Eine Authentifizierungs-App ist eine Methode der Multifaktor-Authentifizierung (MFA), die Ihren Online-Konten eine zusätzliche Sicherheitsebene hinzufügt. Keeper® kann anstelle von Google Authenticator verwendet werden, ...
Eine so alte IT-Herausforderung wie Software as a Service (SaaS) existiert in jeder Organisation – egal, ob man einen einzigen Technologieanbieter oder mehrere Lösungen hat. In einigen Organisationen ist dies für Passwortmanager der Fall.
Und da Softwarefunktionen variieren, gibt es zwingende Gründe, die eine Organisation dazu bringen, eine einzige Lösung oder mehr als eine zu haben.
In diesem Blog werden wir uns ansehen, warum Passwortmanager mit einem unternehmensweiten Ansatz implementiert werden sollten und wie IT-Teams ihren Organisationen ermöglichen können, den Schutz von Passwörtern auf einer Plattform zu vereinheitlichen.
Eine Lösung vs. mehrere Lösungen
Eine einzelne, einheitliche Passwortverwaltungslösung kann die meisten Kästchen auf die Funktionsanforderungen in einer Organisation überprüfen oder die lauteste Stimme im Raum befriedigen. Wenn die Lösung jedoch nicht umfassend ist, kann es sein, dass einigen Gruppen kritische Funktionen fehlen.
Warum also nicht mehrere Anbieter verwenden? Das kann sicherlich einzelne Abteilungen und Teams zufriedenstellen. Alle Parteien glücklich zu machen, ist jedoch mit zusätzlichen Kosten verbunden – und Inkonsistenzen bei Prozessen, Kontrolle und Berichterstattung.
Die Debatte über einzelne vs. mehrere Lösungen kann für einige Software, wie Textverarbeitungslösungen, ausschlaggebend sein. Aber Passwortmanager wie die Identitäts- und Zugriffsverwaltungsrichtlinien (IAM), die sie durchsetzen, sind auf Unternehmensebene angesiedelt.
Eine Passwortverwaltungslösung sollte alle Benutzer, Anwendungen und Geräte abdecken.
Warum einige Organisationen mehrere Lösungen haben
Lassen Sie uns zunächst einige häufige Gründe untersuchen, warum Organisationen mehrere Passwortmanager verwenden – und warum diese Argumentation nicht einer Prüfung standhält.
Laute Stimmen & fehlende Unterstützung
Eine fehlende Unterstützung von der Geschäftsleitung oder der Organisationskultur, kombiniert mit lauten Stimmen, die die Sorgen des IT- und Sicherheitspersonals übertönen, kann dazu führen, dass der IT die Befugnis fehlt, wichtige Entscheidungen zu treffen. Dies beinhaltet die Herstellung einer Einheitlichkeit in der Passwortverwaltung und anderer kritischer Software.
Mit anderen Worten, wenn Bob in der Finanzabteilung Passwortmanager A mag, aber Suzy in Marketing Passwortmanager B besser findet und die Führungsebene eine Laissez-faire-Haltung gegenüber der Softwarebenutzung hat, hat die IT kein Bein, auf dem sie stehen kann. Bob und Suzy können beide die Software verwenden, die sie mögen – und hey, vielleicht bevorzugt jemand anderes in Sales einen anderen Passwortmanager, und auch er darf diesen verwenden.
Es ist nicht schwer, sich vorzustellen, wie schnell „Verwenden Sie das, was Sie brauchen, um den Job zu erledigen“ außer Kontrolle geraten kann – zumal die durchschnittliche Organisation über 100 SaaS-Apps verwendet.
Die Vorliebe der Endbenutzer für Legacy-Lösungen
Dies steht oft im Zusammenhang mit den Problemen lauter Stimmen und fehlender Unterstützung.
Bevor das Enterprise Password Management zur Priorität wurde, haben einzelne Abteilungen oder Geschäftseinheiten möglicherweise unabhängig voneinander verschiedene Lösungen zur Verwaltung ihrer Passwörter eingesetzt. Noch schlimmer ist, dass einige dieser Lösungen sehr unsicher sind, einschließlich in Browser integrierte Passwortmanager, Tabellenkalkulationen und sogar Haftnotizen.
Menschen sind von Natur aus resistent gegen Veränderungen. Wenn ein Team seit Jahren eine bestimmte Lösung verwendet, kann die Aussicht, zu einem anderen Tool zu wechseln, entmutigend erscheinen. Die langfristigen Vorteile einer einzigen Lösung sind jedoch schwer zu ignorieren – von stärkerer Sicherheit und effizienter Compliance-Berichterstattung bis hin zu einer besseren Allokation von IT-Ressourcen und einer nahtlosen Zusammenarbeit der Mitarbeiter.
