Wozu kann ein Password Safe nützlich sein? Das erklärt Sascha Martens, CTO & Cybersecurity Evangelist bei Mateso, im Gespräch mit Ulrich Parthier, Publisher it security.
Wir hören immer wieder von automatisierten Brute-Force-Angriffen, die zum Ziel haben, Passwörter zu stehlen. Wie groß schätzen Sie die tatsächliche Gefahr ein?
Sascha Martens: Enorm. Heutige Angriffe, bei denen auch Brute-Force-Angriffe zum Einsatz kommen, werden immer intelligenter und ausgereifter. Denn die Technik entwickelt sich immer weiter und die Angreifer schlafen nicht. Während also die Welt aktuell vom Corona-Virus spricht, hält das Viren-Trio Emotet, Trickbot und Ryuk die IT in Atem.
Dabei ist das ja erst der Anfang. Wenn Quantencomputer erst einmal auf dem Markt sind, steigt dann nicht das Diebstahlrisiko erheblich an?
Sascha Martens: Quantencomputer werden für den gesamten InfoSec-Bereich eine ungemeine Herausforderung. Als Spezialist für Verschlüsselungen beschäftigen wir uns schon lange mit dem Thema und untersuchen den Einfluss auf verschiedene sicherheitsrelevante Bereiche. Alle mit asynchronen Verschlüsselungs-Techniken geschützten Daten und Übertragungswege sind hier besonders gefährdet. Dabei geht es natürlich auch wieder viel um zentrale Passwort- beziehungsweise Zugangs-Lösungen.
Password Safe – hört sich erst einmal sicher an. Können Sie die Lösung, die sich hinter diesem Namen verbirgt, erklären?
Sascha Martens: Password Safe ist sicher – das ist unser Fokus und wir machen bei der Sicherheit auch keine Kompromisse. Natürlich lässt sich Sicherheit nur durch diverse Mechanismen herstellen. Als Beispiel können wir einen Blick auf die Verschlüsselung oder auch Back-End-Architektur im Vergleich zu anderen Lösungen werfen: Während bei den meisten Lösungen die Datenbank verschlüsselt wird und ein Knacken dieser zum Zugriff auf alle Geheimnisse führt, ist bei uns jedes Geheimnis für sich geschützt. Zudem werden die Daten Ende-Zu-Ende-geschützt bis zur Verwendungsstelle (dem Client) übertragen. Wir vertrauen in puncto Sicherheit dabei nicht nur auf unsere Erfahrung, sondern setzen auch immer auf die Expertise externer Spezialisten.
Wie kann der Anwender feststellen, ob sein Passwort sicher ist oder, noch besser, zu wie viel Prozent?
Sascha Martens: Bei der Passwort-Sicherheit selbst gelten an sich super einfache Regeln und eigentlich kann ein Passwort gar nicht sicher genug sein! Password Safe gibt dem User dabei immer sofort Rückmeldung zu der Sicherheit des Passwortes. Zudem können wir zentrale Berichte für den User erstellen und einen CISO oder Auditor damit versorgen. Auch können eigens Passwort-Richtlinien hinterlegt werden, um die Sicherheitsstufen zusätzlich individuell zu erhöhen.
Mit über 20 Jahren Erfahung sind wir die einzige Enterprise-Lösung, die on-prem beim Kunden oder in der Cloud betrieben werden kann, sich aber auf jeden Fall immer nach einer coolen Cloud-Lösung anfühlt!
Sascha Martens, CTO & Cybersecurity Evangelist, Mateso
Können Sie einige Szenarien für den Unternehmenseinsatz skizzieren?
Sascha Martens: Uns ist wichtig, dass wir nicht als die eine, wichtigste Sec-Lösung wahrgenommen werden. Vielmehr gehört Password Safe zum elementaren Baustein in einer ganzheitlichen Sec-Strategie – schließlich können wir als Experten nicht jedes Gebiet abdecken. Somit wird Password Safe als Password Management Tool entsprechend für Admins und End-Anwender und zusätzlich als Credential Provider für andere Anwendungen und zur Automatisierung notwendiger Prozesse im Hintergrund eingesetzt. Für die restlichen Themen bieten wir die perfekte Schnittstelle und können einfach an schon bestehende Systeme wie etwa Security Information Management Tools angebunden werden.
Auf den Punkt gebracht bedeutet die sichere Kommunikation durch Ende-zu-Ende-Verschlüsselung (E2EE) …?
Sascha Martens: … den durchgängigen Schutz der Daten. Es gibt einfach keine Lücke zwischen Speicher- und Verwendungsort, weshalb die Daten durchgehend geschützt sind. Erst auf dem Client wird das Geheimnis entschlüsselt und ein Angreifer hat keine Chance.
Stichwort Segregation of Duties und Privileged Accounts: Wie sieht es mit der Rechtetrennung funktional und technisch aus – macht diese Trennung Sinn?
Sascha Martens: Ja, absolut. Allerdings müssen alle Privileged Accounts besonders geschützt werden! Und aktuell werden aufgrund von Dokumentationspflicht und im Sinne der Nachvollziehbarkeit immer mehr Privileged Accounts angelegt. Mit so genannten named Accounts erhält jeder User, der einen Verwaltungsauftrag haben könnte, einen solchen Account. Damit ist immer nachvollziehbar, wer welche Änderungen durchgeführt hat. Wir können mit Sicherheitsfunktionen an vielen Stellen zurück auf generische Accounts gehen und dadurch die Angriffsfläche massiv verringern.
Wie sehen diese Sicherheitsfunktionen aus? Kann man Passwörter noch besser schützen?
Sascha Martens: Definitiv. Zum Beispiel kann ein Passwort, das von mehreren Personen genutzt werden muss, ausschließlich von einer Person verwaltet werden. Alle anderen können es wiederum nutzen, ohne es gesehen zu haben. Bei besonders sensiblen Accounts kann als zusätzliche Hürde die Genehmigung eines Verantwortlichen als erforderliche Maßnahme ergänzt werden, um ein Passwort verwenden zu können.
Gibt es so etwas wie eine Historie und/oder Versionsnachverfolgung für Auditing-Zwecke?
Sascha Martens: Alle Aktionen innerhalb von Password Safe werden im Logbuch dokumentiert. Aus diesen Informationen generieren wir aktive Benachrichtigungen und ein Admin oder Auditor kann das Nutzer-Verhalten analysieren. Die Benutzer können natürlich auch auf alle alten Versionsstände zurückgreifen. Gerade zur Umsetzung von DSGVO-Richtlinien sind diese Funktionen maßgebend.
Welche besonderen Features unterscheiden Password Safe von anderen Produkten?
Sascha Martens: Ich denke, dass wir uns besonders durch unsere konsequente Haltung zum Thema Sicherheit differenzieren. Mit über 20 Jahren Erfahrung sind wir die einzige Enterprise Lösung, die On-Prem beim Kunden oder in der Cloud betrieben werden kann – volle Kontrolle also – sich aber auf jeden Fall immer nach einer coolen Cloud-Lösung anfühlt!
Herr Martens, wir danken für das Gespräch!