Bei der Behandlung von Passwörtern in Unternehmen können sicherheitsaffinen Menschen manchmal schon die Haare zu Berge stehen. Die Dokumentation von auch kritischen Passwörtern in einfachen, ungeschützten Dokumenten wird als selbstverständlich angesehen. Wie wird dabei eigentlich sichergestellt, dass Passwörter nur von den Personen eingesehen werden können, die dazu auch berechtigt sind und diese für ihre Aufgaben in der Firma benötigen? Sicherlich wird der eine oder andere diese Datei auch gleich noch in eine public Cloud synchronisieren. Dann ist schließlich auch die Verfügbarkeit gewährleistet. Ja, kann man so machen, muss man aber nicht.
Passwörter dürfen nicht allen zugänglich sein
Im IT-Grundschutz-Kompendium des BSI findet sich dazu eine Maßnahme „Hinterlegen des Passwortes“. Dort können Sie nachlesen, wie das Thema Passwortmanagement seitens der Behörde behandelt werden sollte. Nun werden Sie aber kaum drum herum kommen Passwörter aufzuschreiben, anders als in den Katalogen gefordert wird. Ist ja prinzipiell auch kein Problem, nur muss diese Dokumentation auf jeden Fall bestimmten Anforderungen genügen. So müssen die Passwörter immer sicher hinterlegt werden. Das bedeutet, dass sie um eine Verschlüsselung dieser Daten nicht herum kommen. Auch der dringend benötigte Passwortwechsel bei Ausscheiden von Mitarbeitern oder beim Wechsel eines externen Dienstleisters muss irgendwie organisiert werden. Was machen Sie denn, wenn nur der scheidende Mitarbeiter ein bestimmtes Passwort kennt? Ihn in Beugehaft nehmen und zwingen dieses heraus zu geben? Sofern Ihnen überhaupt bewusst ist, dass nur diese Person ein Passwort im Kopf oder irgendwo aufgeschrieben hat. Begeben Sie sich erst gar nicht in diese Situation. Finden Sie für sich einen internen Prozess der diese Anforderung regelt.
Ohne Verschlüsselung geht nichts
Sie benötigen eine Lösung, die Ihnen mindestens diese drei Funktionen bietet:
- Verschlüsselte Ablage von Passwörtern
- Einschränkung des Zugriffs auf einzelne Passwörter
- Revisionssichere Protokollierung der Zugriffe auf Passwörter
Mit der Dokumentationssuite Docusnap bekommen Sie mit jeder Edition der Software eine Lösung für diese Herausforderungen. Zum einen werden Passwörter verschlüsselt in der Datenbank abgelegt. Dazu wird eine einmalige Verschlüsselungsdatei erzeugt, die für den Zugriff auf die Passwörter benötigt wird. Zum anderen können Zugriffe auf einzelne Passwörter oder das komplette Passwortmanagement geregelt werden. Damit erreichen Sie eine granulare Steuerung einiger Passwörter bzw. Kategorien von Passwörtern. Darüber hinaus werden auch noch alle Zugriffe auf einzelne Passwörter protokolliert. Damit können Sie jederzeit nachvollziehen, wann welcher Mitarbeiter auf welches Passwort zugegriffen hat.
Wie kann eine Alternative dazu aussehen? Prinzipiell schwierig, denn bei jeder Dokumentation in Papierform werden Sie immer wieder auf die Herausforderung mit der Zugriffskontrolle und der Verfügbarkeit der Informationen stoßen. Und wie handeln Sie in Notfällen, wenn es beispielsweise in Folge eines Feuers gebrannt hat und Sie nicht mehr an die Informationen heran kommen? Vielleicht liegt die Passwortliste ja im Tresor, aber kommen Sie da ran? Vielleicht lässt die Polizei oder Feuerwehr Sie gar nicht ins Gebäude wegen Spurensicherung oder Einsturzgefahr. Sicherlich können Sie Passwörter in Microsoft Word oder einer einfachen Textdatei speichern. Vergeben Sie dann aber bitte nicht auch noch einen (wenig einfallsreichen) Dateinamen wie „Passwort.docx“. Einfacher geht es dann kaum mehr für potentielle Angreifer. Da liefern Sie die Informationen direkt auf einem Silbertablett. Leider können Sie den Zugriff auf einfache Dateien nur bedingt einschränken. Ein Administrator kommt trotzdem problemlos an den Inhalt einer Datei ran, wenn die Datei nicht verschlüsselt ist. Und einfache „Schutzmechanismen“ wie der Blattschutz in Microsoft Excel sind nun wirklich keine Barriere. Auch eine Einschränkung auf Dateisystemebene, z.B. durch NTFS-Rechte, ist im Allgemeinen nicht wirklich schwer zu umgehen.
Sie sollten sich deshalb einmal mit dem Prozess des Passwortmanagements beschäftigen und diesen einmal sauber abbilden. Vielleicht hilft Ihnen dabei auch der Blogbeitrag „Passwörter sicher dokumentieren“ noch etwas weiter und bringt Ihnen weitere Anregungen.