Keeper Security: Kommentar zum Europäischen Datenschutztag
Risiken minimieren und Daten schützen
Fortsetzung des Artikels von Teil 1
Was Unternehmen bei der Wahl eines Passwort-Managers hilft
Um die Wahl eines Passwort-Managers für Unternehmen zu erleichtern, gibt es fünf Aspekte, auf die Sicherheitsverantwortliche und IT-Administratoren achten sollten. Immerhin geht es darum, das Unternehmen vor Eindringlingen zu schützen und die Passwortsicherheit auch in einem Worst-Case-Szenario aufrecht zu erhalten.
1. Zero-Knowledge-Security: Das bedeutet, dass jeder Nutzer die vollständige Kontrolle über die Ver- und Entschlüsselung aller in seinem Tresor gespeicherten persönlichen Daten hat und dass keine seiner gespeicherten Daten für andere Personen zugänglich sind, nicht einmal für die eigenen IT-Administratoren und schon gar nicht für den Lösungsanbieter.
2. Verschlüsselung aller Daten im Tresor: Wichtig ist ein mehrschichtiges Verschlüsselungssystem, das auf vom Client erzeugten Schlüsseln basiert. 256-Bit-AES-Schlüssel auf Datensatzebene und Schlüssel auf Ordnerebene lassen sich auf dem Client-Gerät generieren, die jeden gespeicherten Datensatz verschlüsseln. Damit sind alle Inhalte des Tresors verschlüsselt, einschließlich Logins, Dateianhänge, TOTP-Codes, Zahlungsinformationen, URLs und benutzerdefinierte Felder.
3. Effektiver Schutz des Datenschlüssels: Der Datenschlüssel ist eines der wichtigsten Elemente in einem Passwort-Tresor. Denn um den Tresor eines Benutzers zu entschlüsseln, muss der Datenschlüssel entschlüsselt sein. Für Benutzer, die sich mit einem Master-Kennwort anmelden, sollte sich der Schlüssel zum Ent- und Verschlüsseln des Datenschlüssels aus dem Master-Kennwort des Benutzers mit Hilfe der kennwortbasierten Schlüsselableitungsfunktion (PBKDF2) ableiten lassen, wobei bis zu 1.000.000 Iterationen durchlaufen werden. Für Benutzer, die sich mit SSO oder passwortloser Technologie anmelden, sollte zur Ver- und Entschlüsselung der Daten auf Geräteebene die Elliptic-Curve-Kryptographie in Verwendung sein.
4. Sicherheit bei SaaS-Passwort-Managern: Passwort-Manager als SaaS-Plattform sollten die Daten bei vertrauenswürdigen und im Idealfall vom Kunden wählbaren Hosting-Dienstleistern speichern. Dabei müssen die Daten und der Zugriff auf die Plattform auf die vom Anwender gewählte Region beschränkt sein. Alle verschlüsselten Daten sollten zusätzlich zur Transport Layer Security (TLS) mit einem 256-Bit-AES-Übertragungsschlüssel verschlüsselt sein, um vor Man-in-the-Middle-Angriffen zu schützen. Der Übertragungsschlüssel wird auf dem Client-Gerät generiert und mittels ECIES-Verschlüsselung über den öffentlichen EC-Schlüssel des Servers an den Server übertragen.
5. Zertifizierungen und Compliance: Passwort-Manager für Unternehmen (idealerweise auch für Privatpersonen) sollten von offizieller Stelle geprüft und zertifiziert sein. Dazu gehören internationale ebenso wie europäische Normen wie beispielsweise SOC 2- und ISO 27001 sowie die Konformität zu DSGVO, CCPA, FedRAMP, StateRAMP oder TrustArc und PCI DSS.
- Risiken minimieren und Daten schützen
- Was Unternehmen bei der Wahl eines Passwort-Managers hilft
Lesen Sie mehr zum Thema
