Passwörter im Unternehmen speichern

[DoOfNusS]

Mittag,

Ich arbeite bei einem größerem Deutschen Unternehmen im Bereich Social Media, relativ neu also, und die Kollegen haben mit it so überhaupt nichts am Hut.

D.h. unter andrem das Passwörter zu allen unsren Kanälen in einer Excel Datei gespeichert werden.die wird dann noch auf USB Sticks kopiert.die ersten wurden nun verloren und ich will das nun sicher haben

Erste Maßnahme um das schnell zu verbessern: zip en und mit Passwort schützen.

Wie würdet ihr eine solche Liste sicher verwalten?

 

[kAiN!]

keypass. alle pw und infos werden in einer zentralen datei abgelegt. über netzwerk für alle verfügbar. verschlüsselt. passwortgeschützt.

sehr gute, sichere und vorallem proffessionelle lösung.

 

[drwilly]

Sicher, dass ihr ne Liste mit allen Passwörtern braucht? Ich mein, da kann man auch gleich überall das gleiche Passwort nehmen.

 

[Zweifeuerkraut]

keypass. alle pw und infos werden in einer zentralen datei abgelegt. über netzwerk für alle verfügbar. verschlüsselt. passwortgeschützt.

sehr gute, sichere und vorallem proffessionelle lösung.

Du meintest wohl Keepass? Müsstest hier allerdings Version 2.x nehmen, da 1.x nur bedingt Multi-User fähig ist.

Die Frage ist aber, wie du verhinderst, dass das Datenbankfile wegkopiert wird und entweder wieder verloren geht oder irgendwann mehrere Versionen bestehen.


Gibt auch noch andere Passwortspeicher, wo du dann auch Rechteverwaltung und alles hast. Da die aber bisher mit nem Excel File bestehen konnten, wirst du das wohl eher nicht benötigen.

Edit:

Sicher, dass ihr ne Liste mit allen Passwörtern braucht? Ich mein, da kann man auch gleich überall das gleiche Passwort nehmen.

Anfängerfehler Nummer 1? ;(

 

[Hans2000]

Nehmt einfach für alle Accounts dasselbe Passwort. Mein Vorschlag: Test1234

 

[Gentley]

lol, USB-Sticks.

D.h. an euren Pcs und Workstations sind USB-Ports nicht gesperrt und jeder Schmock kann da seine verseuchte Scheiße anschließen?
Eure PW-Speicherung ist glaub ich nicht euer primäres Problem.

 

[deleted_24196]

Das haben wir im Unternehmen.
https://funkyandroid.com/eps/

 

[DoOfNusS]

Nehmt einfach für alle Accounts dasselbe Passwort. Mein Vorschlag: Test1234

Du würdest lachen.ein großer Fortschritt ist schon mal das nicht alle Passwörter als Outlook Notiz gespeichert werden...

 

[CCAA]

Keepass ist top.

und lol @ usb sticks mit frei zugänglicher PW Datei
Pro USB-Port Sperre.

 

[Pyroo]

Ne Excelfile mit Read-only-Berechtigungen für alle?

 

[DaGGrrr]

Du würdest lachen.ein großer Fortschritt ist schon mal das nicht alle Passwörter als Outlook Notiz gespeichert werden...

Ach ist doch in vielen Unternehmen so - kenn ich nur zur gut. Wenn du n Passwort brauchst hilft zu 50% n Blick unter die Tastatur/Monitor des Arbeitsplatzes oder an den PC. Irgendwo klebt es in den meisten Fällen dann...

 

[Zweifeuerkraut]

und lol @ usb sticks mit frei zugänglicher PW Datei
Pro USB-Port Sperre.

Wie habt ihr das in der Praxis umgesetzt, ohne dass euch die Abteilungsleiter zwei Minuten später den Kopf abgerissen haben?

 

[DaGGrrr]

Das würde mich auch interessieren. Wir sind auch grad am überlegen, aber in der Praxis is das so kompliziert weil man extrem viel AUsnahmen definieren müsste für Personen die auf USB-Speichermedien angewiesen sind, z.B um Messdaten von Maschinen auf den PC zu packen usw usf....

 

[kAiN!]

ein vernünfitges berechtigungskonzept wäre der erste ansatz

Du meintest wohl Keepass? Müsstest hier allerdings Version 2.x nehmen, da 1.x nur bedingt Multi-User fähig ist.

Die Frage ist aber, wie du verhinderst, dass das Datenbankfile wegkopiert wird und entweder wieder verloren geht oder irgendwann mehrere Versionen bestehen.

Ja ich meinte natürlich keepass. ganz einfach: die datei is verschlüsselt und lässt sich nur über keepass MIT EINEM PASSWORT öffnen.

einfacher gehts echt nicht. abgesehen davon, auf eure internen netze sollte ohnehin nicht hinz und kunz zugreifen können. falls das der fall ist, sind eure passwortbedenken das geringste problem...

 

[Zweifeuerkraut]

Und was hindert den Benutzer daran, das .kdb File einfach wegzukopieren? Sich nach hause mailen?

@BALLERTELLI: Der einzige praktikable Weg den ich mir vorstellen kann ist: Software hernehmen, welche das Sperren von USB Ports bzw. ein Whitelisting ermöglicht. Einen Satz USB Sticks mit eindeutiger ID kaufen und fortan nur noch diese zuzulassen. Alle andern USB Sticks werden verboten/entsorgt.
Erwartungsgemäss dürfte die Akzeptanz in einer Social Media Firma für sowas allerdings verschwindend klein sein

 

[Shihatsu]

Ach, in diesem Fall hier wird doch dann das Masterpasswort in Excel gespeichert und das gegebenenfalls vorhandene keyfile neben das Excel-file gelegt - das ist Perlen vor die Säue. IT Security auf technischer Ebenene einführen ist der vorletzte Schritt - der letzte ist die regelmässige aktive und passive Auditierung. Vorher muss aber soviel anderes passieren sonst ist das alles rausgeworfenes Geld und vor allem frustriert es die Mitarbeiter - je wichtiger der MA desto mehr Frust und desto mehr auf die Gusch. Dem Chef erklären warum er den USB Stick nicht reinballern darf ist ne harte Nuss. Da muss man ganz anders ran wenns was bringen soll. Security Awarness muss in allen Köpfen sein, muss gewollt sein, dafür brauch es regelmässige Schulungen, dafür brauch es Prozesse, dafür braucht es das was so schön Human Change Managment heisst - ohne ist das alles fürn Arsch. Also, benutzt weiter euer Excel-Krams, seid ihr besser mit bedient.

 

[kAiN!]

Und was hindert den Benutzer daran, das .kdb File einfach wegzukopieren? Sich nach hause mailen?

ja toll. mit dem argument kannste gleich alle ansätze sonst wohin kicken. der user muss schon vertrauenswürdig sein. entsprechende klauseln in verträgen sind doch standard heute...

"und wer hindert den user daran ein screenshot von xyz zu machen und auf facebook zu veröffentlichen?".

#raute an shi

 

[Zweifeuerkraut]

Meinte Frage war: Wie verhinderst du, dass das Datenbankfile wegkopiert wird und entweder wieder verloren geht oder irgendwann mehrere Versionen bestehen.

Du: Die datei is verschlüsselt und lässt sich nur über keepass MIT EINEM PASSWORT öffnen.

Ich: Und was hindert den Benutzer daran, das .kdb File einfach wegzukopieren?

Bei anderen Passwortsafes bekommen die Benutzer halt nur ein Frontend und haben kein Filezugriff auf die Datenbank. Bei Keepass schon. Kann ein Problem sein.

 

[kAiN!]

ja, sry mein lieber. gegen behinderte user ist eben kein mittel 100% safe.

abgesehen davon: mehrere versionen sollte es doch gar nicht erst geben. die datei mit den infos liegt auf einem shared netzwerk. darauf greift keepass dann von allen berechtigten clients zu. fertig. es gibt nur eine datei.