Bedenken über Anbietersperre und Sicherheitslücken
In einigen Fällen bevorzugen Organisationen, aus Angst vor der Anbieterbindung mehrere Lösungen zu verwenden. Sie haben Angst, dass, wenn sie nur eine Lösung verwenden, es fast unmöglich sein wird, zu wechseln, und sie für immer an diesen Anbieter gebunden sein werden. Solange ein ausgewählter Anbieter jedoch einen einfachen Export von Passwörtern ermöglicht, ist das kein Problem.
Darüber hinaus fürchten einige Unternehmen und sogar IT-Führungskräfte die Sicherheitsrisiken, die mit der Verwendung eines einzigen Passwortmanagers verbunden sind – insbesondere angesichts der jüngsten Sicherheitsverletzungen. In einigen Fällen kann eine Organisation ihre Anmeldeinformationen in einer Lösung und ihre Backup-Codes, Sicherheitsfragenantworten und so weiter in einer anderen Lösung aufbewahren.
Ihre Logik ist, dass, wenn ein Passwortmanager gehackt wird, die Organisation mindestens den Schutz eines weiteren Passwortmanagers hat. Die Koexistenz mehrerer Passwortmanager in einer Organisation bietet jedoch nicht unbedingt mehr Schutz – tatsächlich verschlechtert es die Sicherheit.
Jedes SaaS-Programm, das eine Organisation zu ihrer Datenumgebung hinzufügt, ist noch ein weiterer potenzieller Endpunkt, den ein Bedrohungsakteur ausnutzen kann. Je mehr Passwortmanager, mit denen Endbenutzer arbeiten müssen, desto wahrscheinlicher ist es, dass jemand irgendwo einen Fehler machen wird.
Organisationen sind so anfällig wie ihre ungeschützten Endpunkte. In Kombination mit der Sicherheitsarchitektur der jeweiligen Lösung und der Fähigkeit des IT-Teams, starke Richtlinien durchzusetzen, ist die Übernahme eines einzigen Passwortmanagers durch die Mitarbeiter ein viel stärkerer Garant für die Unternehmenssicherheit.
Die Sicherheitsvorteile eines einzigen Passwortmanagers
Selbst wenn man Überlegungen über die zugrunde liegende Sicherheit einzelner Lösungen beiseite lässt, die in jedem IT-Beschaffungsprozess Priorität haben sollte, gibt es immer noch eine Reihe von Gründen, warum die Verwendung einer einzigen Passwortverwaltungslösung im gesamten Unternehmen gegenüber der Nutzung mehrerer Lösungen erhebliche Vorteile hat.
IT-Transparenz und -Kontrolle
Laut dem Data Breach Investigations Report von Verizon sind 74 % der Angriffe auf menschliches Versagen zurückzuführen – gestohlene oder schwache Passwörter, Geheimnisse und Anmeldeinformationen. In modernen digitalen Organisationen muss jeder Endbenutzer auf Software zugreifen – was bedeutet, dass jeder Passwörter verwenden muss. Daher muss das Identitäts- und Zugriffsmanagement ganzheitlich und einheitlich im gesamten Unternehmen sein.
Eine einzige Passwortverwaltungslösung vereinheitlicht die Transparenz und ermöglicht es IT-Teams, Passwörter mit einer Plattform zu überprüfen.
Mehrere Lösungen fragmentieren die Überwachung über verschiedene Funktionen und Plattformen hinweg, die manchmal inkompatibel miteinander sind. Die Kompatibilität zwischen Systemen oder das Fehlen derselben macht es für die IT schwierig, Daten von verschiedenen Passwortmanagern abzugleichen und das Risiko ganzheitlich zu bewerten.
Mitarbeitersicherheitshygiene
So wie mehrere Passwortmanager die Top-down-Transparenz der IT-Teams fragmentieren, untergräbt es auch die Mission der IT, die Organisation zu schützen, indem es sicherstellt, dass die Mitarbeiter die Einhaltung der Passwortrichtlinien einhalten.
Ohne einen Standard für die Passwortverwaltung, den die IT-Abteilung – oft mithilfe der Personalabteilung (Human Resources, HR) – verstärken kann, riskiert das Unternehmen passwortbezogene Cyberangriffe und möglicherweise die Nichteinhaltung von HIPAA, GDPR und anderen Branchen- und Regulierungsstandards.
Eine einzige Passwortverwaltungslösung zentralisiert die Kontrolle über Passwortgewohnheiten und -verhalten und ermöglicht es IT-Administratoren, sicherzustellen, dass alle Mitarbeiter starke, einzigartige Passwörter für jedes Konto verwenden. Außerdem sorgt sie dafür, dass die Multi-Faktor-Authentifizierung (MFA) eingesetzt wird, wo immer dies unterstützt wird und dass weitere Sicherheitsrichtlinien eingehalten werden.
