Alle 14 Tage aktuelle News aus der IT-Szene >
Gastbeitrag: Passwörter zu Firmenaccounts werden geteilt – ob erlaubt oder nicht. Über Risiken des Password Sharings und Maßnahmen dagegen berichtet Dominik Schürmann.
Foto: heylogin Der Autor Dominik Schürmann ist CEO & Co-Founder von heylogin, Anbieter eines Passwort-Managers mit hardwarebasierter Ende-zu-Ende-Verschlüsselung. Die heutige Geschäftswelt ist von ständiger Vernetzung und digitaler Zusammenarbeit geprägt. Unternehmen nutzen dazu eine Vielzahl von unterschiedlichen Plattformen für Kommunikation und Kollaboration, die von mehreren Mitarbeiter:innen genutzt werden.
Idealerweise richtet ein Administrator für solche Ressourcen entsprechende Accounts ein, über die jede:r Mitarbeiter:in auf die Plattform mit einem persönlichen Profil zugreift.
Leider ist das nicht immer möglich. Viele Dienste sehen gar nicht vor, von mehr als einem Nutzer betreut zu werden. Wie sollen Unternehmen Social Media, gemeinsam genutzte Messe-Accounts oder andere Online-Ressourcen bespielt werden, die nicht dafür konzipiert sind, dass mehrere Profile angelegt werden? Letztlich bleibt nur eine Möglichkeit: Die Zugangsdaten im Team zu teilen.
So zu handeln ist bequem. Aber die Einfachheit dieses Prinzips ist offensichtlich gleichzeitig eines der großen Probleme. Password Sharing ist simpel und geht schnell. Aber es führt auch dazu, dass Teammitglieder unkontrolliert auf Unternehmensressourcen zugreifen, ohne dass ein Administrator schützend interagieren kann. Passwörter sind darüber hinaus um der Eingängigkeit willen häufig simpel aufgebaut und so auch leicht zu erraten respektive zu hacken. Sie zu ändern würde alle Teammitglieder vor Probleme stellen. Deshalb geschieht das auch fast nie. Selbst dann nicht, wenn Mitarbeiter:innen ausscheiden.
Die offene Nutzung einzelner Logins birgt sowohl für Nutzer:innen als auch für Unternehmen erhebliche Risiken. Wenn Passwörter für Accounts in sozialen Medien geteilt werden, kann dies zu Identitätsdiebstahl führen. Ein unbefugter Zugriff auf einen Social-Media-Account kann schwerwiegende Folgen haben, angefangen vom Verbreiten ungewollter oder falscher Informationen inklusive erheblichem Imageschaden, bis hin zum Abfluss vertraulicher Daten.
Werden dann noch Zugänge für sensible Informationen wie Lohnabrechnungen oder Personaldatenbanken geteilt, drohen sogar schwerwiegende Datenschutzverletzungen. Weitere potenzielle Konsequenzen sind Umsatzverluste und der Verlust geistigen Eigentums. Unternehmen stehen so in der Verantwortung, Lösungsansätze für die Herausforderungen des Password Sharing zu finden. Sei es aus reinem Eigeninteresse, um geistiges Eigentum und sensible Daten zu schützen, oder aus dem Pragmatismus heraus, Gesetzes- und Projektvorgaben zu erfüllen.
Passwort-Manager bieten Lösungen für das Password Sharing-Dilemma. Mit ihrer Hilfe wird auch das Teilen von Passwörtern in Teams oder direkt mit einzelnen Mitgliedern zu einer sicheren Angelegenheit, bei der der Administrator zu jedem Zeitpunkt die Übersicht über die Nutzung behält. Dafür regelt der Password Manager zur weiteren Absicherung die Zugangsberechtigungen und ersetzt einfache Passwörter bei Bedarf durch komplexe und schwer errat- und hackbare. Zusätzlich können über Audit-Logs Änderungen und Zugriffe nachvollzogen werden.
Sicherheit ist zu einem großen Teil Menschensache. Eine wichtige Maßnahme für alle Unternehmen ist es demzufolge, die Mitarbeiter für die Risiken von Password Sharing zu sensibilisieren. Ebenso entscheidend ist es, praktikable Lösungen anzubieten. Ein striktes Verbot verleitet die Belegschaft allzu oft dazu, eigene Lösungen zu entwickeln.
Unternehmen sollten technische Maßnahmen implementieren, um den bewussteren, einfacheren und kontrollierten Einsatz von Password Sharing zu ermöglichen. Dies kann die Verwendung von Passwort-Managern, 2FA und SSO umfassen.