M 4.306 Umgang mit Passwort-Speicher-Tools

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Benutzer, IT-Sicherheitsbeauftragter

Die meisten Menschen müssen sich sowohl im Arbeitsleben als auch privat eine Vielzahl von Passwörtern, PINs und anderen Authentikationsgeheimnissen merken. Dies führt immer wieder zu Problemen. Typische Beispiele dafür sind, dass Benutzer ihre Passwörter vergessen, so dass diese in aufwendigen Prozessen zurückgesetzt werden müssen, oder dass sie sie notieren und unsicher verwahren.

Um solche Probleme zu vermeiden, werden als technische Hilfsmittel Produkte angeboten, mit denen eine Vielzahl von Passwörtern, PINs und anderen Authentikationsgeheimnissen verwaltet werden können. Solche Passwort-Speicher-Tools, auch "Passwort-Safes" genannt, sind sowohl als reine Software-Lösungen als auch in Kombination mit eigenständiger Hardware erhältlich. Beim Einsatz von Passwort-Speicher-Tools sind diverse Aspekte zu beachten (siehe auch M 2.22 Hinterlegen des Passwortes ):

Eine Hinterlegung oder Speicherung von Passwörtern ist immer mit organisatorischem Aufwand verbunden. Bei jeder Änderung eines der gespeicherten Passwörter ist dieses auch im Passwort-Speicher-Tool zu aktualisieren. Es darf kein Passwort dabei vergessen werden.

Bevor ein Passwort-Speicher-Tool eingesetzt wird, ist der Schutzbedarf der Passwörter abzuschätzen, die damit gespeichert werden sollen. Nicht alle Passwort-Tools eignen sich zur Speicherung hochschutzbedürftiger Passwörter. Andererseits unterstützen sie Benutzer darin, für jede Anwendung unterschiedliche und trotzdem möglichst komplexe Passwörter auszuwählen.

Wenn ein Tool zur Speicherung von Passwörtern benutzt werden soll, sind die im Folgenden beschriebenen Anforderungen an solche Werkzeuge zu beachten.

Außerdem sind beim Einsatz von Tools zur Speicherung von Passwörtern unter anderem folgende Rahmenbedingungen zu beachten:

In der Institution sollten alle Mitarbeiter darauf hingewiesen werden, ob Passwort-Speicher-Tools genutzt werden dürfen. Wenn dies der Fall ist, sind die hierfür freigegebenen Tools bekannt zu geben. Es sollte dann außerdem eine Regelung geben, in der beschrieben ist, welche Arten von Passwörtern damit gespeichert werden dürfen und welche Rahmenbedingungen dabei eingehalten werden müssen.

Prüffragen: