Eine Cybersicherheitslösung, die bei Unternehmen ebenso wie bei Privatpersonen immer mehr Anklang findet, ist die Kennwortverwaltung. Bei Kennwortmanagern handelt es sich um Anwendungen, die Kennwörter für Online-Konten speichern sowie absichern und damit vor einigen der schwerwiegendsten wirtschaftlichen Folgen eines Cyberangriffs schützen. Ein guter Kennwortmanager kann starke und einzigartige Kennwörter für jedes Unternehmenskonto generieren. Kennwortspeicherlösungen erschweren Kriminellen den Zugriff auf vertrauliche Daten und bilden dadurch die erste Verteidigungslinie in modernen Unternehmen.
Cybersicherheitsexperten empfehlen den Einsatz von Kennwortmanagern zur sicheren Speicherung von Konto-Anmeldedaten. Vor allem Unternehmen, Behörden und anderen großen Organisationen wird zur Installation von Kennwortmanagern auf allen vernetzten Geräten – Desktops, Laptops, Tablets und Smartphones – geraten. Da diese Institutionen wertvolle Daten generieren und speichern, sind sie häufig das Ziel von Cyberkriminellen. Wenn sie ihre Konten zuverlässig absichern, verringern sie die Wahrscheinlichkeit eines verheerenden Angriffs.
Vorteile von Kennwortspeichern
In vernetzten Arbeitsumgebungen nutzen Unternehmen dutzende Online-Konten. Da es schwierig sein kann, die Anmeldedaten für eine ganze Reihe von Konten im Blick zu behalten, steigt die Wahrscheinlichkeit, dass Mitarbeiter Abkürzungen nehmen und ihre Unternehmen für Cyberangriffe anfällig machen.
Benutzer nehmen bei der Einrichtung und Speicherung von Anmeldedaten ohne eine Kennwortspeicherlösung vor allem zwei Arten von Abkürzungen. Die erste Form ist die Mehrfachnutzung der Anmeldedaten, d. h. sie nutzen den gleichen Benutzernamen oder das gleiche Kennwort für mehrere Konten. Durch diesen Ansatz fällt es den Benutzern leichter, sich die Anmeldedaten zu merken. Allerdings macht er das Unternehmen anfällig für Bedrohungen. Die zweite Form der Abkürzungen ist das Festlegen schwacher Kennwörter, die einfach sind und sich dadurch leicht merken lassen. Wenn jedoch Bequemlichkeit höher gewichtet wird als Cybersicherheit, öffnet das Cyberangriffen Tür und Tor.
Im Prinzip ist es möglich, eine Reihe einzigartiger und komplexer Benutzerkennwörter für Konten zu erstellen und zu dokumentieren. Das ist jedoch aufwändig, denn dazu müssen Benutzer die auf Papier aufgezeichneten Anmeldedaten jederzeit mit sich führen. Zudem ist in größeren Unternehmen die Wahrscheinlichkeit groß, dass jemand seine individuellen Kennwortnotizen zu Hause vergisst.
Aus diesem Grund wurden Kennwortspeicherlösungen eingeführt, mit denen sichergestellt werden soll, dass vertrauliche Anmeldedaten sicher geschützt sind, ohne den Geschäftsbetrieb zu beeinträchtigen. Unternehmen, bei denen regelmäßig mehrere Geräte genutzt werden, können mit einem solchen Kennwortspeicher mehrere Kennwörter geräteübergreifend synchronisieren.
See Crowdstrike Falcon In Action
Laden Sie das Whitepaper Identity & Security: Addressing the Modern Threat Landscape herunter und erfahren Sie, wie Cybersicherheit und IAM die Mitarbeiter, Prozesse und Technologien moderner Unternehmen in einer immer schwierigeren Bedrohungslandschaft besser schützen können.
Jetzt herunterladenKennwortmanager schützen vor Cybersicherheitsbedrohungen
Kennwortspeicher sind an vernetzten Arbeitsplätzen unverzichtbar. Unternehmen, die keine sicheren Kennwortmanager nutzen, sind anfällig für Cyberangriffe wie Credential Stuffing und Password Spraying.
