Während die Empfehlung für Firmen, einen Passwortmanager zu verwenden, immer lauter wird, können diese allein keine umfassende Passwortsicherheit bieten. Es bedarf einer umfassenden Strategie, die nicht nur die Software, sondern auch Organisationsstrukturen und klare Prozesse berücksichtigt. Neben dem Tool selbst müssen auch organisatorische Strukturen sowie klare und zuverlässige Prozesse etabliert werden, um einen verantwortungsvollen Umgang mit sensiblen Daten zu gewährleisten. Im heutigen Gespräch möchte ich tiefer in dieses Thema eintauchen und erfahren, wie die ALPEIN Software SWISS AG, die ihren eigenen Passwortmanager PassSecurium entwickelt hat, dieses kritische Thema angeht. Dafür habe ich mit dem CTO und CISO der Firma - Eugen Wiltowski - gesprochen.

Volker Strecker: Guten Tag, Herr Wiltowski. Vielen Dank, dass Sie sich Zeit für dieses Interview genommen haben. Heute sprechen wir über das Thema sicheres Passwortmanagement bei Ihnen in der Firma. Können Sie uns zunächst einen Überblick darüber geben, wie Sie bei ALPEIN Software sicherstellen, dass Passwörter effektiv und sicher verwaltet werden?

Eugen Wiltowski: Guten Tag, Herr Strecker. Es freut mich, mit Ihnen über ein sicheres Passwortmanagement sprechen zu können. Bei ALPEIN Software haben wir eine klare Strategie, um die Sicherheit unserer Passwörter zu gewährleisten. Zunächst verwenden wir einen Passwortmanager mit Rollen- und Gruppenberechtigungen, der sicherstellt, dass nur die jeweils berechtigten Mitarbeiter Zugriff auf die ihnen zugewiesenen Konten und Ressourcen haben. Der verwendete Passwortmanager PassSecurium™ ist unser eigenes Produkt. Er wird ständig weiterentwickelt, basiert auf den Anforderungen unserer Produktverantwortlichen und Sicherheitsexperten sowie dem Feedback unserer Kunden.

Volker: Das klingt nach einer ausgeklügelten Methode. Können Sie uns mehr über die Organisation der Passwörter und die Rollen innerhalb Ihres Unternehmens erzählen?

Eugen: Wir haben unsere eigene Organisationsstruktur erstellt, in der die Passwörter je nach Abteilung oder Art logisch und verständlich angeordnet sind und nur für die dafür berechtigten Mitarbeitergruppen zugänglich gemacht werden. Jede Mitarbeitergruppe hat einen Kollegen mit einer Managerrolle, welcher die Gruppe oder Abteilung organisiert und die Rechte und Rollen für seinen Zuständigkeitsbereich vergibt.

Volker: Wie stellen Sie sicher, dass die Passwörter den erforderlichen Sicherheitsrichtlinien entsprechen?

Eugen: Jeder Passwort-Ablagebereich ist mit bestimmten Passwortsicherheitsrichtlinien definiert. Die kritischsten davon haben den sogenannten Sicherheitsstufenordner "Stark". Dieser Ordner verhindert die Ablage schwächerer Passwörter. Die Kriterien für die Sicherheitsstufen können von den Administratoren in PassSecurium™ selbst festgelegt werden, was äusserst praktisch ist, da die Sicherheitsanforderungen mit der steigenden Bedrohung durch Cyberkriminalität und den Fortschritten in der IT ständig wachsen. Früher galt ein Passwort mit 8 Zeichen als sicher; heute sollten es mindestens 10 oder sogar 12 sein.

Volker: Das ist ein wichtiger Punkt. Wie gewährleisten Sie, dass die Mitarbeiter komplexe Passwörter verwenden?

Eugen: Unsere Mitarbeiter sind geschult, neue Zugänge ausschliesslich mit dem integrierten Passwortgenerator zu erstellen. Damit stellen wir sicher, dass die Passwortkomplexität den Anforderungen des jeweiligen Ablageordners entspricht. Somit müssen sich die Mitarbeiter keine Passwörter merken, weil die meisten Passwörter durch die eingebauten Copy & Paste-Funktionen eingegeben werden.

Volker: Verstehe. Viele Unternehmen nutzen Browser-Erweiterungen für ihr Passwortmanagement. Nutzen Sie solche Erweiterungen?

Eugen: Nein, wir nutzen keine Browser-Erweiterungen. Obwohl sie bequem sind, sind Browser und JavaScript häufige Ziele für Hackerangriffe. Hacker nutzen Zero-Day-Lücken aus, um Browser-Erweiterungen zu manipulieren. Daher empfehlen wir, auf Nummer sicher zu gehen. Wir raten unseren Kunden, keine Browser-Erweiterungen zu verwenden. Stattdessen bieten wir alternative Methoden, um Passwörter sicher abzurufen wie zum Beispiel über unsere Desktop-App. Die Sperrung von Browser-Erweiterungen kann direkt in den PassSecurium™-Einstellungen vorgenommen werden.

Volker: Wie kontrollieren Sie den Datenaustausch von Passwörtern innerhalb des Unternehmens und nach aussen?

Eugen: Wir erlauben keine Weitergabe von Passwörtern ausserhalb des Passwortmanagers, weder über unseren internen verschlüsselten Chat noch über andere Wege, da dies immer digitale Spuren hinterlässt. Generell ist es ideal, Passwörter so zu verwenden, dass sie nicht im Klartext auf dem Bildschirm erscheinen. Die Passwortvergabe zwischen den Mitarbeitern erfolgt ausschliesslich über die Rechtevergabe und Sharing-Funktion, die von Administratoren oder Managern gesteuert wird. Eine Passwortvergabe nach aussen erfolgt derzeit über unsere CloudSecurium™, in welcher die Dateifreigabe zeitlich begrenzt und durch ein eigenes Passwort geschützt ist. Wir erwägen auch die sichere Passwortvergabe direkt über PassSecurium™ an Kunden oder Partner.

Volker: Wie sorgen Sie dafür, dass der Zugriff auf den Passwortmanager von ausserhalb des Unternehmens geschützt ist?

Eugen: Der Zugriff auf unseren Passwortmanager erfolgt ausschliesslich über VPN. So stellen wir sicher, dass niemand von aussen auf ihn zugreifen kann. Wir empfehlen auch unseren Kunden unbedingt, mindestens eine Zwei-Faktor-Authentifizierung (2FA) mit unserer AccessSecurium™-App zu verwenden, um den Zugang zu eigenem Passwort-Tresor zusätzlich abzusichern. Noch besser wäre es, mehrere Authentifizierungsfaktoren (s.g. MFA) gleichzeitig zu nutzen, wie beispielsweise die Kombination von VPN mit One-Time-Passwort (OTP) oder die Verwendung von OTP in Verbindung mit Yubikey-Hardware-Sticks, die wir selbst aktiv einsetzen. Leider sind die meisten Kunden damit überfordert. Es ist immer eine Herausforderung, ein Gleichgewicht zwischen Sicherheit und Komfort zu finden. 

Volker: Vielen Dank für diese Einblicke in Ihr Passwortmanagement bei ALPEIN Software. Es ist offensichtlich, dass Sicherheit für Ihr Unternehmen höchste Priorität hat.

Eugen: Es war mir eine Freude, über unsere Sicherheitsmassnahmen zu sprechen. Wir bei ALPEIN Software sind uns der Bedeutung eines robusten Passwortmanagements bewusst und setzen alles daran, die Sicherheit unserer Daten und Ressourcen zu gewährleisten.

Ich danke Eugen Wiltowski für dieses aufschlussreiche Interview über die sichere Passwortverwaltung in seinem Unternehmen. Die vorgestellten Praktiken und Richtlinien können als Vorbild für andere Unternehmen dienen, die ihr Passwortmanagement besser und sicherer in den Griff bekommen wollen. Durch die Kombination eines Passwortmanagers, klarer Organisationsstrukturen und durchdachter Sicherheitsrichtlinien können Unternehmen den Umgang und die Ablage von sensiblen Daten wie Passwörter optimieren.


Mit freundlichen Grüssen, Volker Strecker.