In der zunehmend digitalen Welt, in der für so gut wie alles Anmeldedaten erforderlich sind, befinden sich manche Unternehmen in der Zwickmühle, was die Steuerung des Kontozugangs angeht.
Inhalt
Um sich das Leben leichter zu machen, tauschen die Angestellten oft Passwörter aus, teilen Konten und E-Mails oder entscheiden sich dafür, mit einem einzigen Konto zu arbeiten, anstatt zu versuchen, individuelle Berechtigungen herauszufinden. Das ist nicht unbedingt etwas Neues: Seit Jahrzehnten tauschen Menschen physische und digitale Zugangsdaten aus, die sie nicht teilen sollten, nur um sich das Leben zu erleichtern.
Zum Glück gibt es für moderne Probleme auch moderne Lösungen, sodass wir nicht mehr auf die traditionelle Art und Weise angewiesen sind, Passwörter auszutauschen. Natürlich ist es trotzdem wichtig zu verstehen, warum die bisherige Methode schlecht ist, sonst wird es keine dauerhaften Veränderungen geben. Das bringt uns zu unserem ersten Punkt...
Probleme mit gemeinsamer Nutzung von Passwörtern
Das muss wahrscheinlich nicht gesagt werden, aber das Teilen von Passwörtern stellt ein unglaublich großes Sicherheitsrisiko dar, selbst wenn es mit Menschen geschieht, denen du vertraust. Jüngste Studien haben ergeben, dass etwa 35 % der Menschen ihre Passwörter weitergeben. Das mag auf den ersten Blick nicht viel erscheinen, aber wenn du die gesamte Internetbevölkerung der Welt betrachtest, sind das Millionen und Abermillionen von Menschen.
Mehr noch: Erschreckende 81 % der Hackerangriffe entstehen durch die gemeinsame Nutzung von Passwörtern, weil sie schwach oder wiederverwendet sind. Nicht nur das, sondern leider würden 27 % der Büroangestellten ihre Passwörter verkaufen.
Abgesehen vom Sicherheitsrisiko verringert die gemeinsame Nutzung von Passwörtern generell die Verantwortlichkeit am Arbeitsplatz. Da man nie weiß, wer was tut, können du und die Leute, mit denen du Passwörter teilst, letztendlich als Gruppe für die Handlungen einer Person verantwortlich gemacht werden. Stell dir vor, du versuchst, die Anmeldedaten eines Kontos und den Verlauf dessen Aktivitäten ausfindig zu machen, nur um herauszufinden, dass ein Dutzend verschiedene Personen dieses eine Konto benutzen.
Ähnlich wie beim obigen Punkt besteht auch hier das Problem, dass du nicht weißt, wer an welcher Kommunikationskette beteiligt war. Das ist ein besonders großes Problem für Unternehmen, die eine komplexe CMS-Infrastruktur und ein Protokollierungssystem haben. Noch schlimmer: Wie behältst du den Überblick darüber, wer welche E-Mail beantworten muss? Wie behältst du den Überblick über Beschwerden oder Probleme, die mehrere Tage lang E-Mails erfordern? An diesem Punkt verbringst du Stunden über Stunden damit, alles zu regeln.
Noch schlimmer ist das Szenario, wenn ein Mitarbeiter das Unternehmen verlässt und trotzdem noch Zugriff auf das Konto hat. Wer auch immer für die Freigabe verantwortlich ist, weiß vielleicht nicht, dass er gegangen ist, oder will sich nicht die Mühe machen, das Passwort zu ändern und die anderen zu informieren. Dieser erhöhte Aufwand für die Passwortsicherheit und der anschließende Mangel daran kann dazu führen, dass jemand Zugang zu sensiblen Daten hat, der ihn nicht haben sollte. Abgesehen von den Sicherheitsaspekten gibt es auch rechtliche Fragen zu bedenken.
