Wie Unternehmen wirksam gegensteuern können
Die zunehmende Digitalisierung von Geschäftsprozessen macht Passwörter zu einem zentralen Sicherheitsfaktor in Unternehmen. Gleichzeitig zeigt die Praxis: Selbst dort, wo moderne Passwortmanager als Standardwerkzeug im Einsatz sind, greifen Mitarbeitende weiterhin auf unsichere Passwortpraktiken oder riskante Workarounds zurück.
Sicherheitsvorfälle und Audits zeichnen immer wieder ein paradoxes Bild. Trotz flächendeckender Einführung professioneller Passwortmanager werden grundlegende Sicherheitsprinzipien umgangen. Passwörter werden kopiert, mehrfach verwendet oder ausserhalb des vorgesehenen Systems gespeichert. Damit wird der eigentliche Schutzmechanismus ausgehebelt.
Die Ursache liegt selten in der eingesetzten Technologie. Entscheidend ist vielmehr das Zusammenspiel von menschlichem Verhalten, organisatorischen Rahmenbedingungen und einer fehlenden oder unzureichend gelebten Sicherheitskultur.
Warum entstehen unsichere Workarounds trotz Passwortmanager? Der Einsatz eines Passwortmanagers ohne klare Governance ist das Kernproblem.
In vielen Unternehmen werden Passwortmanager primär als technisches Tool eingeführt, nicht jedoch als sicherheitskritischer Bestandteil der Unternehmens-Governance verstanden. Fehlende oder unklare Passwortrichtlinien, Zeitdruck im Arbeitsalltag und ein geringes Bewusstsein für reale Bedrohungsszenarien führen dazu, dass Sicherheitsmechanismen als hinderlich wahrgenommen werden.
Die Folge sind bekannte Workarounds: Passwörter werden im Browser gespeichert, in unverschlüsselten Dateien abgelegt, per Chat geteilt oder sogar handschriftlich notiert.
Hinzu kommt, dass Passwortmanager häufig zwar technisch implementiert, aber organisatorisch nicht ausreichend verankert sind. Fehlende Schulungen, unklare Zuständigkeiten und mangelnde Kommunikation führen dazu, dass ihre Funktionalitäten, wie etwa Rollen- und Rechtekonzepte oder sichere Freigabemechanismen, nicht konsequent genutzt werden. Damit wird der Passwortmanager zum bloßen „Ablagemedium“ degradiert und nicht zu dem, was er sein sollte, nämlich ein zentrales Kontroll-, Schutz- und Audit-Instrument.
Passwortmanager und insbesondere integrierte Passwortgeneratoren sind heute unverzichtbare Werkzeuge für Unternehmen.
Passwortmanager und insbesondere integrierte Passwortgeneratoren sind heute zentrale Werkzeuge für Unternehmen.
Sie ermöglichen die Erstellung hochkomplexer, individueller Passwörter. Werden diese konsequent über den Passwortgenerator erzeugt, entfalten sie eine sehr hohe Schutzwirkung.
Von Menschen erstellte Passwörter sind hingegen häufig vorhersehbar, mehrfach verwendet oder zu kurz. Damit werden sie zu einem einfachen Einfallstor für Angriffe und halten modernen Methoden wie Phishing, Brute-Force- oder Credential-Stuffing-Attacken in der Regel nicht stand.
Unsichere Passwortpraktiken sind deshalb kein individuelles Fehlverhalten, sondern ein systemisches Risiko. Zeitdruck, die steigende Anzahl von Anwendungen und wachsende Sicherheitsanforderungen führen dazu, dass Mitarbeitende Abkürzungen suchen. Genau hier setzen Angreifer an: Phishing, Credential Stuffing, Keylogging und Social Engineering zielen gezielt auf menschliche Schwächen ab – nicht auf kryptografische Algorithmen.
Passwortmanager fungieren in Unternehmen primär als Sicherheitsplattform. Sie schaffen eine kontrollierte Umgebung, in der Passwörter sicher verwaltet und genutzt werden können.
Passwortmanager fungieren in Unternehmen primär als Sicherheitsplattform und schaffen eine kontrollierte Umgebung für den sicheren Umgang mit Passwörtern. Passwortrichtlinien spielen dabei eine zentrale Rolle, da sie Verbindlichkeit schaffen, Mindeststandards definieren und die Grundlage für technische wie organisatorische Massnahmen bilden. Moderne Passwortmanager bieten deshalb weit mehr als reine Passwortspeicherung. Sie ermöglichen klar definierte und unternehmensweit durchsetzbare Verhaltensregeln und ergänzen diese durch technische Schutzmechanismen.
Dazu gehört die ausschliessliche Nutzung des Passwortmanagers zur Speicherung, Verwaltung und Weitergabe von Passwörtern ebenso wie die regelmässige Änderung von Passwörtern gemäss definierter Richtlinien und der verpflichtende Einsatz von Zwei- oder Multi-Faktor-Authentifizierung für besonders schützenswerte Systeme. Gleichzeitig ist es untersagt, Passwörter lokal auf PCs oder Mobilgeräten, in eigenen Dateien oder in Browser-Speichern abzulegen.
Zentrale Funktionen wie ein sicheres Rollenmanagement, rollenbasierte Zugriffsrechte und -kontrollen, granulare Berechtigungen, sichere Passwortfreigaben sowie eine revisionssichere Protokollierung machen Passwortmanager zu einem sicherheitskritischen Bestandteil der Identity- und Access-Management-Strategie. Passwörter dürfen ausschliesslich innerhalb des Systems und nur mit autorisierten Personen geteilt werden. Eine Weitergabe per E-Mail, Chat oder mündlich ist aus Gründen der Geheimhaltung nicht zulässig. Die kontrollierte Passwortfreigabe über den Passwortmanager stellt sicher, dass Zugriffe nachvollziehbar, widerrufbar und revisionssicher bleiben.