Sowohl Credential Stuffing als auch Password Spraying gehören zu einer Kategorie von Cyberangriffen, die als identitätsbasierte Attacken bezeichnet werden. Wie der Name verrät, missbrauchen diese Angriffe die Identität des Ziels, einschließlich Benutzername und Anmeldedaten. Untersuchungen des Threat Hunting-Teams von CrowdStrike Falcon OverWatch™ zeigen, dass 80 % aller Kompromittierungen auf Identitätsmissbrauch zurückgehen. Deshalb sind Kennwortspeicher ein wichtiger Bestandteil jeder robusten Cybersicherheitsstrategie.
Bei Credential Stuffing gelangen Cyberkriminelle an Anmeldedaten von einem System und versuchen damit, auf andere Systeme zuzugreifen. Diese Taktik ist deshalb beliebt, weil Benutzer häufig die gleichen Anmeldedaten für mehrere Konten nutzen. Beispielsweise könnte eine Person versucht sein, das gleiche Kennwort für Bankkonto, Kreditkarte und Social-Media-Konto zu nutzen, um sich die Anmeldedaten merken zu können. Da diese Vorgehensweise zu einem Sicherheitsrisiko führt, ist es wichtig, für jedes Konto ein individuelles Kennwort festzulegen und auf diese Weise Credential Stuffing zu verhindern.
Credential Stuffing ist in den letzten Jahren häufiger geworden, nachdem mehrere Milliarden Benutzernamen und Kennwörtern gestohlen oder geleakt wurden. Ein weiterer Faktor, der die Nutzung von Credential Stuffing beschleunigt hat, ist der technologische Fortschritt. Bots können relativ leicht für Credential Stuffing programmiert werden. Und schließlich hat der Wechsel ins Homeoffice während der COVID-19-Pandemie viele Unternehmen ohne umfassend implementierte Best Practices für Cybersicherheit kalt erwischt.
Eine etwas andere Taktik ist das Password Spraying, bei dem Angreifer versuchen, mit dem gleichen Kennwort auf mehrere Konten der gleichen Anwendung zuzugreifen. Wenn diese Angreifer, bei denen es sich um Personen oder Gruppen handeln kann und die im Cybersicherheitsbereich auch als Bedrohungsakteure bezeichnet werden, beim Zugriff auf ein Konto mehrere unterschiedliche Kennwörter ausprobieren, riskieren sie normalerweise eine Sperrung des Kontos. Beim Spraying über mehrere Konten können sie diese Sicherheitsmaßnahme jedoch unterlaufen. Diese Form von Brute-Force-Angriff, bei dem es sich um einen Versuch-und-Irrtum-Ansatz zur Identifizierung von Anmeldedaten handelt, ist insbesondere bei Unternehmen erfolgreich, bei denen Kennwörter von mehreren Angestellten gemeinsam verwendet werden.
Kennwortspeicherlösungen können helfen, Unternehmen vor Password Spraying und Credential Stuffing zu schützen. Manche Mitarbeiter eines Unternehmen haben Schwierigkeiten, sich die zahlreichen und jeweils individuellen Anmeldedaten zu merken. Ein Kennwortmanager kann ihnen diese Aufgabe abnehmen und sicherstellen, dass es keine Überschneidung zwischen Kennwörtern gibt, was Credential Stuffing unmöglich macht.
Auch beim Verhindern von Password Spraying sind Kennwortmanager nützlich. Eine zuverlässige Kennwortspeicherlösung kann die Verwendung starker und komplexer Kennwörter durchsetzen, die nicht erraten werden können. IT-Teams können diese Angriffe auch mit einer Anmeldungserkennung und durch die Implementierung starker Sperrrichtlinien abwehren.
Unterschiedliche Typen von Kennwortmanagern
Kennwortmanager sind eine Art von Single Sign On-Anwendung und benötigen nur ein Anmeldedaten-Paar, damit Mitarbeiter sich bei mehreren Konten anmelden können. Single Sign-On (SSO) ist außerordentlich benutzerfreundlich und wird heute von unzähligen Benutzern, Unternehmen und Behörden eingesetzt. Dennoch sind nicht alle SSO-Lösungen wirklich sicher, was auch für Kennwortmanager gilt.
