IT-Sicherheit: Team Password Manager, tiefer betrachtet.

Es gibt zahlreiche Cloud-Anbieter für das Passwort-Management. Ignoriert man für einen Moment die typischen Features und Funktionen, fehlt es oftmals an der Transparenz, wie diese Cloud-Anbieter die Passwort-Management-Dienste im Kontext IT-Sicherheit designt haben.

Haben Sie sich mal gefragt, ob ihre bisherige Lösung tatsächlich verschlüsselt ist (Server, Konfigurationen und Datenbank) und ob beinahe jede Operation geloggt wird und mittels einem SIEM ausgewertet werden kann?

Betrachtet man ein ISMS nach ISO/IEC 27001:2022 oder auch das umfangreiche IT-Security-Framework vom Center for Internet Security® (CIS®) veröffentlichten Critical Security Controls® in dessen aktueller Version 8.1 und dessen Maßnahmen, so merkt man schnell, dass es mehr Bedarf als der reine Kauf einer Software in der Cloud.

Ein Server sollte gehärtet sein, wichtige Daten müssen verschlüsselt werden (z.B. der Datenträger, Konfigurationen und auch die Datenbank) und auch umfangreiche Backups gehören zu einer modernen IT-Sicherheit mit dazu. Ferner muss auch die Überwachung gewährleistet sein. Und ganz besonders wichtig: Das System sollte Ihnen gehören!

Was sollte ein Passwort-Manager können?

1. Gehärtetes Server Betriebssystem
   Das Betriebssystem sollte gehärtet worden sein, z.B. mit den CIS-Benchmarks™. Hierzu gehört u.a. die Verschlüsselung der Festplatte, wie auch die granulare Steuerung der Zugänge zum OS.
   
2. Verschlüsselte Datenbank-Einstellungen
   Sehr häufig sind die Zugangsdaten für eine Anwendung zu einer Datenbank in Klartext abgespeichert. Damit Cyber-Schurken diese sensiblen Daten nicht auslesen können, muss die entsprechende Konfigurationsdatei verschlüsselt worden sein.
3. Verschlüsselte Datenbank
   Passwörter, Lizenzkeys, Schlüssel und sonstige Credentials sind in einer Datenbank gespeichert. Diese Datenbank muss ebenfalls verschlüsselt sein!
4. SIEM Überwachung
   Eine Besonderheit bei Team Password Manager ist das sehr detaillierte Logging von beinahe allen Aktionen. Sei es das Löschen von Passwörtern, der Zugriff auf das Administratormenü, fehlgeschlagene Log-ins oder ein gesperrtes Konto … diese Aktionen müssen mit einem SIEM überwacht und ausgewertet werden können.
5. Backups
   Eigentlich logisch, doch kann das Ihr Passwort-Manager auch?
   ⚠️ Backup des kompletten Servers.
   ⚠️ Backup der Konfigurationsdateien.
   ⚠️ Backup der Datenbank.
   ⚠️ Option, Passwörter zu exportieren und im Extremfall auch für andere Anwendungen verfügbar zu sein (Stichwort: Vendor Lock-in).

Team Password Manager bietet dies, lassen Sie sich beraten.