Compliance und Berichterstattung
Die Fähigkeit, den Zugriff auf Anmeldeinformationen und sensible Informationen effizient zu überprüfen und zu kontrollieren, ist entscheidend, um die Compliance aufrechtzuerhalten und Sicherheitsverletzungen zu verhindern. Eine einzige Lösung rationalisiert die Einhaltung von Vorschriften wie HIPAA, FedRAMP, StateRAMP, ISO 27001, PCI DSS, DSGVO und Sarbanes-Oxley (SOX), die alle eine Zugriffskontrollberichterstattung erfordern.
Mehrere Lösungen erfordern Audit- und Finanzteams, um verschiedene Methoden zur Speicherung und Berichterstattung von Daten miteinander in Einklang bringen. Da die Kosten für die regulatorische Compliance steigen, Fernarbeit diese komplexer macht und die Angriffsflächen von Organisationen erweitert, ist ein effizienter Auditprozess wichtiger denn je.
Forensik aus einer einzigen Sicht
Wenn es zu einem Sicherheitsvorfall kommt, müssen forensische Analysten Ereigniszeitlinien erstellen, um nachzuvollziehen, wie der Cyberkriminelle die Organisation angegriffen hat. Kompromittierte Konten auf unterer Ebene, wie Social-Media-Konten, bieten oft einen Einstiegspunkt für Cyberkriminelle, um Privilegien zu erweitern, sobald sie drin sind.
Ähnlich wie beim rationalisierten Prozess für IT-Kontroll- und Compliance-Audits zentralisiert eine einzige Passwortverwaltungslösung Ereigniszeitlinien und entfernt isolierte Standards für die Berichterstattung.
Die geschäftlichen Vorteile der Verwendung eines Enterprise Password Managers
Neben Sicherheitsüberlegungen gibt es eine Fülle von geschäftlichen Vorteilen, wenn Sie auf nur einen Passwortmanager reduzieren. Eine einzige Lösung ist eine viel kostengünstigere, unterstützbare und reaktionsschnellere Option zum Schutz von Passwörtern und sensiblen Informationen.
Kosten sparen bei der Verwendung von nur einer Lösung
Aller Wahrscheinlichkeit nach ist es für ein Unternehmen kostengünstiger, Software über einen Anbieter anstatt mehrere zu kaufen. Und da das IT-Budget 2023 real sinken wird, sollten sich CFOs und IT-Führungskräfte vor allem auf Passwortmanager verlassen, die die Funktionalität konsolidieren und die Ausgaben kontrollieren.
Bessere Fähigkeit, Endbenutzer zu unterstützen
Ein Passwortmanager sollte die Anzahl der passwortbezogenen Tickets reduzieren, die auf den IT-Service Desk landen, aber zwangsläufig benötigen einige Mitarbeiter immer noch Unterstützung. Mit nur einem Passwortmanager und einem Satz von Funktionen, mit dem die Systemadministratoren arbeiten müssen, kann sich das IT-Team auf interne Projekte konzentrieren, die das Geschäft voranbringen.
Reaktionsfähigkeit des Anbieters
Ähnlich wie die Rationalisierung des internen Supports für nur ein Tool bietet eine einzige Lösung nur einen externen Kontaktpunkt, um die Mitarbeiter bei der Implementierung eines Passwortmanagers zu unterstützen. Wenn Sie neue Benutzer für eine Lösung onboarden, kann ein einziger Ansprechpartner beim Anbieter helfen, den Rollout in einer Organisation zu koordinieren.
So treiben Sie eine Unternehmensinitiative für die Passwortverwaltung an
Aufgrund der Kosten, Benutzerfreundlichkeit und Sicherheit sind Organisationen besser mit einem einzigen Passwortmanager bedient als mit mehreren unterschiedlichen und inkompatiblen Lösungen.
Manche Mitarbeiter sträuben sich vielleicht schon bei dem Vorschlag, auf einen einzigen Passwortmanager umzusteigen. Eine Unternehmensstrategie für das Passwortmanagement – unterstützt durch ein einziges Tool – verspricht jedoch mehr Effizienz, Zusammenarbeit und Sicherheit.
Da ein Großteil der Cyberangriffe auf gestohlene, schwache und wiederverwendete Passwörter, Anmeldeinformationen und Geheimnisse zurückzuführen ist, muss die Sicherheit eines Unternehmens geschützt werden. IT- und Compliance-Abteilungen benötigen eine einzige Lösung, um Transparenz und Kontrolle über ihre kritischen Systeme und Daten zu gewährleisten.
Sind Sie bereit, die Passwortverwaltung in Ihrer Organisation zu vereinheitlichen? Sprechen Sie noch heute mit einem unserer Cybersicherheitsexperten über einen koordinierten Rollout des Keeper Password Managers.