Reifegradmodell für Passwortverwaltung

Organisationen, die ihre Sicherheit durch die Einführung eines unternehmensweiten Passwort-Managers stärken möchten, können ihre Widerstandsfähigkeit verbessern, indem sie mithilfe des folgenden Reifegradmodells für Passwortverwaltung zentrale Verbesserungsbereiche bewerten. Dieses Framework hilft Organisationen, ihren Reifegrad beim Passwort-Manager – basierend auf ihren aktuellen Abläufen – zu verstehen und die erforderlichen Schritte zur Verbesserung ihrer bestehenden Einstufung zu identifizieren.

Organisationen der Level-1-Kategorie haben keinen unternehmensweiten Passwort-Manager eingeführt. Das Fehlen eines zentralisierten Passwortverwaltungssystems erhöht das Risiko kompromittierter Passwörter, da Mitarbeiter ohne angemessene Kontrolle schwache oder wiederverwendete Passwörter nutzen können. Stattdessen verfolgen Mitarbeiter einen isolierten Ad-hoc-Ansatz, um Unternehmenspasswörter zu schützen. Dies kann die Nutzung von browserbasierten Passwort-Managern, Excel-Tabellen, das Teilen von Passwörtern über Slack oder das Aufschreiben auf Papier und Haftnotizen umfassen. Ein solches Umfeld fördert wahrscheinlich weder eine robuste Sicherheitskultur noch betont es Best Practices für Sicherheit. Unternehmensweite Schulungen finden selten statt oder fehlen vollständig. Was den allgemeinen technischen Reifegrad betrifft, ist es sehr wahrscheinlich, dass sensible oder kritische Daten beim Teilen unverschlüsselt und gefährdet sind. 

• Einführung des Passwort-Managers: In einer Level-1-Organisation gibt es keine Prozesse für Passwort-Manager, sodass Mitarbeiter ihren individuellen Gewohnheiten überlassen bleiben.

• Sicherheitskultur: Eine Level-1-Organisation legt keinen Schwerpunkt auf Best Practices für Sicherheit und verfügt nur über ein minimales Sicherheitsbewusstsein. 

• Technischer Reifegrad: Eine Level-1-Organisation teilt sensible Informationen unsicher, häufig unverschlüsselt.

Level-1-Organisationen beginnen ganz von vorn und haben viele Möglichkeiten für schnelle Verbesserungen durch einfache Maßnahmen, die sofort für mehr Sicherheit sorgen können. Der wichtigste nächste Schritt für ein Unternehmen zur Verbesserung der Sicherheit besteht darin, ein Team – typischerweise die IT – zur Nutzung eines Passwort-Managers zu verpflichten und anschließend einen Plan für eine umfassende Einführung zu erstellen.

Level 2 steht für einen etwas reiferen, aber noch wachsenden Ansatz für starke Passwortsicherheit und -verwaltung. Organisationen in dieser Phase nutzen keinen unternehmensweiten Passwort-Manager, und Praktiken zur Passwortsicherheit sind dezentralisiert, wobei Mitarbeiter auf eine Kombination aus browserbasierten Passwort-Managern und anderen integrierten Passwortverwaltungstools zurückgreifen. Einige Organisationen beginnen möglicherweise mit einem kostenlosen Passwort-Manager, bevor sie zu einer stärker zentralisierten Lösung wechseln. Best Practices für Sicherheit werden beim Onboarding von Mitarbeitern nur oberflächlich behandelt, stehen jedoch nicht dauerhaft im Fokus der Organisation. Der technische Reifegrad auf diesem Level ist durch uneinheitliche Verschlüsselungspraktiken gekennzeichnet – einige Informationen sind verschlüsselt, andere nicht – und Zwei-Faktor-Authentifizierung wird nur sparsam zur verbesserten Identitätsprüfung eingesetzt. Organisationen, die von Level 2 zu Level 3 aufsteigen möchten, sollten sich auf mehr Bewusstsein und Schulung konzentrieren, um grundlegende Praktiken für die Sicherheit von Zugangsdaten zumindest teilweise zu etablieren.

