Wir waren kürzlich auf der ITSA in Nürnberg. Das ist die Fachmesse für IT-Security. Dort haben wir viele Einblicke bekommen. Wir haben auf der Messe auch den Anbieter getroffen, von dem wir unser Schwachstellen-Management-Tool beziehen. Kleiner Stand, coole Leute, tolles Produkt. Die Kunden, die z.B. Managed Server oder Managed Desktop oder das Notarpaket von uns beziehen, kommen bereits in den Genuss von dieser Sicherheitsleistung.
Inhalt
Schwachstellen-Management erhöht ihre Sicherheit
Ein Schwachstellen-Management-Tool findet Sicherheitslücken in Ihrem System. Ein Beispiel: Vielleicht haben Sie sich zu Corona-Zeiten Zoom auf Ihrem Laptop installiert. Doch inzwischen nutzen Sie das Programm nicht mehr. Es müsste längst upgedatet werden, um sicherheitskonform zu bleiben. Allerdings denkt kein Administrator der Welt daran. Genau für solche Fälle brauchen Sie ein System, das so etwas tracken kann.
Eine Schwachstellenanalyse findet Sicherheitslücken auch bei alltäglichen Programmen wie dem Adobe-Reader. Normalerweise aktualisieren sich solche Programme im Hintergrund. Erst recht, wenn Sie sie regelmäßig nutzen. Es kann aber vorkommen, dass diese Update-Funktionen aus irgendeinem Grund nicht mehr sauber laufen. Ihre Software veraltet und dem sollten Sie dringend nachgehen.
Neue Partnerschaften für Ihre IT-Sicherheit
Wir wurden durch die Messe ebenfalls darin bestärkt, unser IT-Security-Portfolio in Zukunft weiter zu stärken. Und das geht nur mit einem externen Partner. Natürlich wäre es für unsere Kunden prima, alles aus einer Hand zu bekommen. Leider kommt dieser Ansatz bei der Komplexität in der heutigen IT-Welt an seine Grenzen. Wir werden uns daher in Bälde für die Zusammenarbeit mit einem speziellen IT-Sicherheitsdienstleister entscheiden
Als IT-Dienstleister haben wir natürlich ein solides Verständnis für die IT-Sicherheit. Wir stellen Ihnen zum Beispiel Sicherheitspakete zur Verfügung. Diese managen wir vor allem aus Performance-Sicht und stellen Standards her.
Was wir aber nicht übernehmen können, ist das Schadensmanagement, wenn es bei Ihnen wirklich eingeschlagen hat. Für das so genannte Inzidenz-Response-Management ist es sinnvoll, wenn Sie schon vorher Kontakt zu einem entsprechenden Dienstleister hatten und dieser direkt tätig werden kann. Im Falle eines Zwischenfalls haben Sie einen dezidierten Ansprechpartner. Dieser hat die nötige Erfahrung und das Know-how, um die entscheidenden Schritte einzuleiten.
Der Passwortmanager
Doch zurück zum Passwortmanager. Gerade hat mir ein Kunde erzählt, dass ihn dieser fürchterlich nervt. Ein Passwortmanager sollte nicht kompliziert sein, sondern Ihnen das Leben leichter machen. Tut er das nicht, ist es vielleicht der falsche Passwortmanager oder nicht korrekt eingestellt. Im Gespräch mit dem Kunden hat sich dann tatsächlich herausgestellt, dass die Browser-Auto-Vervollständigung und der Passwortmanager, sich gegenseitig in die Quere kommen. Das lässt sich in der Regel durch entsprechende Gruppenrichtlinien oder Einstellungen im Browser ändern. Dann kann das Passwortmanagement zentral arbeiten.
Sicherheit in der Cloud
Viele Unternehmen verfolgen inzwischen eine Cloud-Strategie, um lokale Ressourcen durch externe abzulösen. Dafür ist natürlich ein Zugriff nötig. Jeder Zugriff ist grundsätzlich durch ein Passwort abgesichert. Das sollte kein Passwort wie „Start123“ sein. Gerade wenn Sie alles dezentralisieren, müssen Sie bei den Passwörtern stärkere Standards setzen. Natürlich können schwache Passwörter über Jahre funktionieren. Aber wollen Sie sich darauf verlassen? Oder geben sie nicht lieber doch die paar Euros aus im Monat aus. Das ist Risikoabsenkung und das weiß jeder Controller: die kostet Geld!
Was bedeutet der Passwortmanager für User?
Der Passwortmanager sorgt für sichere Passwörter. Der Passwortmanager gibt eine persönliche Übersicht und weist Sie darauf hin, wenn Sie zum Beispiel für 20 Webseiten das gleiche Passwort verwenden. Viele Passwortmanager verfügen über eine Darknet-Überwachung. Sie bekommen automatisch Informationen darüber, ob eines Ihrer Passwörter in geleakten Listen aufgetaucht ist oder im Darknet gehandelt wird. In diesem Fall können Sie sofort reagieren und das Passwort ändern.
Für den Fall, dass Sie Ihren Kolleg:innen ein Passwort mitteilen müssen, können Sie in einem Passwortmanager Container einrichten. Über die Containerhoheit können Sie anderen Usern den Zugriff auf ein Passwort gewähren. So können mehrere Nutzer die gleichen Informationen verwenden. Für externe Zugriffe bietet unser Passwortmanager die Möglichkeit des Keepers. Er verfügt über noch bessere Sicherheitsfunktionen und härtere Einschränkungen, wie einen auf 24 Stunden limitierten Zugriff.
Die neueren Passwortmanagement-Tools verfügen über die Möglichkeit der Multifaktor-Authentifizierung. Darüber lassen sich QR-Codes einbinden, die man als Time-based One-Time Passwords (TOTP) von Webseiten kennt. Das macht es überflüssig, noch eine Smartphone-App zu bedienen, auf der sich im Zweifelsfall noch ein Passwort befindet.
Neu ist das Thema Passkey. Dafür benutzt man statt eines Tokens einen zweiten Faktor. Dieser Passkey ist im Prinzip ein extrem langes, kryptisches Passwort. Da reden wir nicht von 20 oder 30 Zeichen, sondern von über 200. Die Technik dahinter ist nicht unbedingt einfach. Für Benutzer im Unternehmen ist die Anwendung jedoch simpel. Schließlich sollte die Usability im Vordergrund stehen.
Der IT-Tipp der Woche
Es gibt beim Passwort-Keeper die Möglichkeit, das Unternehmen ihren Mitarbeitern diesen für die private Verwendung zur Verfügung stellen. Microsoft hat das Prinzip schon früh verstanden: Wenn die Leute etwas privat gerne nutzen, wird es auch im Unternehmenskontext erfolgreich.
Das heißt, wenn das Unternehmen, bei dem Sie arbeiten, Ihnen einen Keeper zur Verfügung stellt, dann können Sie dort die private Nutzung aktivieren. Legen Sie einfach einen Account mit Ihrer privaten E-Mail-Adresse an und nutzen den Account der Firma kostenfrei privat.
Gerne stellen wir Ihnen eine Videoaufnahme unseres Keeper-Passwortmanager-Webinars (inkl. Live-Aufführung) zur Verfügung: