Wir kennen es alle: Passwörter in Unternehmen können schnell zu einem ganz schönen Chaos werden! Irgendwo muss mal schnell ein neues Tool genutzt werden – also richtest du schnell einen Account ein. Dann will die Kollegin auch Zugriff darauf haben, also wird das Passwort fix per Chat weitergegeben. Am Ende nutzt dann die halbe Abteilung die gleichen Zugangsdaten. Das geht erstmal lange gut – aber wehe dem Tag, an dem der erste Kollege die Abteilung verlässt. Was nun? Alle Passwörter ändern? Oder einfach darauf hoffen, dass er oder sie sich im neuen Job schon nicht mehr in die bunte Welt der Online-Tools einloggen wird? Und wie die unendliche Flut an Passwörtern verwalten? Word? Excel? Post-Its unter der Tastatur?
Von mehrfach genutzten Passwörtern geht nicht ohne Grund eine große Gefahr aus: Wird ein genutzter Dienst kompromittiert, sodass Angreifer an z.B. E-Mail-Adresse und Passwort gelangen, können sie diese Daten nutzen und munter alle weiteren Onlinedienste durchprobieren, ob die gleiche Kombination noch an anderen Stellen zum gewünschten Erfolg führt. Aus diesem Grund lohnt sich auch ein regelmäßiger Besuch bei https://haveibeenpwned.com – ein privates Projekt eines Microsoft-Mitarbeiters, der regelmäßig das Darknet nach geleakten Nutzerdatenbanken durchsucht. Davon hat er mittlerweile 773 Stück gefunden und insgesamt die gruselige Anzahl von 13 Milliarden kompromottierter Accounts zusammengetragen. Eine Suche nach der eigenen Mail-Adresse lohnt sich dort auf jeden Fall!
Die Lösung: Passwortmanager
Doch zurück zum Unternehmen: Wie schützt man sich nun gegen eine Flut an mehrfach genutzten und geteilten Zugangsdaten, verwaltet in einer Excel-Tabelle? Abhilfe schaffen sogenannte Passwortmanager. Für den eigenen Gebrauch lohnt sich dabei insbesondere ein Blick auf KeePass oder Buttercup und viele ähnliche Open-Source-Tools, die einerseits einen sicheren Speicher für Passwörter darstellen und andererseits meistens auch eine gute Browser-Integration mitbringen, um Passwörter direkt auch auf Websites verwenden zu können.
Für Unternehmen wird der Einsatz etwas komplexer – schließlich sollen Passwörter nicht nur sicher gespeichert, sondern auch strukturiert mit Kolleg:innen geteilt werden können! Hier kommen Passwortmanager mit Serverkomponente zum Einsatz, über die Passwörter mit Einzelpersonen oder Gruppen geteilt und synchronisiert werden können. Verlässt ein Kollege das Unternehmen, können Zugriffe auf Passwörter also schnell wieder entzogen werden.
Passwortmanager in Teams
Einer der bekanntesten Vertreter solcher Dienste ist sicherlich LastPass. Jede:r Nutzer:in verfügt über ein eigenes Vault, in dem Passwörter abgelegt werden können. Einzelpasswörter und Ordner können dann nach konfigurierbaren Richtlinien freigegeben werden. Sichere Notizen, ein Offline-Modus und ein Passwort-Generator runden das Angebot ab. Der Nachteil findet sich jedoch schnell im Preis wieder: mit knapp 4 bzw. 7 Euro pro Benutzer und Monat wird das Budget gerade bei größeren Teams schnell strapaziert.
Etwas günstiger bei einem vergleichbaren Angebot ist das Kanadische 1Password. Für knapp 20 Dollar im Monat können 10 Personen Passwörter verwalten. Die Business-Version schlägt dann jedoch bereits mit 8 Dollar pro User pro Monat zu Buche.
Gemeinsame Nachteile
Alle kommerziellen Passwortmanager vereint jedoch mehrere große Nachteile: Als zentraler Speicherort vieler tausender oder millionen Passwörter sind sie die perfekte Zielscheibe für Angreifer aller Art. Wo sonst kommt man so schnell an viele weitere Zugangsdaten? Und so ist es nicht verwunderlich, dass z.B. LastPass im September 2022 kompromittiert wurde und Angreifer Zugriff auf alle Wallets bekamen. In der Folge wurden etliche Crypto-Wallets geräumt, wodurch in Summe ein Schaden von mindestens 35 Millionen Euro entstanden ist.
Daneben ist die Software aller kommerziellen SaaS-Anbieter dieser Art "closed source" - d.h. vollständiges und geheimes Eigentum der jeweiligen Anbieter. Was logisch ist – schließlich dient sie ja dem eigenen Geschäftsmodell. Das hat jedoch zur Folge, dass anders als bei "open source"-Anwendungen der Quellcode nie durch ein breites Publikum auf Fehler und Lücken überprüft werden kann – was gerade bei solchen sensiblen Anwendungen aber eigentlich unerlässlich wäre!
Die Lösung: Bitwarden – ein Open-Source-Passwortmanager
Um diese Probleme aus der Welt zu räumen, lohnt sich ein Blick in die Open-Source-Welt: Neben den kommerziellen Anbietern existieren nämlich auch einige herausragende Anwendungen im Open-Source-Bereich, die ihren kommerziellen Kollegen in nichts nachstehen. Zum Quellcode von Bitwarden haben auf Github mittlerweile über 160 Personen beigetragen, die in Summe über tausend Tickets abgearbeitet haben. Der Quellcode wurde und wird dabei hundertfach von Freiwilligen auf Sicherheitslücken geprüft, wodurch diese schnell auffallen und publiziert werden würden. Clients für Bitwarden sind für alle gängigen Browser sowie für iOS und Android kostenlos erhältlich. Für alle anderen Fälle inklusive der Verwaltung des eigenen Teams steht zudem eine Weboberfläche zur Verfügung. Die Serverkomponente Vaultwarden kann entweder kostenlos selbst oder durch einen Hosting-Anbieter betrieben werden. Das Ausprobieren lohnt sich auf jeden Fall!!