077: Wozu braucht man Password Manager?

Shownotes

In dieser Folge von Blue Screen Wissen tauchen wir tief in das Thema des Risikomanagements und der Vorbereitung auf Notfälle ein. Ein zentraler Aspekt ist die sichere Speicherung von Kennwörtern, da viele Admins bisher auf unsichere Methoden wie Textdateien oder Browser-Speicher zurückgriffen. Die Verwendung von Passwortmanagern, sei es On-Premise oder in der Cloud, wird als sicherere Alternative empfohlen, wobei besonders die On-Premise-Lösungen bevorzugt werden.

Passwort-Manager wie Keypass oder kommerzielle Optionen, die zentralisierte Passwortdatenbanken bieten, sind entscheidend, insbesondere wenn Führungskräfte Zugriff auf wichtige Konten benötigen. Die Absicherung von administrativen Konten mit Multifaktor-Authentifizierung, einschließlich Time-Based One-Time-Password-Systemen, wird als bewährte Methode empfohlen, um die Sicherheit zu erhöhen.

Ein Rollen- und Rechte-Management in Passwortverwaltungslösungen ermöglicht die geeignete Zugriffssteuerung, während eine Aufzeichnung der Aufdeckungshistorie und ein Audit-Protokoll für Transparenz und Sicherheit sorgen. Die Nutzung von Wiederherstellungscodes in Verbindung mit sicheren Speicherorten wie verschlüsselten Containern wird als weitere Schutzmaßnahme hervorgehoben.

Cryptomator, eine deutsche Open-Source-Lösung, wird speziell für die Erstellung verschlüsselter Container empfohlen, um wichtige Wiederherstellungscodes sicher aufzubewahren. Teilen dieser Informationen im Team und mit der Geschäftsleitung wird als Schlüssel zur Notfallzugriffsfähigkeit betont, wobei Vorsicht geboten ist, den Masterkey nicht zu verlieren, um Datenverlust zu vermeiden.

Die Episode schließt mit dem Ausblick auf zukünftige Diskussionen über Backups als wesentlichen Bestandteil der Notfallvorbereitung. Hörer werden ermutigt, Feedback zu hinterlassen, sei es durch Kommentare, Bewertungen oder Sprachnachrichten, um die Interaktion und Reichweite des Podcasts zu unterstützen. Alex beendet die Folge und kündigt das nächste Thema an, während er die Zuhörer dazu ermutigt, am Podcast teilzuhaben und von den diskutierten Sicherheitspraktiken zu profitieren.

Shownotes:

Transkript anzeigen

00:00:03: Blue Screen, der Tech-Podcast. Hi und willkommen zu einer weiteren Folge von Blue Screen Wissen.

00:00:09: Ich bin Alex und ich möchte mit euch heute nochmal anknüpfen an das Thema Risikomanagement

00:00:15: und Vorbereitung auf einen Notfall.

00:00:17: Und ein ganz, ganz wichtiges Thema dabei ist auch natürlich,

00:00:21: wo sind denn meine Kennwörter gespeichert?

00:00:23: Viele Admins, die ich so erlebt habe in meiner beruflichen Laufbahn,

00:00:27: die haben halt irgendwo eine Textdatei, da ist dann ein Kennwort drauf oder

00:00:31: eine Excel-Datei mit einem Kennwort, aber da brauchen wir, glaube ich,

00:00:33: nicht drüber zu diskutieren. Das ist nicht wirklich sicher.

00:00:36: Manche speichern auch die Kennwörter, die sie so brauchen, in ihrem Browser.

00:00:40: Auch das ist gerade bei administrativen Zugängen nicht wirklich eine gute Empfehlung,

00:00:44: weil natürlich auch hier immer das Risiko besteht,

00:00:47: dass Daten eben über Google oder einen anderen Anbieter hinten rum möglicherweise

00:00:51: einfach abfließen und dann hat jemand diese Zugänge, die ich eigentlich nur haben sollte.