• Einführung des Passwort-Managers: Level-2-Unternehmen verfügen über eine dezentrale Passwortverwaltung oder nutzen integrierte Passwort-Manager ad hoc, etwa den Apple-Schlüsselbund oder in Browser integrierte Lösungen.

• Sicherheitskultur: Level-2-Unternehmen legen nur begrenzten Wert auf Best Practices für Passwortsicherheit.

• Technischer Reifegrad: Level-2-Unternehmen verfolgen uneinheitliche Ansätze beim Teilen verschlüsselter Informationen und bei der Verwendung von Multi-Faktor-Authentifizierung (2FA).

Level-2-Unternehmen legen etwas mehr Wert auf Datensicherheit, doch die allgemeinen Praktiken bleiben dezentralisiert. Der unmittelbare nächste Schritt zur Verbesserung der Sicherheit besteht darin, einen zentralisierten, plattformübergreifenden Passwort-Manager auszuwählen, der auf allen Geräten der Mitarbeiter funktioniert, und mit einer schrittweisen Einführung zu beginnen.

Der Wechsel von Level 2 zu Level 3 ist ein bedeutender Schritt hin zur Absicherung Ihres Unternehmens. Einzelne Teams innerhalb der Organisation nutzen einen eigenständigen Passwort-Manager, insgesamt bleibt die Einführung jedoch gering. Sicherheitsschulungen finden häufiger und konsistenter statt, und Mitarbeiter erhalten häufiger Warnmeldungen, wenn sie offensichtlich riskante Sicherheitspraktiken anwenden. Aus Sicht des technischen Reifegrads sind Mitarbeiter, die gemeinsam eine Passwortverwaltungslösung nutzen, auf allen vom Unternehmen ausgegebenen Geräten abgedeckt und können Passwörter sowie andere sensible Informationen sicher teilen. Die Verwendung eines verschlüsselten Passwort-Tresors kann die Sicherheit deutlich erhöhen, indem sensible Informationen sicher gespeichert werden. Die Möglichkeit, Daten sicher mit Kollegen zu teilen, markiert eine Abkehr von Level 2.

• Einführung des Passwort-Managers: Unternehmen der Stufe 3 verfügen über ein gewisses Maß an zentralisierter Passwortverwaltung, wobei ein oder zwei Teams eigenständige Passwort-Manager anstelle integrierter Tools nutzen.

• Sicherheitskultur: Unternehmen der Stufe 3 legen verstärkt Wert auf Sicherheitskultur, haben jedoch keine Tools oder Systeme für konkrete Verantwortlichkeit eingeführt.

• Technische Reife: Teams der Stufe 3, die einen zentralisierten Passwort-Manager verwenden, profitieren von plattformübergreifender Abdeckung über Geräte hinweg und sicherer Freigabe zwischen Mitarbeitenden.

Unternehmen der Stufe 3 bewegen sich in eine stärker zentralisierte, wenn auch noch lückenhafte Richtung, um Datensicherheit zu priorisieren. Der nächste Schritt zur Verbesserung der Sicherheit besteht darin, die Abdeckung der Passwortverwaltung von einer schrittweisen Einführung auf eine unternehmensweite Einführung auszuweiten.

Stufe 4 ist durch die flächendeckende Einführung eines unternehmensweiten Passwort-Managers gekennzeichnet, mit einer in der gesamten Organisation initiierten Bereitstellung. Es ist entscheidend, ein starkes Master-Passwort zu erstellen, um den Passwort-Manager zu schützen. Alle Mitarbeitenden werden angehalten, den Passwort-Manager des Unternehmens zu verwenden, um Passwörter zu erstellen, zu speichern und mit anderen Teammitgliedern zu teilen. Darüber hinaus sind Sicherheitsschulungen in der gesamten Organisation normalisiert und akzeptiert, wobei das Management die Teilnahme über detaillierte Schulungsmodule nachverfolgt und Anreize dafür schafft. Technische Reife der Stufe 4 steht für unternehmensweite Passwortverwaltung mit Integration von Verzeichnisdiensten und Single Sign-On. Die Integration mit Verzeichnisdiensten (dazu können Active Directory/Entra, Google Workspace oder OneLogin gehören) synchronisiert Benutzer und Gruppen aus einem externen Verzeichnis mit dem Passwort-Manager. Integration mit Single Sign-On ermöglicht es Organisationen, ihren bestehenden Identitätsanbieter zu nutzen, um Benutzer bei ihrem Unternehmens-Passwort-Manager zu authentifizieren.

• Bereitstellung des Passwort-Managers: Unternehmen der Stufe 4 haben einen eigenständigen Passwort-Manager in der gesamten Organisation bereitgestellt, wobei Teams nachdrücklich dazu angehalten werden, vollständig auf integrierte Tools und Ad-hoc-Praktiken zu verzichten.

• Sicherheitskultur: Unternehmen der Stufe 4 bieten regelmäßige Sicherheitsschulungen an und schaffen über Teilnahmekennzahlen Anreize für die Teilnahme.

• Technische Reife: Unternehmen der Stufe 4 haben Passwort-Manager in IT-Workflows integriert, einschließlich Verzeichnisdiensten und Single Sign-On (SSO).

Unternehmen der Stufe 4 verfolgen einen deutlich einheitlicheren, konkreteren Ansatz zur Datensicherheit, mit dem Schwerpunkt auf der Sicherstellung einer flächendeckenden Abdeckung. Der nächste Schritt zur Verbesserung der Sicherheit besteht darin, eine unternehmensweite Passwortverwaltung in der gesamten Organisation vorzuschreiben. Sobald dies in Umsetzung ist, aktivieren Sie passwortlose Authentifizierung und verlangen Sie Multi-Faktor-Authentifizierung (2FA) für alle Teams.

In dieser Phase hat eine Organisation einen unternehmensweiten Passwort-Manager vollständig eingeführt und in die organisatorischen Workflows integriert. Dieser Passwort-Tresor wird verwendet, um sensible Informationen, einschließlich Passwörtern, Kreditkartendaten und personenbezogenen Daten, sicher zu speichern und zu verwalten. Die unternehmensweite Einführung der Passwortverwaltung ist verpflichtend, mit Einschränkungen für alternative Methoden zur Passwortspeicherung. Unternehmen in dieser Phase bieten Mitarbeitenden Familientarife für Passwortverwaltung an, um eine ganzheitliche Sicherheitskultur zu fördern, die persönliche und berufliche Gewohnheiten bei der Passwortverwaltung betont. Sicherheitsschulungen sind für die gesamte Organisation verpflichtend, und Mitarbeitende werden ermutigt, verdächtige Cybersicherheitsaktivitäten zu melden. Die technische Reife ist durch umfassende Abdeckung und Berichterstattung gekennzeichnet. Der unternehmensweite Passwort-Manager ermöglicht passwortlose Optionen von Biometrie bis hin zu Passkeys, während Entwickler APIs für die Integration mit anderen Tools wie SIEM verwenden, um einen effektiven Sicherheits-Stack sicherzustellen. Automatisiertes Scripting mit APIs wird genutzt, um die administrative Kontrolle zu verbessern und komplexe Workflows zu vereinfachen.

• Bereitstellung des Passwort-Managers: Unternehmen der Stufe 5 verlangen von allen Mitarbeitenden die Nutzung eines eigenständigen Passwort-Managers.

• Sicherheitskultur: Unternehmen der Stufe 5 haben verpflichtende Sicherheitsschulungen eingeführt, wobei Mitarbeitende eigeninitiativ verdächtige Aktivitäten an die IT-Abteilung melden.

• Technische Reife: Unternehmen der Stufe 5 setzen auf einen unternehmensweiten Passwort-Manager, der passwortlose Authentifizierung bietet, Multi-Faktor-Authentifizierung (2FA) verlangt und Entwickler dazu ermutigt, APIs für die Integration mit anderen Tools zu nutzen.

Unternehmen der Stufe 5 verfügen über ein umfassendes, ausgereiftes, unternehmensweites Passwortverwaltungssystem. Unternehmen, die über diesen Punkt hinaus Fortschritte erzielen möchten, sollten Tools für Secrets Management prüfen, die Infrastruktur- und Maschinen-Secrets schützen.