-basiert: Ein Cloud-basierter Password Manager verschlüsselt und speichert Kennwörter in der Cloud, sodass Benutzer von jedem Gerät oder Browser aus auf den Tresor zugreifen können.

Webbrowser fordern die Benutzer auf, ein Masterkennwort zu erstellen, bevor sie sich bei bestimmten vom Browser unterstützten Anwendungen oder Services anmelden. Nach dem Einrichten des Masterkennworts kann sich der Benutzer in den Kennworttresor des Browsers einloggen, um sofort auf alle seine Konten zuzugreifen. Der Tresor speichert das Kennwort für die Dauer der Sitzung, synchronisiert Kennwörter über mehrere Geräte hinweg und füllt sie bei Bedarf automatisch aus.

Ein Nachteil dieser Tresore ist, dass keine automatischen Kennwortgeneratoren integriert sind, sodass der Benutzer eigene Kennwörter erstellen muss. Für Benutzer, die automatisch generierte sichere Kennwörter benötigen, ist es besser, dedizierte Kennworttresore zu verwenden.

Ein browserbasierter Tresor ist bequem, aber nicht sehr sicher. Wenn ein Cyberkrimineller Zugriff auf das Gerät des Benutzers erhält, kann er sich bei allen Konten und Anwendungen anmelden. Im Gegensatz zu einem dedizierten Kennworttresor kann ein browserbasierter Tresor nicht proaktiv nach Schwachstellen suchen oder Warnmeldungen ausgeben, wenn das Konto kompromittiert wird.

Obwohl ein Kennworttresor eine sichere Methode zum Speichern von Kennwörtern ist, sind diese Kennwörter immer noch anfällig für Brute-Force-, Phishing-, Keylogger- und andere Angriffe. Außerdem kann der Verlust oder die Kompromittierung des Masterkennwort zur Kompromittierung aller mit diesem Kennwort gesicherten Konten führen.

Ein Kennworttresor kann gehackt werden, wenn das Gerät mit Malware infiziert ist, die das Masterkennwort aufzeichnet, wenn es eingegeben wird. Cyberkriminelle können dann vollständigen Zugriff auf das Gerät und das Konto erhalten. Kennworttresore mit schlechter Verschlüsselung und fehlender MFA sind besonders anfällig für Hacks und die Kompromittierung von Zugangsdaten.

Wenn ein Benutzer sein Masterkennwort vergisst, kann er möglicherweise trotzdem auf den Tresor zugreifen. Dies hängt jedoch vom Tresor selbst ab. Bei einigen Tresoren können Benutzer ohne Kennwort überhaupt nicht mehr auf den Tresor zugreifen. Wenn der Benutzer also sein Masterkennwort vergisst, muss er den Tresor löschen (nachdem er eine Datensicherung erstellt hat), einen neuen Tresor anlegen und diesen mit einem neuen Masterkennwort schützen.

Bei einigen Tresoren kann der Benutzer mit einem OTP und dem zugehörigen E-Mail-Konto auf den Tresor zugreifen. Anschließend muss er das Masterkennwort zurücksetzen. Wenn er auch auf das E-Mail-Konto nicht mehr zugreifen kann, muss er den Tresor löschen – wodurch alle Kennwörter verloren gehen – und einen neuen Tresor anlegen.

Der beste Weg, solche Probleme zu vermeiden, ist, das Masterkennwort an einem physisch sicheren Ort zu hinterlegen. Einige Password Manager bieten auch Sicherungscodes, um das Kennwort zu ändern oder wieder in den Tresor zu gelangen. Aber auch hier ist es wichtig, diese Codes an einem sicheren Ort außerhalb des Tresors aufzubewahren.

Wenn Unternehmen strengere Kennwortrichtlinien einführen, beginnen sie oft mit Password Managern, damit die Mitarbeiter ihre Kennwörter in einer verschlüsselten, relativ sicheren Umgebung speichern können. Ein Grund dafür ist, dass die Mitarbeiter die Kennwortverwaltung auf ihre To-Do-Liste setzen müssen. Außerdem müssen sich die Benutzer bei Kennworttresoren immer noch bei jeder Anwendung anmelden, was viel Zeit kosten kann. Aus diesen Gründen sind Password Manager für viele Unternehmen unzureichend.

Single Sign-On (SSO) ist eine sichere Lösung, mit der sich Benutzer mit einem einzigen Benutzernamen und einem zugehörigen Kennwort bei mehreren Konten – sowohl lokal als auch in der Cloud – anmelden können. Dadurch wird ein nahtloser und sicherer Zugriff über mehrere Systeme hinweg ermöglicht.

SSO ist in der Regel Teil einer Identity and Access Management-Lösung (IAM), die das Verzeichnis des Unternehmens verwendet, z. B. Microsoft Active Directory, Azure Active Directory oder ein von der SSO-Lösung bereitgestelltes Verzeichnis. Außerdem werden standardisierte, weithin akzeptierte Protokolle wie SAML oder OAuth und Technologien wie digitale Zertifikate verwendet, um Sicherheit auf Unternehmensebene zu gewährleisten.

SSO ist sicherer als Kennworttresore, da es die Häufigkeit der Anmeldungen und die Anzahl der gespeicherten Anmeldeinformationen reduziert. Außerdem werden Kennwörter nicht weitergegeben. Stattdessen übergibt SSO nach der Anmeldung Token an die Anwendung oder Website, die die Authentifizierung anfordert. Dadurch wird die Angriffsfläche verringert und die Wahrscheinlichkeit von Cyberangriffen minimiert. Außerdem lässt sich SSO einfacher verwenden als Kennworttresore und es müssen nicht mehrere Kennwörter verwaltet werden, was die Benutzer entlastet.