21. Juni 2010 - Zugangskontrolle

Passwort-Manager: Hilfreich oder gefährlich?

Soll man einen Passwort-Manager nutzen oder nicht? Vor dieser Frage stehen viele Unternehmen, die dem Problem begegnen wollen, dass sich starke Passwörter nicht immer leicht merken lassen. Gegner der Passwort-Manager sehen die Gefahr, dass das Master-Passwort in falsche Hände geraten könnte. Befürworter argumentieren mit den viel zu einfachen Passwörtern, die andernfalls ausgewählt und genutzt werden. Doch beide Parteien greifen in ihrer Argumentation zu kurz.

passwort-manager-hilfreich-oder-gefahrlich.jpeg
Dank Passwort-Manager: Nie wieder ein Passwort vergessen! Doch wie sicher ist das? (Bild: Thinkstock)

Passwörter wie „admin123“, „iloveyou“ oder „Passwort“ sind im Unternehmensalltag keine Seltenheit. Sie stehen immer wieder auf den Top-Listen der am häufigsten genutzten Passwörter. Sie stellen keinen sicheren Zugangsschutz dar, sondern vielmehr ein massives Sicherheitsproblem.

Nun ist es nicht einfach die Bequemlichkeit, die zu solchen Passwörtern führt, sondern auch die Vergesslichkeit und die mangelnde Sensibilisierung, wie wichtig die Wahl eines sicheren Passworts ist. Es ist aber auch ein Zeichen mangelnder Unterstützung bei der Passwortwahl.

Passwort-Manager als Gedächtnisstütze?

Die Optionen bei der Wahl eines Passworts aus Sicht vieler Mitarbeiter sind

  • die Verwendung eines einzigen Passworts für alle Anwendungen,
  • die Nutzung sehr einfacher Passwörter, mitunter sogar nur eines einfachen Passworts,
  • das Notieren der Passwörter auf einem Zettel oder
  • das Speichern des Passworts in der jeweiligen Applikation oder in einer einfachen Textdatei, die auf dem Desktop liegt und vielleicht sogar den Namen Passwort.txt trägt.

Wenn man an diese Vorgehensweisen denkt, wird schnell der Ruf laut nach einer Software, die für jede Anwendung verschiedene, sichere Passwörter generiert und geschützt abspeichert. Solche Programme nennen sich meist Passwort-Manager und erhitzen die Gemüter bei Sicherheitsdiskussionen.

Passwort-Manager als Datenrisiko?

Während die Anhänger der Passwort-Manager argumentieren, nur so könnten starke Passwörter trotz Vergesslichkeit durchgesetzt werden, verweisen die Gegner auf die Gefahr, dass ein Verlust des Passworts für den Passwort-Manager (Master-Passwort) zu einem Verlust aller Passwörter führen kann, aber auch zu einer Eintrittskarte in alle Systeme auf einen Streich.

Falls Sie bislang diese Diskussion noch nicht in Ihrem Unternehmen hatten, dürfte es nicht mehr lange dauern, bis es soweit kommt, da die Zahl missbrauchter Passwörter und die Angriffe auf personenbezogene Daten immer mehr zunehmen.

Passwort-Manager ja, aber …

Wenn man Sie also fragt, ob man einen Passwort-Manager einsetzen solle oder nicht, sollten Sie zuerst darauf hinweisen, dass es gute Methoden gibt, sich starke Passwörter zu überlegen, die man sich auch merken kann.

Ein solches Tool ist also sicherlich keine Pflicht und in vielen Unternehmen sogar verboten. Aber unter bestimmten Voraussetzungen kann ein Passwort-Manager eine sinnvolle Maßnahme der Datensicherheit sein.

Hohe Anforderungen an einen Passwort-Manager

Zum einen verdient nicht jeder Passwort-Manager seinen Namen, ganz gleich, ob kostenloses Open-Source-Produkt oder kommerzielle Lösung.

Eine zentral vorgehaltene Passwortliste ist besonders gefährdet und stellt ein zu lohnendes Angriffsziel für Datendieb dar. Wird das Master-Passwort geknackt, stehen alle Zugänge genauso offen wie bei dem Missbrauch des Hauptschlüssels einer Schließanlage.

Passwort-Manager müssen deshalb selbst umfassend geschützt und die Passwortliste durchgehend verschlüsselt werden.

Weitere Anforderungen zu einem Passwort-Manager finden Sie in der Checkliste zur Prüfung eines Passwort-Managers.

Allgemeine Anforderungen listet die Checkliste Passwortsicherheit auf.

Auch der Passwort-Manager muss geschützt werden

Eine ganz wesentliche Schutzmaßnahme wird in der Diskussion meist vergessen. Denn wer den Mitarbeitern einen Passwort-Manager geben will, da diese sich keine starken Passwörter merken, sollte damit auch beim Passwort-Manager selbst rechnen, der ohne entsprechende Passwort-Prüfung mit einem zu schwachen Master-Passwort versehen werden könnte.

Passwort-Manager sollten also immer nur dann eingesetzt werden, wenn sich das Master-Passwort absichern lässt, am besten über eine Zwei-Faktor-Authentifizierung. Zum Master-Passwort gehört dann noch ein Hardware-Token oder eine Chip-Karte. So viel Schutz sollte die Liste aller Passwörter schon wert sein.

Gegen Leichtsinn hilft auch kein Passwort-Manager

Und eines sollte auch klar sein: Gegen eine unsichere Verwendung von Passwörtern, wie das Hereinfallen auf Phishing-Mails oder das Abfangen von Passwörtern bei der Übertragung ins Internet, helfen einfache Passwort-Manager nicht. Deshalb dürfen Anti-Phishing-Funktionen, SSL-Verschlüsselung und Anti-Malware-Software auf keinen Fall fehlen!

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln