Skip to main content Skip to footer Skip to navigation

Veröffentlicht in sicherheit, opensource.

Passwortmanager für Unternehmen

am .

In der heutigen digitalen Arbeitswelt sind Passwortmanager für Unternehmen kein "Nice-to-have" mehr, sondern ein wichtiger Baustein der IT-Sicherheit. Sie generieren komplexe Logins, erlauben Teams das sichere Teilen von Zugängen und entziehen Ausscheidenden Mitarbeitern sofort alle Zugänge. Das spart der IT Zeit und erhöht die IT-Sicherheit.

Warum wir Passwortmanager benötigen

Der häufigste Fehler im Internet ist das Recyceln von Passwörtern. Damit ist das wiederverwenden von Kombinationen wie Sommer2023! für sämtliche Accounts wie Online-Shops oder Social Medias gemeint.

Das Problem: Wenn einer der Online-Shops gehackt wird (was täglich tausendfach passiert), kann es sein das Hacker die Kombination von E-Mail Adresse und genutztem Passwort im Klartext erbeuten und dann diese Kombination automatisiert für sämtliche erdenklichen Webseiten nutzen. Das nennt man Credential Stuffing.

So gelingt es den Hackern auch andere Accounts zu übernehmen, die mit dem direkten Hack des Online-Shops gar nichts zu tun haben.

Daher ist es wichtig, für jeden Account, jede Webseite, jeden Online-Shop eigene individuelle Zugangsdaten zu verwenden. Ein Passwort sollte niemals für zwei verschiedene Accounts verwendet werden.

Da sich niemand hunderte von Passwörtern merken kann, hilft hier nur ein Passwortmanager. Dabei ist ein Passwortmanager wie ein digitaler Tresor. Er generiert, speichert und verwaltet all die dort gespeicherten Passwörter.

Das Geniale daran: Der Benutzer muss sich in Zukunft nur noch ein einziges Passwort merken – das sogenannte Master-Passwort. Das ist der Schlüssel zu deinem Tresor. Den Rest erledigt die Software.

Die 3 größten Vorteile eines Passwortmanagers:

  • Bequemlichkeit: Egal ob auf dem Smartphone, Tablet oder Laptop – der Passwortmanager füllt die Login-Daten auf Webseiten und in Apps automatisch aus. Kein Tippen, kein Vertippen, kein Nachdenken.
  • Echte Sicherheit: Wenn man einen neuen Account erstellst, generiert der Manager auf Knopfdruck ein sicheres Passwort wie z.B. h7%Kz9!pQ#2mXw. Der Manager speichert dieses generierte Passwort dann ab. Dadurch ist es möglich, jeden einzelnen Account mit einem eigenen individuellen Passwort zu versehen.
  • Eingebauter Phishing-Schutz: Du bekommst eine Fake-Mail von "PayPal" und klickst auf den Link? Die Seite sieht täuschend echt aus, aber die URL lautet paypa1.com. Du würdest es vielleicht nicht merken – dein Passwortmanager aber schon! Er verweigert das automatische Ausfüllen, weil er erkennt, dass es sich um die falsche Webseite (URL) handelt.

Aber was, wenn der Passwortmanager gehackt wird?

Das ist die häufigste und berechtigtste Sorge: "Ist es nicht total gefährlich, alle meine Passwörter an einem Ort zu lagern?"

Die Antwort ist kompliziert: ja und nein.

Das Risiko hängt von der Wahl des Passwortmanagers ab: Wir setzten auf Passbolt und betreiben eine eigene Instanz. Die Gefahr, das ein Anbieter mit Hunderttausend Kunden angegriffen wird, dürfte höher sein als eine einzelne Passwortmanager Instanz. Zudem gibt es weitere Absicherungsmöglichkeiten, z.B. den Passwortmanger nur Netzintern oder per VPN zur Verfügung zu stellen oder durch GeoIP Blocking den Zugriff aus anderen Ländern zu beschränken. Eine weitere Möglichkeit ist die Implementierung von TLS-Client-Auth Zertifikaten.

Die Daten werden bei dem Passwortmanager Passbolt Clientseitig verschlüsselt, wodurch der Server zu keinem Zeitpunkt Klartext-Passwörter erhält. Dies ist durch das Asymmetrische Verschlüsselungsverfahren OpenPGP möglich, bei dem der Private Schlüssel auf dem Client verbleibt und nur der Öffentliche Schlüssel auf dem Server vorliegt.

Welche Passwortmanager sind empfehlenswert?

Mittlerweile gibt es viele verschiedene Passwortmanager Lösungen. Dabei spielt für uns die Sicherheit, Bedienbarkeit und Langfristigkeit eine Rolle.

Hier Punkten vor allem Open Source Lösungen, da diese auf einem eigenen Server betrieben werden können und so ist man unabhängig von einem einzelnen Anbieter.

Passbolt

Passbolt ist ein europäisches Projekt aus Luxemburg und ist zu 100% Open Source. Es bedient sich bewährter OpenPGP-Verschlüsselung. Dabei kann es mit den gängigen Browsern (Edge, Brave, Chrome, Firefox, Safari) genutzt werden und über Mobile Apps (iOS/Android) sowie einer Windows App.

Geprüfte Sicherheit durch Audits

Sicherheit ist eine Frage des Vertrauens. Passbolt verlässt sich nicht nur auf Versprechen, sondern lässt seinen Code extern prüfen. Das Passbolt Team hat gleich drei unabhängige Sicherheits- und Compliance-Audits (darunter Penetrationstests) erfolgreich bestanden.

Dabei setzt Passbolt auf folgende Sicherheitsmerkmale:

  • Zero-Knowledge-Prinzip
  • End-to-end encryption
  • Asymmetrische Verschlüsselung (OpenPGP.js)
  • 100% Open-Source & Unabhängige Audits
  • Selbst-Hosting (On-Premise) für maximale Privacy
  • Anti-phishing
  • Bruteforce attack prevention
  • Multi factor authentication
  • GPGAuth-Authentifizierung
  • Rollenbasierte Zugriffsrechte
  • Abgleich Passwörter mit der HIBD-Datenbank beim erstellen oder ändern

Key-Features

  • Autofill auf allen Geräten: Egal ob im Browser am PC oder über die Mobile Apps (iOS & Android) – die Logins werden automatisch ausgefüllt.
  • Müheloses Sharing: Passwörter und Ordner können mit anderen Benutzern oder Gruppen geteilt werden.
  • Integrierter TOTP-Manager: Passbolt speichert auch 2-Faktor-Codes und macht diese auf allen Geräten verfügbar. Diese können auch mit anderen Benutzern und Gruppen geteilt werden.
  • Encrypted Notes & Custom Fields: Zusätzlich können Notes und Custom Fields je Passwort angelegt werden. Somit lassen sich auch weitere Informationen sicher speichern und ggf. teilen.
  • E-Mail-Benachrichtigungen: Per E-Mail Benachrichtigung erhält man sofort die Information, wenn geteilte Passwörter geändert, gelöscht oder neue Passwörter mit einem geteilt wurden.
  • Blitzschnelle Suche: Selbst bei tausenden Einträgen findet man schnell das richtige Passwort über die Suche.

Für Unternehmen: Die Pro-Version

Während die kostenlose Passbolt Community Version für Privatnutzer und kleine Teams bereits sehr umfangreich ist, bietet Passbolt auch eine Pro-Version an, die für Unternehmen interessant ist. Sie erweitert den Funktionsumfang:

  • Account Recovery: Wenn ein Mitarbeiter sein Master-Passwort vergisst, kann der Account wiederhergestellt werden.
  • LDAP/Active Directory Anbindung: Nutzer können mit bestehenden Firmen-Logins synchronisiert werden.
  • SSO (Single Sign-On): Bequemer Login über andere Identitätsanbieter.
  • MFA Policies: Als Admin kann man erzwingen, dass jeder Nutzer eine 2-Faktor-Authentifizierung nutzen muss.

Bitwarden

Ebenfalls Open Source und sehr beliebt ist Bitwarden. Die kostenlose Version bietet ebenso wie Passbolt bereits viele Funktionen und lässt sich auf eigenen Servern betreiben. Bitwarden Punkten mit Open Source, ist Plattformübergreifend nutzbar und bietet verschiedene Tarife, für Privat, Familien und Unternehmen.


Ein wichtiger Hinweis zur Sicherheit: In der jüngeren Vergangenheit gab es im Open-Source-Ökosystem (von dem auch Bitwarden abhängt) zunehmend Warnungen vor sogenannten Supply-Chain-Attacken. Dabei versuchen Hacker, schädlichen Code in Code-Bibliotheken von Drittanbietern einzuschleusen, die dann von Passwortmanagern unwissentlich in Updates übernommen werden. Bitwarden reagierte zwar schnell, aber dieses Risiko in der Lieferkette ist für viele sicherheitsbewusste Nutzer ein Grund, sich nach Alternativen wie Passbolt umzusehen. Aber auch bitwarden wirbt mit Audits und Zertifizierungen: https://bitwarden.com/help/is-bitwarden-audited/

1Password

Eine dritte Alternative bietet 1Password. Im Gegensatz zu den anderen beiden Varianten lässt sich 1Password nicht auf einem eigenen Server betreiben. Es ist somit auch nicht Open Source. Auch 1Password bietet Tarife für Privat, Familien und Unternehmen.

Dafür Punktet 1Password mit einer sehr guten Bedienbarkeit und dem integrierten Sicherheits-Center, welches die Passwörter auf bekannte Datenlecks prüft und ggf. warnt. Die Audits und Zertifzierungen von 1Password können hier nachgelesen werden: https://support.1password.com/security-assessments/

Alternativ Apple iCloud Schlüsselbund und Google Passwort Manager

Für die Private Nutzung eignet sich auch der Apple iCloud Schlüsselbund (iOS/MacOS) oder der Google Password Manager (Android). Beide Lösungen sind bereits in den Handys von Apple bzw. Google vorhanden und es entstehen keine zusätzlichen Kosten.

Der Funktionsumfang ist für die Private Nutzung ausreichend. Es fehlt jedoch an der Möglichkeit diese Passwort Manager Platformunabhängig zu nutzen und auch das Teilen von Passwörtern im Team ist nicht in dem Umfang der anderen genannten Lösungen möglich.

Fazit

Passbolt hebt sich als einer der sichersten Passwortmanager für Unternehmen ab, da er konsequent auf ein striktes Open-Source-Modell und eine echte End-to-End-Verschlüsselung auf Basis von OpenPGP setzt. Da der Quellcode für jedermann einsehbar und von unabhängigen Experten geprüft ist, gibt es keinen Raum für versteckte Sicherheitslücken ("Security through obscurity").

Besonders stark macht Passbolt die Flexibilität beim Hosting: Unternehmen können die Software komplett On-Premise auf eigenen Servern betreiben, wodurch die volle Datenhoheit im eigenen Haus bleibt. Gepaart mit einer granularen Rechteverwaltung bietet Passbolt das perfekte Fundament für eine lückenlose, nachvollziehbare und kompromisslose IT-Sicherheit.

Installation unter Ubuntu 24.04 LTS

Die Installation ist dank des Passbolt Installations Script sehr einfach. Wir beginnen mit dem Download des Installations Scripts:

curl -LO https://download.passbolt.com/ce/installer/passbolt-repo-setup.ce.sh

Sowie der SHA512 Checksumme zur Überprüfung:

curl -LO https://github.com/passbolt/passbolt-dep-scripts/releases/latest/download/passbolt-ce-SHA512SUM.txt

Wenn wir beide Dateien heruntergeladen haben, können wir das Script mit der Checksumme überprüfen. Wenn alles passt, wird das Script ausgeführt:

sha512sum -c passbolt-ce-SHA512SUM.txt && sudo bash ./passbolt-repo-setup.ce.sh || echo "Bad checksum. Aborting" && rm -f passbolt-repo-setup.ce.sh

Das Script hat das Passbolt Paket Repository für uns hinzugefügt. Nun können wir mit einem Befehl den Passbolt Server installieren:

sudo apt install passbolt-ce-server

Wir werden nun mit einigen Abfragen durch die Installation geleitet. Die Database User und Passwörter sollte man sich notieren, da diese später noch mal für die Webbasierte Einrichtung benötigt werden!

  • Create a passbolt databse on the local mysql -> yes
  • MySQL administrator username -> root
  • MySQL administrator password -> <eigenes-password>
  • Passbolt database user -> passboltadmin
  • Passbolt database password -> <eigenes-password>
  • Passbolt database name -> passboltdb

Nun möchte der Installationsassistent von uns wissen, ob wir das SSL Zertifikat für die HTTPS Verbindung über Let's Encrypt automatisch beziehen möchten oder manuell konfigurieren möchten, z.B. mit einem selbst erstellten Zertifikat.

Danach können wir auch schon über https://<server-ip>/install im Browser die Webbasierte Einrichtung fertigstellen. Hier werden die eben erstellten Database User und Passwörter abgefragt.

Gerne beraten wir Sie zum Einsatz, Installation und Betrieb von Passbolt in Ihrer OnPrem Umgebung oder betreiben für Sie Ihre eigene Cloud Instanz. Nutzen Sie gerne unser Kontaktformular für eine unverbindliche Anfrage.

Zum Thema passende Artikel

    © TECH-SUPPORT.KOELN