Es sind verschiedene sehr unterschiedliche Kennwortmanager verfügbar, die über jeweils eigene Funktionen verfügen – einige davon eher schmückendes Beiwerk, während andere für die Cybersicherheit unverzichtbar sind. Durch die Wahl einer Lösung mit den richtigen Funktionen können Unternehmen sicherstellen, dass jeder Benutzer ein starkes Kennwort nutzt. Die besten Kennwortmanager zeichnen sich dadurch aus, dass sie Unternehmen die benötigten Funktionen zu einem optimalen Preis bieten.
Verschlüsselt oder unverschlüsselt?
Bei jedem Kennwortmanager ist Verschlüsselung absolut unverzichtbar. Ohne starke Verschlüsselung ist eine solche Lösung schlichtweg wertlos, denn wenn der Kennwortspeicher der Manager-Lösung nicht verschlüsselt ist, können Bedrohungsakteure mit einem Schlag an alle Kennwörter eines Unternehmens gelangen.
Integriert oder eigenständig?
Eine Reihe von Kennwortmanagern lassen sich als Plug-in-Tools vollständig in Webbrowser integrieren. Die Browser-Integration ist deshalb von Vorteil, weil damit Formulare in Websites automatisch ausgefüllt werden können, was die lästige manuelle Eingabe von Anmeldedaten überflüssig macht. Gleichzeitig stellt auch die Browser-Integration ein Cybersicherheitsrisiko dar und muss daher fallspezifisch überprüft werden.
Lokal oder cloudbasiert?
Cloudbasierte Kennwortmanager werden gegenüber lokalen Lösungen als überlegen betrachtet, da es damit ganz einfach ist, sich mit jedem Gerät bei einem Konto anzumelden. Eine lokale Kennwortspeicherlösung funktioniert nur auf einem Gerät und ist daher an einem modernen Arbeitsplatz nur von begrenztem Nutzen.
Ebenso wie Browser-Integrationen haben auch cloudbasierte Tools ihre ganz eigenen Schwachstellen. Allgemein gesagt ist ein zuverlässig verschlüsselter lokaler Kennwortmanager sicherer als eine zuverlässig verschlüsselte Cloud-Kennwortspeicherlösung. Bei der Wahl des für sie optimalen Kennwortmanagers müssen Unternehmen ein Gleichgewicht zwischen Benutzerfreundlichkeit und Sicherheit finden.
Kennwortgenerierung
Kennwortgenerierung ist eine weitere Funktion jeder Kennwortspeicherlösung. Ein guter Kennwortgenerator nutzt einen Algorithmus zum Generieren zuverlässiger Kennwörter. Mit dieser Funktion können Unternehmen schwache Kennwörter beseitigen und gewährleisten, dass ihre Anmeldedaten durch starke und einzigartige Kennwörter geschützt werden.
Es mag überraschend klingen, aber auch die Generierung zufälliger Kennwörter kann vorhersagbaren Mustern folgen, da einige Generatoren für zufällige Kennwörter lediglich pseudozufällige Algorithmen nutzen. Deshalb ist die Nutzung einiger Online-Kennwortgeneratoren auch mit Risiken verbunden. Cybersicherheitsexperten empfehlen entweder einen Open-Source-Generator, der von jedem Interessierten überprüft werden kann und daher als relativ sicher gilt, oder einen Kennwortmanager, dessen Algorithmus ein nachweislich zufälliges Kennwort generiert.
Multifaktor-Authentifizierung
Multifaktor-Authentifizierung (MFA) ist typisch für Branchen wie Finanzdienstleistungen und Gesundheitswesen sowie Strafverfolgung. MFA findet sich auch im Alltag wieder, beispielsweise bei der Benutzung von Geldautomaten, wo die Kombination aus Geldkarte und PIN-Code als zwei unterschiedliche Verifizierungsformen für das Bankkonto gelten. Diese Funktion ist für sichere Kennwortspeicherlösungen unverzichtbar.
