Die Live-Session fand am 24.02.2011 um 11:15 Uhr wie immer auf unserer Live-Session-Portalseite statt.
Aufnahme der Live-Session
Dieses Video downloaden (118,64 MB, MP4)
Im Unternehmen sollten administrative Passwörter und digitale Identitäten sicher verwaltet und der Zugriff kontrolliert werden. Die Software PasswordManager Pro bietet hier eine webbasierte Lösung.
Inhalte dieser Seite
Erklärung von Password Manager Pro (PMP)
PasswordManager Pro (PMP*)* ist eine webbasierte Softwarelösung zur Verwaltung von Passwörtern zu zentralen Servern, Datenbanken usw. in Unternehmen. Passwörter können zentral gespeichert, auf Richtlinien geprüft und an andere Personen weitergegeben werden. Durch verschiedene Funktionalitäten wird sichergestellt, dass keine unsicheren Passwörter verwendet werden. Außerdem ist ersichtlich, wer Zugriff auf Ressourcen hat und wer nicht. Erfolgte Zugriffe und die Nutzung der Passwörter werden dokumentiert.
Bewertung und Rechtfertigung des Systems
Vorteile
- Zentrale Verwaltung und Übersicht von Zugriffsberechtigungen
- Skalierbare Lösung gerade für große Unternehmen geeignet. Kann "In-House" installiert werden.
- Sicherheitsgewinn durch verschlüsselte und kontrollierte Speicherung und Übertragung von Passwörtern, PINs und Ähnlichem
- Kein unsicherer Versand von Passwörtern per Mail mehr erforderlich
- Zeitweise Gewährung von Zugriff auf Ressourcen durch Automatische Passwort-Änderung in Systemen
- Auflösen von "Kopfmonopolen" (Herrschaftswissen)
- Schnelleres Onboarding neuer Mitarbeiter (Fragen nach Passwörtern entfällt)
- Durchsetzen von Passwortrichtlinien (Länge, Sonderzeichen/Zahlen, Gültigkeitsdauer, Historie)
- Möglichkeit zum Backup (verteilte Lösungen auf Workstations führen leichter zu Datenverlust)
- Es gibt nur wenige Software-Alternativen.
- Die Java-Software lässt sich unter verschiedenen Betriebssystemen nutzen.
- Tatsächliche Zugriffskontrolle durch Benutzer
Zielgruppen von Password Manager Pro und dieser Live-Session
- Große Unternehmen mit Compliance-Richtlinien
- Unternehmen mit Sicherheitsverpflichtungen und Garantien gegenüber Ihren Kunden
- Systemadministratoren (Kontrolle, Revision, Sicherheit, HA, ...)
- Sicherheitsbeauftragte (Information assurance manager)
- Datenschutzbeauftragte
- Unterstützung / Voraussetzung bei ITIL und IT-Sicherheitszertifizierungen (SOX, HIPAA and PCI sowie deutsche / übliche Normen und Gesellschaften: BS 7799, ISO 17799, IT-Grundschutz, Proof-Carrying Code, Bundesamt für Sicherheit in der Informationstechnik)
Anwendungsfälle
- Übergabe von Passwörtern innerhalb des Unternehmens
- Einmalpasswörter zuteilbar (z.B. für einen Entwickler)
- Protokollierung von Zugriffen auf Systeme
- Eintragen von neuen Passwörtern an einem sicheren Ort (inkl. Sharing)
- Vereinfachung der Kommunikation über Passwortänderungen durch zentrale Ablage (nur Eintragen)
Nachteile von Password Manager Pro
- Nicht so schick, wie 1Password (Usability)
- Größerer Aufwand beim Speichern von Passwörtern (Bürokratie)
- Bewusster Umgang mit Rechtevergabe im Unternehmen (ggf. hat der Geschäftsführer eben nicht mehr alle Zugänge für alles.)
- Kosten für die Software und Lizenzmodell (nur Admins können Passwörter einstellen)
- Fehlende Integration mit mobilen Geräten und Browsern
- LDAP-Anbindung (User abgleichen, keine Gruppenunterstützung via LDAP)
Auszüge aus internen Regelungen bei //SEIBERT/MEDIA
Sinn und Zweck der Sache ist die sichere Ablage und das sichere Weitergeben von Passwörtern, die wir im täglichen Betrieb brauchen. Neben Passwörtern können auch andere vertrauliche Informationen wie PINs oder private keys hinterlegt werden.
Wir wollen damit folgende Probleme lösen:
- Passwörter nur bei einer Person gespeichert: ist diese Person nicht verfügbar (krank, ausgeschieden, Urlaub, ...), hat auch sonst niemand Zugang
- unsichere Speicherung von Passwörtern: unverschlüsselte Datenbanken oder gar Zettel können leicht abhanden kommen und in falsche Hände geraten, das kann (auch gegenüber Kunden) schnell peinlich oder sogar haftungsrelevant werden.
- unsichere Weitergabe von Passwörtern: viel zu oft werden Passwörter intern einfach per unverschlüsselter Mail oder per Jabber ("PSI") weitergegeben
- gemeinsame Nutzung von Passwörtern: wenn ein Passwort von einem Team verwendet wird, muss bei einer Passwortänderung das ganze Team informiert werden
Welche Passwörter?
Prinzipiell solltet ihr alle Passwörter dort hinterlegen, die ihr für die Arbeit braucht.
Gemeinsame Passwörter
Dies ist der primäre Anwendungsbereich der Passwortverwaltung. Es geht hier um gemeinsame Zugänge, z.B. wenn ein Kunde euch einen Account mit dem Benutzernamen "seibertmedia" gibt.
Persönliche Passwörter
Persönliche Zugänge sind solche, bei denen der Benutzername auf euren Namen zugeschnitten ist. Einige unserer Kunden müssen aufgrund interner Sicherheitsrichtlinien wissen, welche konkrete Person wann Zugriff auf ein System hatte. Wir sollten dies respektieren und solche Zugänge dann auch nicht intern weitergeben.
Auch für solche persönlichen Zugänge bitte nicht den "Personal"-Bereich im System verwenden!
Private Passwörter
Die Nutzung des Systems für private Passwörter geschieht auf eigene Gefahr und wird nicht empfohlen.
Unter dem Tab "Personal" habt ihr zudem die Möglichkeit, private Passwörter sicher abzulegen. Bitte achtet darauf, hier selbst einen encryption key zu hinterlegen (könnt ihr beim ersten Mal auswählen). Damit ist sichergestellt, dass keiner (auch nicht die IT) eure persönlichen Passwörter einsehen kann.
Bitte denkt gut nach, bevor ihr den "Personal"-Bereich benutzt. Die hier hinterlegten Passwörter können anderen Benutzern nicht zur Verfügung gestellt werden.
Hinweise zur Benutzung
Passwort hinterlegen
Um ein neues Passwort zu speichern, müsst ihr i.d.R. erst eine neue Ressource anlegen. Eine Ressource ist eine Website, ein Gerät oder dergleichen, wofür es mehrere Accounts geben kann. Oft wird einer Ressource aber nur ein Account zugeordnet sein.
Passwort anderen freigeben
Will man ein Passwort einer Person oder Gruppe freigeben, findet man den entsprechenden Knopf im "Resources"-Tab:
Passwortverwalter aufgepasst: Ihr müsst eure Passwörter nicht alle einzeln freigeben, es gibt zu jedem Projekt eine Benutzergruppe, die automatisch Zugriff auf die Ressourcegruppe hat. Legt neue Ressourcen also einfach in die Gruppe des Projekts und das entsprechende Team sollte automatisch Zugriff haben.
Best practices zur Benennung von Ressourcen
Damit die Suche sinnvoll genutzt werden kann, ist es sehr wichtig, dass Ressourcen einheitlich benannt werden. Bitte beachtet daher folgende Regeln:
- Namen von Ressourcen müssen global eindeutig sein.
- Der Name einer Ressource beginnt immer mit dem Namen des Kunden (und zwar in genau der Schreibweise, die auch für die entsprechende Gruppe verwendet wurde).
- Auch wenn ihr als "Resource Type" schon "MySQL Server" ausgewählt habt, kommt "MySQL" nochmal in den Namen mit rein.
- Benutzernamen gehören nicht in den Namen der Ressource, einer Ressource können beliebig viele Benutzer zugeornet werden.
FAQ
Aber das ist doch umständlich! Mit meinem (1Password|KeePass|Post-it) geht das viel effizienter!
Da hast du vermutlich Recht. Das Problem damit ist, dass es die Eingangs erwähnten Probleme erzeugt. Ein wichtiges Feature der Passwortverwaltung ist das sichere Teilen von Passwörtern mit einem Team, was sonst kaum eine Software bietet.
Ich kann keine Passwörter anlegen!
Lizenzbedingt ist die Zahl der Benutzer, die Passwörter verwalten können, beschränkt. Es soll aber noch eine Lizenz angeschafft werden, die jedem das Einstellen neuer Passwörter erlaubt. Bis dahin haben nur Team/Bereichsleiter und PMs die Möglichkeit, neue Passwörter zu hinterlegen.
Wenn ihr von irgendwo ein Passwort bekommt, gebt das bitte an den zuständigen Passwortverwalter weiter, der es dann in PMP hinterlegt.
Gibt es da ne App?
Leider nicht.