änderungen werden ebenfalls in diese eine datei übernommen. voll automatisch. ohne ein zu tun. neuen eintrag in keepass und auf speichern klicken. oder vorhanden eintrag editieren und speichern. fertig. wenn man das mal im homeoffice braucht ---> VPN ins firmennetzwerk, und keepass ganz normal wie in der arbeit von zu hause aus nutzen.

und wenn a depperle meint sich das mit nach hause nehmen zu müssen und paar monate später denkt er müsse die veraltete datei von zu hause wieder zurück in die arbeit mitbringen um die aktuelle zu überschreiben - tja, dann helfen nur paar schelln.

wenn einer von meinen jungs/mädels zu blöd is sowas zu nutzen oder zu verstehen degradier ich ihn/sie zu niederen drecksarbeiten auf die sonst niemand bock hat, wo man aber keinen schaden anrichten kann. excell tabellen aufbereiten, telefonate entgegen nehmen, kaffee kochen (is mein voller ernst!), etc... ich verschwende doch nich meine zeit mit solch unendlich banalen dingen... arbeitsanweisung klar definieren und fertig. wer zuwieder handelt wird zurecht gestutzt. bums aus.

 

[Zweifeuerkraut]

Ich weiss schon wie Keepass funktioniert, keine Sorge.

Wenn die User jetzt aber schon das PW-Excel File auf USB-Sticks herumkopieren, liegt die Vermutung nahe, dass sie das auch nacher noch versuchen werden. Und son Social Media Ding hat sicherlich kein Remotezugriff für seine Facebookabfüller.

Zudem: Sobald eine professionelle IT Abteilung ins Spiel kommt, dann ist leider nicht mehr das Dummchen vom Empfang schuld wenn Passwort-DBs überschrieben werden, sondern die IT, welche ein System aufgesetzt hat, welches PW-DB-Überschreiben für Benutzer zulässt.

Und das ist eigentlich alles, was ich hier sage bzw. zu welchen Gedanken ich den OP hier ermuntern möchte.

 

[CCAA]

Security Awarness muss in allen Köpfen sein, muss gewollt sein, dafür brauch es regelmässige Schulungen, dafür brauch es Prozesse, dafür braucht es das was so schön Human Change Managment heisst - ohne ist das alles fürn Arsch.

Dies. Schulungen, wie es sie auch für den Bereich Compliance in vielen Unternehmen wichtig sind, sind in der IT genauso wichtig. Und evtll. Best Practise Reihe als Newsletter oder im Internet

Wie habt ihr das in der Praxis umgesetzt, ohne dass euch die Abteilungsleiter zwei Minuten später den Kopf abgerissen haben?

Bei uns sind es in allererster Linie internationale Firmenstandards, was es natürlich einfacher macht. Klar, Abteilungsleiter haben meist doch keinen Lock. Bei uns braucht man auch einfach so gut wie keine USB-Sticks, außer in der IT selbst. Wäre vielleicht im Rahmen eines Hardwarekatalogs zu bewerkstelligen. Dort werden verschiedene Kategorien festgelegt, was wem zusteht. Katalog wird dem Geschäftsführer vorgelegt und fertig. Haben wir kürzlich erst durchgesetzt und es hat überraschend gut funktioniert. Einen Brenner haben auch nur ca. 1-2% der Mitarbeiter.

und wenn a depperle meint sich das mit nach hause nehmen zu müssen und paar monate später denkt er müsse die veraltete datei von zu hause wieder zurück in die arbeit mitbringen um die aktuelle zu überschreiben - tja, dann helfen nur paar schelln.

Eventuell die Zugriffsberechtigungen so setzen, dass löschen für den normalen Mitarbeiter nicht möglich ist. Ist natürlich dann auch eine Frage, ob das bei euch praktikabel ist.

 

[parats']

lol, USB-Sticks.

D.h. an euren Pcs und Workstations sind USB-Ports nicht gesperrt und jeder Schmock kann da seine verseuchte Scheiße anschließen?
Eure PW-Speicherung ist glaub ich nicht euer primäres Problem.

This. Wozu Gedanken über die Verschlüsselung der Passwörter machen, wenn selbst einfachste Schnittstellen Datenübertragungen ermöglichen.

 

[HERR 2FICKENDEHUNDE]

wir benutzen passwordsafe and repository enterprise gibt aber auch ne personal version für 12 ocken... ist völlig ok. wir verwalten rund 1000 verschiedene accounts darüber. das wäre anders gar nicht machbar.

 

[MegaVolt]

Wieso empfehlen hier allem, den USB Port zu sperren?
Klar, man gewinnt etwas Sicherheit, es schränkt aber die Produktivität teilweise _ENORM_ ein. Ich habe auch schon an einigen komplett gesperrten Rechnern gearbeitet und es ist einfach kein Spaß, teilweise muss man sich da extrem verrenken um vernünftig arbeiten zu können. Insb. da man über Email ja letztendlich sowieso absolut alles auf den Rechner und wieder runter kriegt, notfalls halt in 20 Emails mit jeweils ein paar MB.
Nun kann man natürlich das Argument anführen, dass bei den Emails dann wenigstens eine Dokumentation vorhanden ist und Fehlverhalten nachgewiesen werden kann (da zentral gespeichert) aber umständlich ist es schon und gerade für eine kleinere Firma viel zu unpraktisch.

 

[Gentley]

Wir reden hier ursprünglich von einem Social-Media-, d.h. praktisch rein computer basiertem System, d.h. keine Datentransfers von externer hardware, Maschinen oder sonstigem Scheiß.

Und dann braucht kein Mensch USB-Zugriff, Datenaustausch intern erfolgt über das Netzwerk. Und natürlich ist die USB-Sperre auch primär zum Schutz des Pcs vor Malware, und nicht um Daten drinnen zu halten, denn das ist natürlich unmöglich, vor Kriminalität dieser Art gibt es keinen absoluten Schutz. Wobei natürlich die Bereithaltung aller Zugangsdaten auf mehreren USB-Sticks die Krone der Fahrlässigkeit ist, da brauchts ja nur Dumheit und keine Böswilligkeit um u.U. ernormen Schaden anzurichten.

Irgendwelche wichtigen Menschen arbeiten dann eh nicht workspace basiert sondern haben eigene Laptops mit Dockingstations und dort dann natürlich Rechte entsprechend Ihres Aufgabenbereiches.

 

[GUNdALF]

Weil man über USB-Port sperren viele unbewusste "drive by" infizierungen verhindern kann. Das Problem ist oftmals ja nicht mal das aktive infizieren, sondern das unbewusste und in diesem Zusammenhang die Dummheit so manchen Mitarbeiters.

Wie viele denkst du stecken einen USB Stick mal ein um zu sehen, was da so drauf ist, den sie irgendwo in der Firma oder auf dem Firmenparkplatz gefunden haben? Nur doof, wenn den ein anderer, da so rein zufällig verloren hat... Am besten dann noch Inhalt mit Dateinamen die neugierig machen und einen draufklicken lassen.
Nicht umsonst gibt es sogenannten Schleusensysteme in Unternehmen für Rechner mit sensiblen Daten wo man aber auf solche Medien angewiesen ist (z.b. Rüstungsindustrie)

Natürlich kann man auch bei E-Mails auf dämliche Anhänge klicken, aber die werden vorher zumindest rudimentär vom Antivirenprogramm/Spammprogramm gecheckt und hier ist es den Leuten eher bewusst.

Am Ende hilft nur ein von allen gelebtes allumfassendes Sicherheitskonzept mit einem vernünftigen Risiko- und Krisenmanagement dass Awareness, präventiven Maßnahmen und einen vernünftigen Plan für den Krisenfall umfasst.

PS: Je nach Unternehmen brauch man auch nicht wirklich USB Ports. Einziges Problem ist meist das Management, das alles Regeln der IT aushebelt weil Chef.

 

[parats']

Bei der Sperrung von USB Ports geht es vor allem darum, dass im ernstfall ein Rückverfolgung auf die Ursache getätigt werden kann. Im Falle von E-Mails und wissentlichem Datenklau sind so rechtliche Grundlagen geschaffen. Wenn ich aber über jeden Rechner per USB-Sticks Daten entwenden kann, wird eine Aufklärung relativ schwer.

€: Raute an Gundalf, driveby kommt natürlich noch erschwerend hinzu.

 

[HERR 2FICKENDEHUNDE]

das kommt halt aufs unternehmen an denke ich. bei uns im unternehmen ( handel ) interessiert sich keine sau dafür, ob jemand daten rausschaufelt oder nicht, es gibt da kaum interessante sachen, ausser vielleicht peronenbezogene daten, welche aber relativ gut geschützt sind, dh der otto normal user kommt da gar nicht dran. in einem maschinenbau betrieb, mit speziellen Gerätschaften bzw Spezialindustrietools, wo Deutschland bekannter Maßen weit vorne ist, sieht das natürlich ganz anders aus.
bei uns sind usb ports offen, auf allen rechner läuft fsecure, mit zentralem mangagment server und soweit ich weiss haben wir relativ selten alarme - auch weil natürlich infrastrukturkomponenten an zentralen positionen ihre arbeit gut machen, was natürlich nicht vor befallenen usb sticks schützt aber scheint hier nicht besonders häufig aufzutreten. ist aber auch nicht mein themengebiet.

 

[parats']

Klar, mit Branche und Größe der Firma stehen bzw. fallen die Anforderungen an Sicherheit etc..

 

[HERR 2FICKENDEHUNDE]

es ist vor allem auch ein spagat zwischen freiheit für den user und sicherheit. bring your own device ist ja zb genau das gegenteil von sicher. und clouddienste wie dropbox und co lassen usb sticks inzwischen auch überflüssig erscheinen. also ich bin eher dafür, dem user den komfort und die freiheit zu lassen (wo es möglich ist natürlich ) anstatt ihn zu amputieren. nur mit anständigem werkzeug kann man auch anständig arbeiten. extrem hohe sicherheitsanforderungen machen da sinn, wo sie gebraucht werden, also z.B. in einer entwicklungsabteilung für maschinenbauteile, aber nicht bei Lisa Schmidt die customer service anfragen bearbeitet.

 

[Zweifeuerkraut]

Gibt schon recht bösartige Dinge, die via USB Sticks reinkommen können. Da hilft dann auch der Antivirus nix. Beim Kumpel hatte einer nen USB Stick ausm Asiatischen Raum eingesteckt -> Die konnten dann mal eben ihre Infrastruktur neu aufsetzen.

Bei BYOD kommt es halt aufs Konzept an. Wer denkt, mit "jeder kann sein eigenes Gerät mitnehmen" sei es mit BYOD getan, hat mal gar nichts verstanden.

 

[parats']

es ist vor allem auch ein spagat zwischen freiheit für den user und sicherheit. bring your own device ist ja zb genau das gegenteil von sicher. und clouddienste wie dropbox und co lassen usb sticks inzwischen auch überflüssig erscheinen. also ich bin eher dafür, dem user den komfort und die freiheit zu lassen (wo es möglich ist natürlich ) anstatt ihn zu amputieren. nur mit anständigem werkzeug kann man auch anständig arbeiten. extrem hohe sicherheitsanforderungen machen da sinn, wo sie gebraucht werden, also z.B. in einer entwicklungsabteilung für maschinenbauteile, aber nicht bei Lisa Schmidt die customer service anfragen bearbeitet.

Genau dieser Spagat fällt vielen Firmen noch schwer. So kommt es dann auch zu den Extremen wie beim TE, da meist erst ein Vorfall die Augen wirklich komplett öffnet.

Btw. Wer nutzt denn geschäftlich filehoster wie dropbox?

 

[deleted_24196]

Btw. Wer nutzt denn geschäftlich filehoster wie dropbox?

So einige... Wir bekommen immer wieder Anfragen von Nutzern die auf dropbox.com zugreifen wollen/müssen, weil Geschäftspartner/Zulieferfirmen/etc dort Daten hochgeladen/hinterlegt haben.

 

[GUNdALF]

extrem hohe sicherheitsanforderungen machen da sinn, wo sie gebraucht werden, also z.B. in einer entwicklungsabteilung für maschinenbauteile, aber nicht bei Lisa Schmidt die customer service anfragen bearbeitet.

Wenns nen Supportmitarbeiter in ner großen Firma ist, wo es per se wieder interessant ist, ist es egal ob das die kleine studentische Aushilfe beim Kundenservice ist oder der große Konzernboss. Von nem infizierten Rechner aus machen sie sich halt dann im Unternehmen breit und infizieren solange andere Rechner bis sie am Ziel sind.
Es ist eine einfache präventive Maßnahme. Im Kundenservice braucht die Lise aber idR auch keinen USB-Stick. Warum sollte man also Sachen erlauben, die sowieso nicht gebraucht werden? Alles unnötige sollte sowieso per se blockiert/unterbunden werden. So reduziert man einfach Gefahrenquellen.