In grösseren Organisationen löst das der/die hausinterne Datenschutzbeauftragte in Zusammenarbeit mit der IT-Abteilung. Da werden dann (leider auch nicht immer!) ernst zu nehmende Passwörter vergeben und im Idealfall auch regelmässig erneuert. Diese ernst zu nehmenden Passwörter sind dann meist nicht „merkbar“. Der alte Witz mit dem kleinen gelben Zettel unter der Tastatur oder gar am Bildschirm ist immer noch aktuell und gar nicht lustig.
Nun bin ich zwar Geschäftsführer eines IT-getriebenen Unternehmens, glaube aber auch daran, dass Technik mich unterstützen soll und nicht ich mich der Technik unterwerfen müsse. Beim Stichwort Passwort gibt es für kleine und mittelständische Unternehmen mehrere Möglichkeiten, um komfortabel und sicher damit umzugehen. Aus meiner Sicht gibt es zwei Ansätze:
- Verzicht auf Passworte (ernst gemeint)
- Werkzeugeinsatz (Software)
Schlüssel statt Passwort
Beginnen wir mit dem provokanten Ansatz „Verzicht“. Wir setzen diese Methode seit Jahren zunehmend im Bereich Wartung & Administration ein. Ein Verfahren, das auf zwei Schlüssseln, genauer einem Paar Schlüssel beruht, ist in der Anwendung komfortabel und sicher in der Handhabung. Und das geht so:
Jeder Server, Router oder Switch hat eine Schlüssel-Verwaltung. Jeder zulässige Benutzer hat einen privaten Schlüssel (private key) und einen öffentlichen Schlüssel (public key). Der öffentliche Teil-Schlüssel wird auf dem Server hinterlegt. Will der Techniker nun auf diesen Server zugreifen, identifiziert er sich mit seinem privaten Schlüssel, der vom Server geprüft wird. Passen die beiden Teil-Schlüssel, wird der Zugang gewährt.
Das Verfahren der Private-Public-Key wird an vielen Stellen, so auch beim Verschlüsseln von eMail eingesetzt und ist anerkannt und bewährt. Die Schlüssel bestehen aus ASCII-Dateien. Der jeweilige private key muss natürlich entsprechend geschützt werden. Wie geht das am besten?
Unsere Techniker verfügen über hard- UND softwareverschüsselnde USB-Sticks, auf denen sowohl die Schlüssel-Sammlung als auch die Werkzeuge wie SSH-Client (für den Kommandozeilen-Zugriff auf Server), SCP-Client (zur gesicherten Datenübertragung) und weitere gespeichert sind. Die Daten selbst sind durch ein mehrstufiges Sicherheitskonzept geschützt.
Dieses Verfahren hat seine praktischen Grenzen. Wo diese jeweils liegen, hängt vom Unternehmen und seinen Arbeitsabläufen ab.
Werkzeugeinsatz (Software)
In vielen Szenarien kommen wir um Passwörter nicht herum. Und da wir viele Passwörter benutzen (nämlich für jeden Zugang ein anderes!), brauchen wir eine „Zettelsammlung“ für unsere Passwörter. Hier bieten sich kleine Datenbanken an, die selbst passwort-geschützt sind und idealerweise auf einem USB-Stick laufen. Die darin gespeicherten Passwörter können dann per Mausklick, durch Kopieren oder ganz simpel durch Abschreiben verwendet werden.
Einige dieser Datenbanken können auch Zusatzinformationen zu den Geräten speichern, sodass sich hier ein weiterer Mehrwert ergibt. Dieser Ansatz ist billig (das heisst: er kostet wenig Geld), sehr leicht zu handhaben und daher als Lösung immer dann zu empfehlen, wenn nicht unternehmensweit eine andere Art der Authentifizierung verwendet wird. Aber selbst dann ist diese Methode noch gut bei allen Zugängen, die eben nicht der unternehmens-IT zugehören.
Links
- https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2011/Passwortsicherheit_27012011.html
- https://www.sicher-im-netz.de/dsin-muster-passwortkarte
- http://www.sicherespasswort.com/
- https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html
- https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/Umgang/umgang_node.html;jsessionid=AEDA0D3BB24D90B0EFA17FC2FF8854F6.2_cid341
- http://www.chip.de/artikel/Passwort-aendern-Kostenlos-sichere-Passwoerter-erstellen-2_62307381.html
- http://www.chip.de/downloads/Password-Safe_17477253.html
- http://keepass.info/download.html
