Während die Empfehlung für Firmen, einen Passwortmanager zu verwenden, immer lauter wird, können diese allein keine umfassende Passwortsicherheit bieten. Es bedarf einer umfassenden Strategie, die nicht nur die Software, sondern auch Organisationsstrukturen und klare Prozesse berücksichtigt. Neben dem Tool selbst müssen auch organisatorische Strukturen sowie klare und zuverlässige Prozesse etabliert werden, um einen verantwortungsvollen Umgang mit sensiblen Daten zu gewährleisten. Im heutigen Gespräch möchte ich tiefer in dieses Thema eintauchen und erfahren, wie die ALPEIN Software SWISS AG, die ihren eigenen Passwortmanager PassSecurium™ entwickelt hat, dieses kritische Thema angeht. Dafür habe ich mit dem CTO und CISO der Firma - Eugen Wiltowski - gesprochen.
Volker S.: Guten Tag, Herr Wiltowski. Vielen Dank, dass Sie sich Zeit für dieses Interview genommen haben. Heute sprechen wir über das Thema sicheres Passwortmanagement bei Ihnen in der Firma. Können Sie uns zunächst einen Überblick darüber geben, wie Sie bei ALPEIN Software sicherstellen, dass Passwörter effektiv und sicher verwaltet werden?
Eugen Wiltowski: Guten Tag, Volker S. Es freut mich, mit Ihnen über ein sicheres Passwortmanagement sprechen zu können. Bei ALPEIN Software haben wir eine klare Strategie, um die Sicherheit unserer Passwörter zu gewährleisten. Zunächst verwenden wir einen Passwortmanager mit Rollen- und Gruppenberechtigungen, der sicherstellt, dass nur die jeweils berechtigten Mitarbeiter Zugriff auf die ihnen zugewiesenen Konten und Ressourcen haben. Der verwendete Passwortmanager PassSecurium™ ist unser eigenes Produkt. Er wird ständig weiterentwickelt, basierend auf den Anforderungen unserer Produktverantwortlichen und Sicherheitsexperten, wobei selbstverständlich auch das Feedback unserer Kunden permanent berücksichtigt wird.
Volker S.: Das klingt nach einer ausgeklügelten Methode. Können Sie uns mehr über die Organisation der Passwörter und die Rollen innerhalb Ihres Unternehmens erzählen?
Eugen Wiltowski: Wir haben unsere eigene Organisationsstruktur erstellt, in der die Passwörter je nach Abteilung oder Art logisch und verständlich angeordnet sind und nur für die dafür berechtigten Mitarbeitergruppen zugänglich gemacht werden. Jede Mitarbeitergruppe hat einen Kollegen mit einer Managerrolle, welcher die Gruppe oder Abteilung organisiert und die Rechte und Rollen für seinen Zuständigkeitsbereich vergibt.
Volker S.: Wie stellen Sie sicher, dass die Passwörter den erforderlichen Sicherheitsrichtlinien entsprechen?
Eugen Wiltowski: Jeder Passwort-Ablagebereich ist mit bestimmten Passwortsicherheits-richtlinien definiert. Die kritischsten davon haben den sogenannten Sicherheitsstufenordner "Stark". Dieser Ordner verhindert die Ablage schwächerer Passwörter. Die Kriterien für die Sicherheitsstufen können von den Administratoren in PassSecurium selbst festgelegt werden. Dies ist äusserst praktisch, da die Sicherheitsanforderungen mit der steigenden Bedrohung durch Cyberkriminalität ständig wachsen und sich die Fortschritte in der IT permanent weiterentwickeln. Früher galt ein Passwort mit 8 Zeichen als sicher; heute sollten es mindestens 10 oder sogar 12 sein.
Volker S.: Das ist ein wichtiger Punkt. Wie gewährleisten Sie, dass die Mitarbeiter komplexe Passwörter verwenden?
Eugen Wiltowski: Unsere Mitarbeiter sind geschult, bei der Erstellung neuer Zugänge und Accounts ausschliesslich den integrierten Passwortgenerator zu nutzen. Damit stellen wir sicher, dass die Passwortkomplexität den Anforderungen des jeweiligen Ablageordners entspricht. Somit müssen sich die Mitarbeiter auch keine Passwörter merken, weil die meisten Passwörter durch die eingebauten Copy & Paste-Funktionen direkt eingegeben werden.
Volker S.: Verstehe! Viele Unternehmen nutzen Browser-Erweiterungen für ihr Passwort-management. Nutzen Sie solche Erweiterungen?
Eugen Wiltowski: Nein, wir nutzen keine Browser-Erweiterungen. Obwohl sie bequem sind, sind Browser und JavaScript häufige Ziele für Hackerangriffe. Hacker nutzen Zero-Day-Lücken aus, um Browser-Erweiterungen zu manipulieren. Daher empfehlen wir, auf Nummer sicher zu gehen. Wir raten unseren Kunden, keine Browser-Erweiterungen zu verwenden. Stattdessen bieten wir alternative Methoden, um Passwörter sicher abzurufen wie zum Beispiel über unsere Desktop-App. Die Sperrung von Browser-Erweiterungen kann übrigens direkt in den PassSecurium-Einstellungen vorgenommen werden.
Volker S.: Wie kontrollieren Sie den Datenaustausch von Passwörtern innerhalb des Unter-nehmens und nach aussen?
Eugen Wiltowski: Wir erlauben keine Weitergabe von Passwörtern ausserhalb des Passwortmanagers, weder über unseren internen verschlüsselten Chat noch über andere Wege, da dies immer digitale Spuren hinterlässt. Generell ist es ideal, Passwörter so zu verwenden, dass sie nicht im Klartext auf dem Bildschirm erscheinen. Die Passwortvergabe zwischen den Mitarbeitern erfolgt ausschliesslich über die Rechtevergabe und Sharing-Funktion, die von Administratoren oder Managern gesteuert wird. Eine Passwortvergabe nach aussen erfolgt derzeit über unser PassSecurium™, wobei die Dateifreigabe zeitlich begrenzt und durch ein eigenes Passwort geschützt ist. Wir erwägen auch die sichere Passwortvergabe direkt über PassSecurium™ an Kunden oder Partner.
Volker S.: Wie sorgen Sie dafür, dass der Zugriff auf den Passwortmanager von ausserhalb des Unternehmens geschützt ist?
Eugen Wiltowski: Der Zugriff auf unseren Passwortmanager erfolgt ausschliesslich über VPN. So stellen wir sicher, dass niemand von aussen auf ihn zugreifen kann. Wir empfehlen auch unseren Kunden unbedingt, mindestens eine Zwei-Faktor-Authentifizierung (2FA) mit unserer AccessSecurium-App zu verwenden, um den Zugang zum eigenen Passwort-Tresor zusätzlich abzusichern. Noch besser wäre es, mehrere Authentifizierungsfaktoren (s.g. MFA) gleichzeitig zu nutzen, wie beispielsweise die Kombination von VPN mit One-Time-Passwort (OTP) oder die Verwendung von OTP in Verbindung mit Yubikey-Hardware-Sticks, die wir selbst aktiv einsetzen. Leider sind die meisten Kunden damit überfordert. Es ist immer eine Herausforderung, ein Gleichgewicht zwischen Sicherheit und Komfort zu finden.
Volker S.: Vielen Dank für diese Einblicke in Ihr Passwortmanagement bei ALPEIN Software. Es ist offensichtlich, dass Sicherheit für Ihr Unternehmen höchste Priorität hat.
Eugen Wiltowski: Es war mir eine Freude, über unsere Sicherheitsmassnahmen zu sprechen. Wir bei ALPEIN Software sind uns der Bedeutung eines robusten Passwortmanagements bewusst und setzen alles daran, die Sicherheit unserer Daten und Ressourcen zu gewährleisten.
Ich danke Eugen Wiltowski für dieses aufschlussreiche Interview über die sichere Passwortverwaltung in seinem Unternehmen. Die vorgestellten Praktiken und Richtlinien können als Vorbild für andere Unternehmen dienen, die ihr Passwortmanagement besser und sicherer in den Griff bekommen wollen. Durch die Kombination eines Passwortmanagers, klarer Organisationsstrukturen und durchdachter Sicherheitsrichtlinien können Unternehmen den Umgang und die Ablage von sensiblen Daten wie Passwörter optimieren.
Allen Lesern dieses Interviews, die mehr über das sichere Passwortmanagement der ALPEIN Software SWISS AG oder deren Produkt PassSecurium™ wissen wollen, wird empfohlen sich via www.alpeinsoft.ch weiter zu informieren bzw. bei Bedarf die direkten Kontaktmöglichkeiten zu nutzen.