Authentifizierung Glossar
Passwort-Manager für Unternehmen - Zentrales Credentials-Management
Unternehmens-Passwort-Manager verwalten Zugangsdaten zentral: verschlüsselt (AES-256), mit Freigabe-Workflows, Audit-Log, Active-Directory-Integration und SCIM-Provisionierung. Wichtige Produkte: 1Password Business, Bitwarden for Teams, Keeper Enterprise, Dashlane Business, Delinea Secret Server (auch für Admins/PAM). Vorteile: keine Post-it-Passwörter, starke einzigartige Passwörter für jede Seite, sichere Team-Freigaben ohne Passwort-Weitergabe per E-Mail.
Passwort-Manager sind eines der kostengünstigsten, wirksamsten Sicherheits-Tools - und werden trotzdem häufig vernachlaessigt. 81% aller Datenschutzverletzungen involvieren gestohlene oder schwache Passwörter (Verizon DBIR 2024).
Warum Passwort-Manager im Unternehmen Pflicht sind
Typisches Unternehmen ohne Passwort-Manager
- Mitarbeiter: “Passwort123!” für alle Systeme (Wiederverwendung!)
- Shared Accounts: alle kennen das CRM-Passwort (wer hat es geändert?)
- Post-it-Passwörter am Monitor (Visitor sieht alles)
- Offboarding: wurde das Passwort nach Austritt geändert?
- Passwörter per E-Mail/Slack versandt: unverschlüsselt!
Angreiferfreude:
- Credential Stuffing: eine Datenbank-Leakage → alle Accounts betroffen
- Breached Password Check: “Summer2024!” ist in Millionen Leaks!
Mit Passwort-Manager
- Jede Website: einzigartiges 20-Zeichen-Passwort (autogeneriert)
- Team-Freigabe: verschlüsselt, mit Audit-Log
- Offboarding: ein Klick → alle geteilten Passwörter entzogen
- MFA-Integration: TOTP-Codes ebenfalls im Manager
Unternehmens-Passwort-Manager im Vergleich
1Password Business
- Sehr populär, native Apps für alle Plattformen
- Travel Mode: sensitive Vaults beim Grenzübertritt verstecken
- Secrets Automation: API-Keys in CI/CD sicher verwalten
- SIEM-Integration: Audit-Log-Export
- Preis: ~$7-8/User/Monat
- SSO: SAML 2.0 (Okta, Azure AD, etc.)
Bitwarden (Open Source!)
- Open Source: Code auditierbar (sehr wichtig!)
- Self-Hosting möglich: Bitwarden Server auf eigenem Server
- Günstigste Option: Teams ab $3/User/Monat
- Enterprise: SCIM, SSO, Richtlinien
- Für: DSGVO-sensitiv, Tech-Unternehmen
# Self-Hosted Bitwarden (Docker):
curl -Lso bitwarden.sh https://go.btwrdn.co/bw-sh
chmod 700 bitwarden.sh
./bitwarden.sh install
./bitwarden.sh startKeeper Enterprise
- Sehr stark im Enterprise-Segment
- KeeperPAM: Passwort-Manager + PAM kombiniert
- Compliance-Reports: SOX, HIPAA, ISO 27001
- Zero-Knowledge-Verschlüsselung
- Preis: ~$5/User/Monat + Enterprise-Add-ons
Dashlane Business
- Fokus auf Usability (hohe Adoption-Rate)
- Dark Web Monitoring: werden Team-E-Mails in Leaks gefunden?
- Phishing-Schutz im Browser
- SSO und SCIM
Eignung je Unternehmensgröße
| Größe | Empfehlung |
|---|---|
| KMU (< 100 User) | Bitwarden Teams oder 1Password Teams |
| Mittelstand (100-1000) | 1Password Business oder Keeper Enterprise |
| Enterprise (1000+) | Keeper Enterprise oder CyberArk (PAM!) |
| DSGVO-sensitiv/KRITIS | Self-hosted Bitwarden oder Keeper |
Implementierung und Policies
Phase 1: Tool-Auswahl und Setup
- SSO-Integration (Azure AD / Okta / Google)
- SCIM-Provisionierung: automatische Account-Erstellung/-Deaktivierung
- Vault-Struktur planen: Teams/Ordner-Hierarchie
Vault-Struktur-Beispiel
- Engineering
- Dev-Credentials
- Cloud-Accounts (AWS, Azure)
- CI/CD-Secrets
- Marketing
- Social-Media
- Analytics-Tools
- Finance
- Banking (Nur Finance-Team!)
- ERP-Zugänge
- IT-Administration
- Netzwerk-Geräte
- Server-Credentials
- Domain-Admin (PAM-Integration!)
- Geteilt-Unternehmen
- Shared Services (alle)
Passwort-Policy im Manager erzwingen
- Minimale Länge: 16 Zeichen für neue Passwörter
- Komplexität: alpha + numeric + special
- Ablauf: 90 Tage (für kritische Konten)
- Wiederverwendung: letzten 10 Passwörter gesperrt
- MFA: Pflicht für Zugang zum Manager selbst!
Offboarding-Automatisierung
- SCIM-Deprovisionierung: Account gesperrt = automatisch kein Vault-Zugriff
- Shared Credentials: Manager protokolliert welche der User kannte
- Passwort-Rotation-Policy: nach Offboarding alle geteilten Passwörter ändern!
Audit-Funktionen
- Welcher User hat welches Passwort wann abgerufen?
- Weak Password Reports: welche Passwörter sind zu schwach?
- Reused Passwords: gleiche Passwörter in verschiedenen Einträgen
- Breach Reports: wurden Team-E-Mails in Datenlecks gefunden?
Passwort-Manager-Sicherheit
Zero-Knowledge-Architektur
- Alle Daten: AES-256 verschlüsselt vor dem Upload
- Schlüsselmaterial: nur beim Client (nie auf Server!)
- Selbst ein kompromittierter Server = keine Passwörter lesbar
- Anbieter kann eigene Daten nicht entschlüsseln
Master-Passwort-Sicherheit
- Das Master-Passwort ist der einzige Schlüssel
- Verloren: Daten oft unwiederbringlich
- Empfehlung: Diceware-Passphrase (4-5 zufällige Wörter)
- Beispiel: “Turm-Krokodil-Seite-Baum-Funk” = sehr stark + merkbar
MFA-Schutz des Managers:
- Master-Passwort + TOTP + Device-Vertrauenswürdigkeit
- Backup-Codes: offline gespeichert!
Was bei Kompromittierung eines Endgeräts?
- Session-Key temporär → nach Reboot: erneuter Login
- Biometrische Entsperrung: schneller Zugriff ohne Master-Passwort
- Remote Session-Beendigung: alle Sitzungen zentral beenden
Bekannte Vorfälle
LastPass 2022:
- Angreifer stahl verschlüsselte Vault-Daten
- Zero-Knowledge beibehalten: Passwörter NICHT direkt lesbar
- ABER: Metadaten (URLs, Nutzernamen) unverschlüsselt!
- Gelernt: auch Metadaten sollten verschlüsselt sein
- LastPass verlor massiv Marktanteile → Bitwarden/1Password profitierte
1Password: bisher keine bekannten Breaches
Bitwarden: Audit 2018 + 2020: keine kritischen Schwachstellen gefunden
