Anzeige

Sascha Martens

Wozu kann ein Password Safe nützlich sein? Das erklärt Sascha Martens, CTO & Cybersecurity Evangelist bei Mateso, im Gespräch mit Ulrich Parthier, Publisher it security.

FragezeichenWir hören immer wieder von automatisierten Brute-Force-Angriffen, die zum Ziel haben, Passwörter zu stehlen. Wie groß schätzen Sie die tatsächliche Gefahr ein?

Sascha Martens: Enorm. Heutige Angriffe, bei denen auch Brute-Force-Angriffe zum Einsatz kommen, werden immer intelligenter und ausgereifter. Denn die Technik entwickelt sich immer weiter und die Angreifer schlafen nicht. Während also die Welt aktuell vom Corona-Virus spricht, hält das Viren-Trio Emotet, Trickbot und Ryuk die IT in Atem.

Dabei ist das ja erst der Anfang. Wenn Quantencomputer erst einmal auf dem Markt sind, steigt dann nicht das Diebstahlrisiko erheblich an?

Sascha Martens: Quantencomputer werden für den gesamten InfoSec-Bereich eine ungemeine Herausforderung. Als Spezialist für Verschlüsselungen beschäftigen wir uns schon lange mit dem Thema und untersuchen den Einfluss auf verschiedene sicherheitsrelevante Bereiche. Alle mit asynchronen Verschlüsselungs-Techniken geschützten Daten und Übertragungswege sind hier besonders gefährdet. Dabei geht es natürlich auch wieder viel um zentrale Passwort- beziehungsweise Zugangs-Lösungen.
 

So schnell werden Passwörter geknackt
 

Password Safe – hört sich erst einmal sicher an. Können Sie die Lösung, die sich hinter diesem Namen verbirgt, erklären?

Sascha Martens: Password Safe ist sicher – das ist unser Fokus und wir machen bei der Sicherheit auch keine Kompromisse. Natürlich lässt sich Sicherheit nur durch diverse Mechanismen herstellen. Als Beispiel können wir einen Blick auf die Verschlüsselung oder auch Back-End-Architektur im Vergleich zu anderen Lösungen werfen: Während bei den meisten Lösungen die Datenbank verschlüsselt wird und ein Knacken dieser zum Zugriff auf alle Geheimnisse führt, ist bei uns jedes Geheimnis für sich geschützt. Zudem werden die Daten Ende-Zu-Ende-geschützt bis zur Verwendungsstelle (dem Client) übertragen. Wir vertrauen in puncto Sicherheit dabei nicht nur auf unsere Erfahrung, sondern setzen auch immer auf die Expertise externer Spezialisten.

Wie kann der Anwender feststellen, ob sein Passwort sicher ist oder, noch besser, zu wie viel Prozent?

Sascha Martens: Bei der Passwort-Sicherheit selbst gelten an sich super einfache Regeln und eigentlich kann ein Passwort gar nicht sicher genug sein! Password Safe gibt dem User dabei immer sofort Rückmeldung zu der Sicherheit des Passwortes. Zudem können wir zentrale Berichte für den User erstellen und einen CISO oder Auditor damit versorgen. Auch können eigens Passwort-Richtlinien hinterlegt werden, um die Sicherheitsstufen zusätzlich individuell zu erhöhen.
 

Mit über 20 Jahren Erfahung sind wir die einzige Enterprise-Lösung, die on-prem beim Kunden oder in der Cloud betrieben werden kann, sich aber auf jeden Fall immer nach einer coolen Cloud-Lösung anfühlt!
Sascha Martens, CTO & Cybersecurity Evangelist, Mateso
 

Können Sie einige Szenarien für den Unternehmenseinsatz skizzieren?

Sascha Martens: Uns ist wichtig, dass wir nicht als die eine, wichtigste Sec-Lösung wahrgenommen werden. Vielmehr gehört Password Safe zum elementaren Baustein in einer ganzheitlichen Sec-Strategie – schließlich können wir als Experten nicht jedes Gebiet abdecken. Somit wird Password Safe als Password Management Tool entsprechend für Admins und End-Anwender und zusätzlich als Credential Provider für andere Anwendungen und zur Automatisierung notwendiger Prozesse im Hintergrund eingesetzt. Für die restlichen Themen bieten wir die perfekte Schnittstelle und können einfach an schon bestehende Systeme wie etwa Security Information Management Tools angebunden werden.

Auf den Punkt gebracht bedeutet die sichere Kommunikation durch Ende-zu-Ende-Verschlüsselung (E2EE) …?

Sascha Martens: … den durchgängigen Schutz der Daten. Es gibt einfach keine Lücke zwischen Speicher- und Verwendungsort, weshalb die Daten durchgehend geschützt sind. Erst auf dem Client wird das Geheimnis entschlüsselt und ein Angreifer hat keine Chance.
 

Beliebt: Einfach ein paar Zahlen dahinter setzen
 

Stichwort Segregation of Duties und Privileged Accounts: Wie sieht es mit der Rechtetrennung funktional und technisch aus – macht diese Trennung Sinn?

