Passwort-Manager wie Bitwarden, LastPass oder Dashlane erfreuen sich in Unternehmen immer größerer Beliebtheit. Mit ihrer Hilfe können Mitarbeiter zahlreiche Passwörter an einem zentralen, sicheren Ort verwalten. Das Risiko sinkt, dass aus Bequemlichkeit ein einfacher Notizzettel oder gar das immer gleiche, einfach knackbare Passwort verwendet wird.
Damit sich der Einsatz auch lohnt, sollten der Passwort-Manager Ihrer Wahl jedoch fünf entscheidende Kriterien erfüllen. Ich habe Sie Ihnen in diesem Beitrag zusammengestellt.
Zunächst sollten wir uns aber einmal im Schnelldurchlauf anschauen, wie ein Passwort-Manager funktioniert und welchen Nutzen er Ihrem Unternehmen dadurch bringt.
So funktioniert ein Passwort-Manager
Einen Passwort-Manager können Sie sich wie einen Tresor vorstellen. Hier werden alle Zugangsdaten inklusive zugehöriger Webseite hinterlegt. Nutzer können sich außerdem zu jedem Passwort Notizen anlegen – Antworten auf Sicherheitsfragen, Hinweise zum Passwort oder generelle Informationen, die sie beim Login nicht vergessen wollen.
„Verschlossen“ wird der Tresor mit einem Master-Passwort. Das ist ein Passwort, das nur der Nutzer selbst kennt – dem Anbieter des Passwort-Managers ist es nicht bekannt. Je nach Einstellung wird dieses Master-Passwort nur beim Login in den Passwort-Manager abgefragt, oder aber bei jedem einzelnen Aufruf von Login-Einträgen.
Bei sensiblen Einträgen kann der Passwort-Manager zusätzlich durch eine Zwei-Faktor-Authentifizierung gesichert werden. Zum Einloggen muss der Nutzer einen Code eingeben, den eine separate App zur Verfügung stellt.
Ruft der Nutzer jetzt den Login-Bereich einer Webseite auf, vervollständigt der Manager automatisch alle abgefragten Daten. Alternativ meldet er den Nutzer auch direkt an. Das macht die ganze Sache sehr bequem – und das ist auch schon einer der ersten Vorteile, die sich aus dem Einsatz eines Passwort-Managers für Unternehmen ergeben.
Was sind die Vor- und Nachteile von Passwort-Managern?
| Vorteile | Nachteile |
|---|---|
| Bequemes Verwalten aller Passwörter reduziert Mehrfachnutzung oder einfach zu merkende, aber unsichere Passwörter | Cloudbasierte Lösungen sind bei einem Internet- oder Server-Ausfall u.U. nicht erreichbar |
| Herumfliegende Notizzettel oder eigene Passwort-Listen in diversen Apps entfallen | 100 %-ige Sicherheit, mit denen Passwort-Manager für Unternehmen werben, ist nicht immer gegeben |
Hier stellt sich die Frage: Ist ein Passwort-Manager dann eine gute Wahl, wenn in Cyberangriffen scheinbar Daten abgegriffen werden können?
Art. 5 DSGVO verlangt von datenverarbeitenden Unternehmen:
(1) Personenbezogene Daten müssen
(f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
Das Risiko vor Datenpannen können Sie beim besten Willen nicht vollständig ausschließen. Was Sie aber tun können – und sollten: Maßnahmen treffen, um Datenvorfälle im Rahmen des Möglichen zu vermeiden.
In dieser Hinsicht ist ein Passwort-Manager für Ihr Unternehmen die bessere Wahl. Denn auf der einen Seite stehen handgeschriebene Zettel, die irgendwo in einer Schublade liegen. Passwörter wie „12345“, die der Einfachheit halber bei jedem zweiten Login genutzt werden. Oder Passwörter, die im Chat oder unverschlüsselten Mails mit Kollegen geteilt werden.
Auf der anderen Seite steht der Passwort-Manager, der Passwörter erstellt, die so sicher sind, dass Angreifer selbst bei Einbruch in den „Tresor“ mehrere Jahre, Jahrzehnte oder mehr bräuchten, um diese zu knacken. Und die je nach Anbieter in Hochsicherheits-Rechenzentren liegen, die in jedem Fall sicherer sind als der Server im Keller Ihres Unternehmens.
Welche Funktionen sollte ein geeigneter Passwort-Manager für Ihr Unternehmen haben?
Und an dieser Stelle merke ich: Ich habe schon eine wichtige Auswahl-Kriterien für einen guten Passwort-Manager für Ihr Unternehmen verraten. Gehen wir die relevanten Funktionen also jetzt im Detail durch.
Sicherheit steht bei der Auswahl eines Passwort-Managers für Ihr Unternehmen an oberster Stelle
Wenn der für Ihr Unternehmen gewählte Passwort-Manager Datendiebe freundlich zur Tür hereinbittet, hilft das Ihrem Unternehmen nicht. Achten Sie darauf, wo der Anbieter Ihrer Wahl Ihre Daten speichert. Bei Rechenzentren in Deutschland bzw. der EU können Sie sichergehen, dass die Vorgaben der DSGVO greifen. Der Einsatz der AES-256-Verschlüsselungstechnik spricht dafür, dass die Daten gut geschützt sind – ebenso wie eine Zertifizierung des Rechenzentrums nach ISO/IEC 27001 bzw. DIN EN 50600.
Der Hinweis Zero-Knowledge-Architektur ist ebenfalls von Bedeutung. Er sagt aus, dass der Anbieter selbst keinen Zugang zu Ihren hinterlegten Daten hat.
Informationen sollten „abschließbar“ sein
Eingangs hatte ich bereits beschrieben, dass Passwort-Manager über ein Master-Passwort geschützt sind. Achten Sie bei der Auswahl des Passwort-Managers für Ihr Unternehmen darauf, dass die Häufigkeit der Abfrage einstellbar ist. Denn: Wird das Master-Passwort nur beim Einrichten des Tools abgefragt, nicht aber beim Öffnen des Tresors, kann jeder Unbefugte in einer Art Kaufhaus-Rundgang bequem alle Passwörter einsehen.
Das wäre kontraproduktiv! Prüfen Sie also die Einstellungen und sensibilisieren Sie Ihre Mitarbeiter dafür, dass Datenschutz über Komfort geht. Dasselbe gilt übrigens für „eingebaute“ Passwort-Manager von Google oder Firefox.
Achten Sie auf einfache Nutzbarkeit, damit die Einführung des Passwort-Managers für Ihr Unternehmen gelingt
Stichwort Komfort: Ganz zu vernachlässigen ist der nicht. Denn ist die Handhabung des für Ihr Unternehmen gewählten Passwort-Managers zu umständlich, scheitert die Einführung schneller als gedacht.
Wie immer, wenn eine (digitale) Neuerung in der Belegschaft umgesetzt werden soll, gilt auch hier: Ihren Leuten sollte sofort klar sein, welchen Vorteil sie haben. Andernfalls greift man schnell wieder auf gewohnte Methoden zurück.
Einen echten Vorteil im Alltag bietet:
- Klare, intuitive Bedienung mit schnell auffindbaren Funktionen
- Erstellen sicherer Passwörter – auch nach Vorgabe, um Unternehmensrichtlinien einzuhalten (z.B. eine bestimmte Passwortlänge)
- Unterstützung aller Geräte und Betriebssysteme, die im Unternehmen genutzt werden
- Synchronisation und Nutzung auf mehreren Geräten gleichzeitig – kostenlose Versionen können z.B. meist nur auf einem Gerät genutzt werden und die Wechsel-Häufigkeit ist begrenzt
- Kategorisierung von Passwörtern – z.B. nach Art der Seite, nach Kunden, …
- Freigabe von Passwörtern an andere Nutzer
- Automatisches Ausfüllen der Eingabemaske beim Login
Hand in Hand mit der einfachen Nutzbarkeit geht auch die nächste Funktion.
Das Tool sollte über einen stets erreichbaren Support verfügen
Informieren Sie sich vorab: Bietet der neue Passwort-Manager für Ihr Unternehmen einen Support an? An wen können sich Mitarbeiter wenden, wenn etwas nicht funktioniert – seien es kleine oder große Probleme? Und ist dieser Support auch direkt erreichbar, oder antwortet er erst nach einigen Tagen, wenn das Problem schon langsam ausufert?
Für kleinere technische Komplikationen bietet es sich auch an, intern einen Kollegen zum Tool-Profi auszubilden.
Lassen sich Zugriffsrollen festlegen?
Je nach Unternehmen und Art der im Passwort-Manager verwalteten Passwörter lohnt es sich aus der Sicherheitsperspektive, nach einem Tool mit Rollen-Funktion Ausschau zu halten. So können Administratoren bestimmen, wer Zugriff auf welche Passwörter erhält und wer Login-Daten ändern darf.
Mein Fazit: Auf jeden Fall ausprobieren – aber Augen auf bei der Auswahl des Passwort-Managers für Ihr Unternehmen!
Mitarbeiter sind eine der größten Sicherheits-Risiken in Unternehmen und auch 2022 war „123456“ noch immer das mit Abstand beliebteste Passwort in Deutschland. Weniger als eine Sekunde brauchen Kriminelle, um es zu knacken – und schon stehen ihnen Tür und Tor offen.
Sensibilität für sichere Passwörter sollte deshalb Top-Priorität haben. Machen Sie Ihren Leuten bewusst, wie schnell Datendiebe mit laxen Passwörtern an sensible Daten kommen. Schulen Sie Ihr Team im Erstellen von sicheren Passwörtern – und sorgen Sie dann mit einem Passwort-Manager dafür, dass individuelle, sichere Passwörter für Ihr Unternehmen zum Alltag gehören. Anhand welcher Kriterien Sie gute Tools erkennen, wissen Sie ja jetzt!