Traditionelle Methoden der gemeinsamen Nutzung von Passwörtern
Natürlich können wir verstehen, dass Menschen immer noch Passwörter teilen müssen, auch wenn es nur vorübergehend ist:
Das unverschlüsselte Versenden der Anmeldedaten per E-Mail. Das ist wahrscheinlich das Schlimmste, was du tun kannst, denn dafür muss nur eine E-Mail kompromittiert werden. Versuche stattdessen, sie auf mehrere E-Mails oder zwei verschiedene Kommunikationskanäle aufzuteilen. Die einzige kleine Ausnahme ist eine sichere E-Mail.
Das Versenden der Anmeldeinformationen über Messaging-Apps. Das ist zwar etwas besser, aber es besteht immer noch die Gefahr, dass nur eine einzige Nachricht kompromittiert wird, um die Informationen zu erhalten. Wenn andere Personen Zugang zu deinem Handy haben, kannst du außerdem nicht wirklich kontrollieren, wer die Anmeldedaten sieht und wer nicht.
Schreib die Anmeldedaten auf und gib sie weiter. Ich kann nicht genug betonen, wie schlecht diese Idee ist. Abgesehen davon, dass die Person den Zettel jederzeit verlieren könnte, kann jeder zumindest einen Teil der Informationen sehen, vor allem wenn das Papier dünn und der Text dick ist. Vergewissere dich zumindest, dass das Papier geschreddert wird, sobald die Informationen übermittelt worden sind.
Mündliche Weitergabe der Anmeldeinformationen. Das ist zwar etwas besser, aber die meisten Menschen sind nicht in der Lage, sich Informationen auf diese Weise zu merken. Es ist auch einfacher, Leute zu belauschen, als ein gefaltetes Stück Papier zu lesen.
Gemeinsame Nutzung von Anmeldeinformationen über DropBox oder Google Drive. Das scheint zwar eine bessere Idee zu sein, da diese Dienste sicher sind, aber es kombiniert die oben genannten Probleme, wie z. B. eine einzige Fehlerquelle und die fehlende Kontrolle darüber, wer das Passwort sieht.
Das ist zwar keine vollständige Liste der Möglichkeiten, wie Menschen Passwörter weitergeben, aber es sind die wichtigsten Möglichkeiten, die es gibt.
Warum Passwort-Manager das Beste für die gemeinsame Nutzung von Passwörtern sind
Am besten ist es, Passwörter mit einem System zu teilen, in dem sie in das System integriert sind, und dafür ist a password manager die beste Lösung.
Zunächst einmal kann ein Passwortmanager sowohl die von dir eingegebenen Passwörter verschlüsseln als auch lange und komplexe Passwörter speichern, was für die Sicherheit von Passwörtern von größter Bedeutung ist. Außerdem kannst du so gut wie unbegrenzt viele Passwörter speichern, wenn du das möchtest. Solange das Master-Passwort stark genug ist, musst du dir keine Sorgen machen.
Ein weiterer Vorteil von Passwortmanagern ist, dass du die Zugriffsrichtlinien bestimmen kannst. Wenn ein Administrator die Kontrolle darüber hat, was für wen freigegeben wird, musst du dir keine Sorgen machen, dass eine Person, die keine Berechtigung hat, Zugang erhält. Zudem kannst du nachverfolgen, wer Passwörter mit wem teilt.
Es ist auch ein guter Backup-Plan für eine plötzliche Einstellung oder einen sofortigen Weggang. Die Kontrolle über den Zugang zu Passwörtern ist das A und O, um ein hohes Maß an Sicherheit zu gewährleisten, denn das ist in den meisten Passwortmanagement-Anwendungen bereits integriert. So kannst du als Administrator entscheiden, wer Zugang zu welchen Passwörtern erhält, ohne dass du dir Sorgen machen musst, dass sie über unsichere oder unverschlüsselte Kanäle wie ein Stück Papier oder mündlich weitergegeben werden.
Eine andere Möglichkeit ist, immer einen sicheren Browser zu verwenden. Wenn du nicht überzeugt bist, solltest du dir unseren Beitrag über Internet-Browser vs. Passwort-Manager ansehen.