Sascha Martens: Ja, absolut. Allerdings müssen alle Privileged Accounts besonders geschützt werden! Und aktuell werden aufgrund von Dokumentationspflicht und im Sinne der Nachvollziehbarkeit immer mehr Privileged Accounts angelegt. Mit so genannten named Accounts erhält jeder User, der einen Verwaltungsauftrag haben könnte, einen solchen Account. Damit ist immer nachvollziehbar, wer welche Änderungen durchgeführt hat. Wir können mit Sicherheitsfunktionen an vielen Stellen zurück auf generische Accounts gehen und dadurch die Angriffsfläche massiv verringern.

Wie sehen diese Sicherheitsfunktionen aus? Kann man Passwörter noch besser schützen?

Sascha Martens: Definitiv. Zum Beispiel kann ein Passwort, das von mehreren Personen genutzt werden muss, ausschließlich von einer Person verwaltet werden. Alle anderen können es wiederum nutzen, ohne es gesehen zu haben. Bei besonders sensiblen Accounts kann als zusätzliche Hürde die Genehmigung eines Verantwortlichen als erforderliche Maßnahme ergänzt werden, um ein Passwort verwenden zu können.

Gibt es so etwas wie eine Historie und/oder Versionsnachverfolgung für Auditing-Zwecke?

Sascha Martens: Alle Aktionen innerhalb von Password Safe werden im Logbuch dokumentiert. Aus diesen Informationen generieren wir aktive Benachrichtigungen und ein Admin oder Auditor kann das Nutzer-Verhalten analysieren. Die Benutzer können natürlich auch auf alle alten Versionsstände zurückgreifen. Gerade zur Umsetzung von DSGVO-Richtlinien sind diese Funktionen maßgebend.

Welche besonderen Features unterscheiden Password Safe von anderen Produkten?

Sascha Martens: Ich denke, dass wir uns besonders durch unsere konsequente Haltung zum Thema Sicherheit differenzieren. Mit über 20 Jahren Erfahrung sind wir die einzige Enterprise Lösung, die On-Prem beim Kunden oder in der Cloud betrieben werden kann – volle Kontrolle also – sich aber auf jeden Fall immer nach einer coolen Cloud-Lösung anfühlt!

Thank YouHerr Martens, wir danken für das Gespräch!

 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Password
Feb 05, 2020

BSI verabschiedet sich vom regelmäßigen Passwort-Wechsel

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt von seiner Empfehlung…
Lena schreibt Passwörter auf
Dez 26, 2019

Sichere Passwörter erstellen und behalten

Die Arbeit mit modernsten Programmen und Softwares bringt meistens auch eine ganze Menge…
Passwörter
Nov 08, 2019

Starke Passwörter sind gut - Passwort Management ist besser!

Wer hätte es gedacht: Nach einer Meldung des Hasso-Plattner-Instituts (HPI) vom…

Weitere Artikel

Sicherheit Steuerung

Hacken per Klimaanlage, Aufzug im freien Fall?

Der Aufzug in freien Fall gehört zweifelsohne in die Welt der Hollywood-Filme, aber ein digitalisierter Aufzug ist so smart wie angreifbar. Und schon vor mehreren Jahren spielte das Magazin Wired.com durch, wie man mittels Klimaanlage ein Stromnetz hackt.
Security

Lösungen für 4 oft übersehene Sicherheitsprobleme

Sämtliche Internetzugriffe des Unternehmens werden über Black- und Whitelists geschleust. Das betriebseigene WLAN nur für die Privatgeräte der Mitarbeiter ist auch physisch vom Firmennetzwerk völlig abgetrennt. Jeder neue Kollege im Haus bekommt durch die IT…
Cyber Attacke

TeamTNT nutzt legitimes Tool gegen Docker und Kubernetes

Bei einem jüngst erfolgten Angriff nutzten die Cyberkriminellen der TeamTNT-Gruppe ein legitimes Werkzeug, um die Verbreitung von bösartigem Code auf einer kompromittierten Cloud-Infrastruktur zu vermeiden und diese dennoch gut im Griff zu haben. Sie…
Cyber Security

Kosten-Explosion durch Cyber-Angriffe

Die Ergebnisse des Hiscox Cyber Readiness Reports 2020 zeigen eine positive Tendenz: Vielen Unternehmen ist mittlerweile bewusst, wie wichtig Cyber-Sicherheit ist. Die Zahl der gut vorbereiteten „Cyber-Experten“ steigt zum ersten Mal deutlich an…
Netzwerk-Sicherheit

Remote-Arbeit verschärft Herausforderungen für die Unternehmenssicherheit

Juniper Networks, ein Anbieter von sicheren, KI-gesteuerten Netzwerken, präsentiert die ersten Ergebnisse eines internationalen Marktforschungsprojektes. Diese zeigen, dass traditionelle Ansätze zum Schutz des Netzwerks die Herausforderungen angesichts von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!