00:00:56: Zusätzlich kommt natürlich da noch eine andere Komponente ins Spiel,

00:00:59: nämlich was ist denn, wenn derjenige, der die Kennwörter hat, gar nicht da ist?

00:01:03: Dafür bieten sich Lösungen wie Passwortmanager an.

00:01:06: Es gibt verschiedene kostenfreie Lösungen, die sowohl On-Premise laufen,

00:01:10: als auch welche, die eben irgendwo in der Cloud laufen.

00:01:13: Auch da bin ich der Meinung, in der Cloud wäre ich vorsichtig,

00:01:16: weil auch da kann ich nicht Ich habe halt hier mein Gold sozusagen in externe Hände gelegt.

00:01:21: Also eine On-Premise-Passwort-Lösung ist definitiv schon mal eine gute Wahl.

00:01:25: Passwort-Manager, wie gesagt, gibt es kostenlose, zum Beispiel den Keypass.

00:01:29: Es gibt aber auch kommerzielle Lösungen, die dann auch noch an der zentralen

00:01:33: Stelle die Kennwörter speichern, in einer Datenbank.

00:01:35: Und das macht vor allem auch Sinn, sowas zu haben, wenn ich dann auch noch die

00:01:40: Geschäftsführung zum Beispiel mit in dieses ganze Konstrukt mit aufnehme,

00:01:43: damit im Fall einer Situation, eines Vorfalles auch die Entscheider,

00:01:47: die Geschäftsführer Zugriff auf diese Kennwörter haben können.

00:01:50: Wenn dann zusätzlich noch diese administrativen Konten

00:01:53: durch eine Art von Multifaktor-Authentifizierung abgesichert werden,

00:01:56: dann wäre eine gute Empfehlung, bei der Auswahl des Passwortmanagers auch zu

00:02:00: gucken, dass dieser Passwortmanager mit TOTP, also Time-Based One-Time-Password,

00:02:05: umgehen kann, damit ich eben meine MFA-Codes nicht in meinem Authenticator habe,

00:02:10: weil der hängt meistens auch wieder an einer Person, sondern eben in dieser Lösung,

00:02:14: damit ich dann eben Multifaktor mit meinem Benutzernamen, meinem Kennwort und

00:02:18: dem TOTP-Token oder dem Code, der dazu gehört, auch in meinem Passwortmanager

00:02:23: direkt drin habe und damit steht das dann eben allen berechtigten Leuten zur Verfügung.

00:02:28: Berechtigte Leute, vielleicht ein ganz gutes Stichwort an der Stelle,

00:02:31: ein Rollen- und Rechte-Management wäre natürlich auch nice to have in so einer

00:02:34: Lösung, damit ich ein bisschen abgrenzen kann, wer darf denn welche Kennwörter sehen.

00:02:38: Was viele Systeme auch anbieten, ist eine Dokumentation der Aufdeckungshistorie.

00:02:44: Wer hat wann welches Kennwort kopiert, um es zu benutzen oder wer hat es aufgedeckt,

00:02:49: wer hat es zuletzt geändert, also auch ein Audit-Protokoll, um da wirklich eine

00:02:54: durchgängige Dokumentation zu haben.

00:02:56: Wer hat mit diesem System denn überhaupt gearbeitet? Wer hat die Kennwörter sehen können?

00:02:59: All das sind Sachen, die da mittlerweile auch wirklich zum guten Ton gehören

00:03:04: bei so einer Lösung und damit kommt man schon tatsächlich sehr weit.

00:03:08: Was wir jetzt noch gar nicht berücksichtigt haben, ist das Thema Wiederherstellungscodes.

