Identity Management

FAQ zur Passwort-Verwaltung

Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Unternehmen sind verunsichert was das Management von Passwörtern angeht. Die acht häufigsten Fragen beantwortet der Security-Spezialist Cyber-Ark.
Viele Firmen sind mit dem Passwort-Management überfordert; die Prozesse werden weitgehend manuell durchgeführt.
Viele Firmen sind mit dem Passwort-Management überfordert; die Prozesse werden weitgehend manuell durchgeführt.
Foto: pn_photo - Fotolia.com

Privilegierte Benutzerkonten von Administratoren stellen für Unternehmen ein hohes Sicherheitsrisiko dar, denn die Passwörter sind der Schlüssel zu sämtlichen kritischen Datenbeständen. Knapp zwei Drittel der deutschen Unternehmen setzen keine Lösung zur regelmäßigen, automatischen Änderung von Administratoren-Passwörtern ein. Das fand Cyber-Ark, ein US-Anbieter von Sicherheitssystemen, bei einer Umfrage unter mehr als 280 IT-Experten aus größeren deutschen Firmen heraus.

Unsicherheit beim Passwort-Management

Verschärfte regulatorische Anforderungen und Sicherheitsvorgaben zwingen Unternehmen aber zunehmend, die Verwaltung und Überwachung privilegierter Accounts mit einer speziellen Identity-Management-(IM)-Lösung zu zentralisieren und zu automatisieren. Doch bei vielen Unternehmen herrscht noch eine gewisse Unsicherheit in Bezug auf die technisch-organisatorischen Integrationsmöglichkeiten und den Funktionsumfang einer solchen Lösung. IT-Sicherheitsspezialist hat deshalb die acht häufigsten Fragen rund um das Passwort-Management gesammelt und beantwortet.

Frage 1: Ist die zentrale Speicherung von Passwörtern mit Risiken verbunden? Nein, aber Voraussetzung dafür ist, dass die eingesetzte IM-Lösung zur Passwort-Verwaltung mehrere unterschiedliche Security-Layer hat, Features für On-Time-Password-(OTP)-Token oder Zertifikate zur Authentifizierung und für die Zugriffskontrolle. Dadurch werde gewährleistet, dass nur autorisierte Anwender Zugang zu Passwörtern haben, die zudem verschlüsselt gespeichert sein sollten.

Frage 2: Nach welchen Regeln kann die automatisierte Passwort-Änderung erfolgen? Moderne Passwort-Management-Lösungen lassen sich an individuelle Security-Richtlinien anpassen. Anwender können die Komplexität, Passwortstärke und die Änderungszyklen weitgehend frei definieren. Das gilt auch für Workflows. Darin kann festgelegt sein, dass Benutzer, die ein Passwort anfordern, ein offenes und gültiges Ticket eingeben müssen, dessen Kennung mit dem Ticketing-System abgeglichen wird.

Zur Startseite