Ein Unterlaufen des Sicherheitskonzeptes muss organisatorisch wie technisch verhindert werden. Verhaltensregeln im Passwortmanagement dürfen nicht nur kommuniziert, sondern müssen konsequent technisch durchgesetzt werden, etwa durch Policies, Monitoring und regelmässige Audits.
Zielgerichtete Schulungsmassnahmen sind ein zentraler Erfolgsfaktor, um die Regeln des unternehmerischen Passwortmanagements nachhaltig durchzusetzen und ein dauerhaft hohes Sicherheitsniveau zu erreichen.
Passwortrichtlinien geben dabei Orientierung, schaffen Verbindlichkeit und bilden die Grundlage für technische wie organisatorische Massnahmen. Ihre Wirkung entfalten sie jedoch nur, wenn sie verständlich kommuniziert, praxisnah umgesetzt und regelmässig überprüft werden.
Regeln zur Passwortsicherheit dürfen nicht bei der Formulierung enden. Sie müssen technisch unterstützt und überprüfbar umgesetzt werden, damit sie im Arbeitsalltag auch tatsächlich eingehalten werden.
Mitarbeitende sind gezielt für die Risiken unsicherer Passwörter und für einen falschen Umgang mit dem Passwortmanager zu sensibilisieren. Dazu gehört das Verständnis aktueller Angriffsarten und Bedrohungsszenarien ebenso wie die sichere und effiziente Nutzung der bereitgestellten Werkzeuge. Klar definierte Best Practices und verbindliche Passwortrichtlinien unterstützen zusätzlich dabei, ein einheitliches Sicherheitsniveau im Unternehmen zu etablieren.
Zielgerichtete Schulungen und praxisnahe Best Practices sind deshalb entscheidend für den wirksamen Einsatz von Passwortmanagern. Mitarbeitende müssen die Bedeutung von Passwortsicherheit, die Funktionsweise des eingesetzten Tools sowie relevante Angriffsarten und Bedrohungsszenarien verstehen, um Sicherheitsregeln im Alltag konsequent umzusetzen.
Sicherheit ist Technik und Verhalten zugleich!
Die korrekte Nutzung eines Passwortmanagers in Kombination mit klaren Regeln, gezielten Schulungen und technischen Schutzmechanismen reduziert Sicherheitsrisiken nachhaltig und senkt die Wahrscheinlichkeit praktischer Sicherheitsvorfälle deutlich. Passwortsicherheit ist keine einmalige Massnahme, sondern ein kontinuierlicher Prozess, der technologische Lösungen und verantwortungsbewusstes Verhalten gleichermassen erfordert. Unternehmen, die Passwortmanager als strategisches Sicherheitsinstrument verstehen und ihre Mitarbeitenden aktiv einbinden, schaffen damit die Grundlage für eine widerstandsfähige und zukunftssichere IT-Sicherheitsarchitektur.
Passwortsicherheit ist eine Führungsaufgabe. Ein Passwortmanager ist kein Selbstläufer. Erst das Zusammenspiel aus klarer Governance, verbindlichen Richtlinien, technischer Durchsetzung und kontinuierlicher Sensibilisierung des Personals macht Passwortmanagement wirksam. Unternehmen, die Passwortsicherheit ausschliesslich als technisches Thema betrachten, unterschätzen das Risiko erheblich. Wer Passwortmanager hingegen strategisch etabliert, reduziert Angriffsflächen, minimiert Kompromittierungen und stärkt die Resilienz der IT-Infrastruktur nachhaltig.
Die Sicherheitsexperten der ALPEIN Software SWISS AG unterstützen Unternehmen bei allen Fragen rund um Passwortmanagement, Passwortrichtlinien sowie Schulungs- und Trainingskonzepte. Mit PassSecurium™ bietet das Unternehmen einen Schweizer Passwortmanager für unterschiedliche Anforderungen. Ergänzend stehen Produktvarianten für Unternehmen, Behörden, öffentliche Verwaltungen, KMU und Teams zur Verfügung. Für SAP-Unternehmen ermöglicht Pass4SAP die nahtlose Integration des etablierten Passwortmanagement-Tools PassSecurium™ in die SAP-Welt.
Bei Fragen zum Passwortmanagement, zu Produktlösungen, Sicherheitstechnologien, Schulung und Training stehen die Sicherheitsspezialisten der ALPEIN Software SWISS AG jederzeit per E-Mail unter contact@alpeinsoft.ch zur Verfügung. Weitere Informationen finden Sie auch unter https://www.pass-securium.ch
ALPEIN Software SWISS AG- Softwarehaus & Medienagentur in der Schweiz:
Ihr kompetenter Partner für individuelle Software-Entwicklung, Beratung und Dienstleistungen zu den Themen SAP BI, HANA, ME, MII, SAP UI5/Fiori, ABAP-Entwicklung, Webtechnologien auf HTML5, Javascript, PHP, SQL und JAVA-Basis. ALPEIN Software: Alles aus einer Hand!
Aktuelle Produkte: SWISS SECURIUM, CloudSecurium, PassSecurium, MailSecurium, DeskSecurium, AccessSecurium. JIRA2SAP PII Reporting Kit.
Kontakt
Alpein Software Swiss AG
Volker Strecker
Obergass 23
8260 Stein am Rhein
+41 (0) 41 552 44 07
http://www.alpeinsoft.ch
Die Bildrechte liegen bei dem Verfasser der Mitteilung.