00:03:13: Viele Anbieter gehen mittlerweile her und geben einem, wenn man eine Art von

00:03:17: Multifaktor-Authentifizierung einrichtet, sei es jetzt über einen MFA oder auch

00:03:22: über Passkeys, da ein Kennwort drin abgesichert hat,

00:03:25: dass es dann sogenannte Wiederherstellungscodes gibt und die sollte man sich

00:03:29: natürlich auch irgendwo aufheben.

00:03:30: Die können zum Beispiel, wenn das der Passwortmanager hergibt,

00:03:33: auch als Text dort entsprechend mit ins Notizfeld.

00:03:37: Alternativ dazu könnte man die aber auch woanders ablegen, zum Beispiel im Netzwerk,

00:03:42: in OneDrive, in wo auch immer.

00:03:43: Wenn das aber in so einem Ablageort liegt, dann müsst ihr auch dafür sorgen,

00:03:48: dass dieser Ablageort eben wirklich sehr gut geschützt ist, genauso gut wie die Kennwörter selbst.

00:03:53: Dafür bietet sich es an, zum Beispiel mit einer Open-Source-Lösung einen verschlüsselten

00:03:58: Container im File-System zu bilden. Das funktioniert sehr gut mit Cryptomator.

00:04:03: Cryptomator ist mittlerweile auch meine Dauerempfehlung, wenn es darum geht,

00:04:07: verschlüsselte Container in File-Systemen abzubilden.

00:04:09: Mittlerweile ist alles andere im Markt halt meist wieder in US-Hand.

00:04:13: Cryptomator hat den großen Vorteil, es ist aus Deutschland, es ist Open-Source,

00:04:17: es funktioniert mit eigentlich allen Cloud-Services, wenn man das möchte.

00:04:20: Und damit könnte man dann eben entsprechend in einem verschlüsselten Ordner

00:04:24: einen Container bilden und darin liegen dann eben meine Wiederherstellungscodes.

00:04:28: Das Ganze natürlich dann wieder mit dem Team teilen, mit der Geschäftsleitung

00:04:32: teilen, damit man im Notfall da auch noch drankommt.

00:04:34: Wie bei allen selbstgebauten Lösungen ist es natürlich auch hier so,

00:04:39: wenn ihr den Masterkey verliert, dann habt ihr Pech gehabt, die Daten sind dann

00:04:42: für alle Zeiten einfach verloren.

00:04:44: Ja, und das, glaube ich, war es tatsächlich dann schon für die heutige Folge.

00:04:48: Ist ein bisschen kürzer ausgefallen, soll aber einfach nochmal das Thema Notfallmanagement

00:04:52: und Vorbereitung an der Stelle ein Stück weit abrunden.

00:04:56: Und ja, in der nächsten Folge werden wir uns dann noch über Backups unterhalten,

00:05:00: weil das ist ja natürlich auch in der Vorbereitung für einen Notfall ein ganz

00:05:04: wichtiges Stück der Lösung bei unserer Kette. Ich hoffe, ihr konntet was mitnehmen heute.

00:05:08: Wenn ihr mögt, lasst mir gerne einen Kommentar da, je nachdem,

00:05:11: wo ihr mich seht oder hört, auf YouTube oder in dem Podcatcher eurer Wahl.

00:05:15: Lasst mir auch gerne eine Bewertung da, da freue ich mich natürlich auch und

00:05:18: das hilft auch der Sichtweite und Reichweite von diesem Podcast.

00:05:21: Und zusätzlich könnt ihr mir natürlich auch eine Sprachnachricht schicken,

00:05:24: findet ihr alles unten in den Shownotes,

00:05:26: da habt ihr die Möglichkeit über Speakpipe mir eine Sprachnachricht zukommen

00:05:30: zu lassen und ja, ich lese und höre alle eure Kommentare und Nachrichten,

00:05:34: da freue ich mich auch immer sehr, wenn ich dann mal ein direktes Feedback bekomme.

00:05:37: So, das war es jetzt tatsächlich für die heutige Folge, bis zum nächsten Mal, euer Alex. Ciao.

00:05:44: Music.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.