Solche Lösungen können angepasst werden, um MFA anzufordern, wenn Mitarbeiter auf besonders vertrauliche Unternehmensdaten zugreifen. Auch wenn MFA die Sicherheit wertvoller Assets nicht garantieren kann, stellt sie doch eine erhebliche Hürde für Bedrohungsakteure dar.
Eine Form von Multifaktor-Authentifizierung, die biometrische Authentifizierung, wird für Unternehmen mit höchsten Anforderungen an die Cybersicherheit immer wichtiger. Diese Authentifizierungsform kann beispielsweise Augenscans oder Fingerabdrücke überprüfen und gilt als schwierig zu unterlaufen.
Speicheroptionen
Kennwortspeicherlösungen bieten auch unterschiedliche Speicheroptionen. Große Unternehmen benötigen einen unbegrenzten Kennwortspeicher, um Datenkompromittierungen zu verhindern. Alle gespeicherten Kennwörter, die von Mitarbeitern genutzt werden, müssen sicher im Kennwortspeicher gespeichert werden. Wenn Sie eine unbegrenzte Menge an Kennwörtern generieren und auf mehreren Geräten nutzen können, schützt das vor Datenkompromittierungen.
Vorteile und Risiken von Kennwortmanagern
Kennwortmanager sollen sowohl Sicherheit als auch Benutzerfreundlichkeit bieten. Mithilfe komplexer Kennwortkombinationen stellen sie sicher, dass jedes Unternehmenskonto zuverlässig abgesichert ist. Und da alle Kennwörter unter einem Dach gespeichert sind und der Anmeldeprozesses automatisch erfolgt, minimieren sie den Anmeldeaufwand für die Mitarbeiter. Das klingt nach einem optimalen Kompromiss.
Die Nutzung von Kennwortmanagern ist jedoch auch mit eigenen Risiken verbunden. Einige Sicherheitsexperten haben die Sorge, dass sie den Eindruck erwecken könnten, dass die Mitarbeiter sich nicht um Sicherheitsfragen zu kümmern brauchen. Tatsächlich sollten alle Mitarbeiter, die sich bei einem unternehmenseigenen Konto anmelden, ihren Anteil an der Absicherung wertvoller Unternehmens-Assets leisten.
Darüber hinaus weisen Cybersicherheitsspezialisten darauf hin, dass Unternehmen das Hauptziel von Angriffen sind und Kennwortmanager aufgrund ihrer Zentralisierung – ein wichtiges Argument für ihre Benutzerfreundlichkeit – für Bedrohungsakteure ein wertvolles Ziel abgeben. Nach Meinung der Experten ist nur ein Medienbruch, also das Aufschreiben von Anmeldeinformationen auf Papier, eine sichere Möglichkeit zum Speichern von Kennwörtern.
Fakt ist, dass kein Kennwortmanager vollkommen frei von Risiken ist. Deshalb empfehlen Cybersicherheitsexperten den Einsatz von Multifaktor-Authentifizierung für das Master-Kennwort des Kennwortmanagers. MFA kann sicherstellen, dass Bedrohungsakteure selbst mit Kenntnis des Kennworts nicht auf das Konto zugreifen können.
Alle Kennwortmanager haben ihre Grenzen. Wenn ein Bedrohungsakteur Anmeldedaten entdeckt und physisch auf ein Gerät zugreifen kann, wird keine Kennwortspeicherlösung die Daten lange schützen können. Deshalb ist physische Sicherheit eine wesentliche Komponente jeder Cybersicherheitsstrategie.
Wissenswertes über browserbasierte Kennwortmanager
Jeder große Webbrowser bietet einen integrierten Kennwortmanager. Diese Lösungen sind sehr bequem und die meisten füllen sogar automatisch Formulare für die Benutzer aus. Ihnen fehlen jedoch die starken Sicherheitsmaßnahmen, die für Unternehmen, die ihre wertvollen Informationen absichern möchten, unverzichtbar sind.
Beispielsweise speichert die Kennwortspeicherlösung von Google Chrome und Microsoft Edge die Kennwörter nur unverschlüsselt auf der Festplatte des Geräts. Wenn Bedrohungsakteure also auf die Festplatte zugreifen können, stehen ihnen alle Kennwörter des Unternehmens offen. Sofern die Festplatte selbst nicht verschlüsselt ist, öffnen diese Tools Cyberangriffen Tür und Tor. Der Kennwortmanager von Chrome und die Speicherlösung von Edge können zwar starke Kennwörter speichern, bieten jedoch keinen effektiven Schutz vor Cyberangriffen.
Einige browserbasierte Kennwortmanager wie der von Mozilla Firefox bieten Verschlüsselung. Der Firefox-Manager bietet jedoch keinen Kennwortgenerator, sodass das Unternehmen am Ende schwache Kennwörter nutzen könnte. Außerdem bietet er keine plattformübergreifende Synchronisation, da Firefox keine Synchronisation auf iOS-Geräten ermöglicht. Da das Arbeiten im Homeoffice in den nächsten Jahren wahrscheinlich zu einem festen Bestandteil des Arbeitslebens wird, kann das die Sicherheit erheblich gefährden.
Einrichtung eines Kennwortmanagers
Kennwortmanager lassen sich relativ einfach einrichten. Am wichtigsten ist dabei ist die Wahl des Master-Kennworts. Da es den Schlüssel zu allen Kontoinformationen des Unternehmens darstellt, muss das Master-Kennwort komplex sein. Ein komplexes Kennwort kann mit einem beliebigen Kennwortgenerator-Tool erstellt werden.
Es kann sinnvoll sein, das Master-Kennwort ganz altmodisch auf Papier aufzuschreiben. Multifaktor-Authentifizierung ist als Best Practice zur Anmeldung beim Kennwortmanager empfohlen. In einigen Fällen kann auch biometrische Authentifizierung die richtige Wahl für das Master-Kennwort sein. Selbst wenn Bedrohungsakteure dann Zugriff auf das Master-Kennwort erhalten würden, wären die Geschäftsgeheimnisse vor ihnen sicher.
Dabei ist jedoch wichtig zu verstehen, dass Bedrohungsakteure Möglichkeiten zur Umgehung der MFA gefunden haben. Beispielsweise zeigte eine Untersuchung von CyberArk Labs, dass vertrauliche Daten aus dem Arbeitsspeicher des Chrome-Browsers extrahiert werden können. Das ist allerdings nur möglich, wenn Bedrohungsakteure auf das Gerät mit Chrome zugreifen können, was eine Kompromittierung der physischen Sicherheit voraussetzt. Dennoch ist die bloße Möglichkeit gefährlich, da raffinierte Angreifer mithilfe eines gestohlenen oder verloren gegangenen Geräts Zugriff auf andere Geräte erlangen können – selbst wenn diese MFA nutzen.
Der nächste Schritt ist die Verwendung des Kennwortgenerators der Kennwortspeicherlösung, um alle schwachen in maximal sichere Kennwörter zu ändern. Alle Geschäftskonten sollten durch starke Anmeldedaten geschützt werden. Viele Kennwortspeicherlösungen bieten eine integrierte Sicherheitsprüfung, die die Stärke der Kennwörter analysiert und bei Bedarf Empfehlungen gibt.
Angesichts des häufigen Einsatzes von Credential Stuffing ist dringend davon abzuraten, Kennwörter für mehrere Konten zu verwenden. Deshalb sollten Kennwortspeicherlösungen die Benutzerkennwörter überprüfen können, um Duplikate zu identifizieren und zu ändern.
Abgesehen von vertraulichen Anmeldedaten können viele Kennwortmanager auch weitere Informationen wie Kreditkartendaten speichern. Die Sicherheit dieser wertvollen Assets wird per Verschlüsselung gewährleistet. Unternehmen können mithilfe dieser Funktionen die Nutzung sowie die Weitergabe von Informationen erleichtern.
Da Mobilgeräte heute ein fester Bestandteil vernetzter Belegschaften sind, empfiehlt es sich, den Kennwortmanager auf jedem Gerät einzurichten, das auf Unternehmensinformationen zugreift. Dabei können Smartphones und Tablets als Gateways für mehrere Konten dienen. Mitarbeiter sollten beim Notieren von Anmeldedaten niemals allein gelassen werden, denn andernfalls könnten sie auf die Idee kommen, dies auf unsichere Weise zu tun.