KeePass ablösen mit Mateso Password Safe

In nahezu jedem Unternehmen spielen Passwörter eine große Rolle. Falls die „Datenhaltung“ mit Zetteln, die unter den Schreibtischunterlagen liegen oder anhand von Post-It’s, die auf Monitoren kleben organisiert ist, kann von sicherem „Passwortmanagement“ nicht die Rede sein. Jeder Abteilungsleiter oder Firmenchef sollte diese Art von Umgang mit wichtigsten Informationen über Zugänge auf Websites oder Applikationen unterbinden.

Mitarbeiter haben Ihre Passwörter auch oft irgendwo abgespeichert, z.B. in Textdateien, die im Homelaufwerk oder auf dem PC Desktop liegen. Das ist zumindest sicherer als ein Post-It auf dem Bildschirm, das Passwort steht aber im Klartext zur Verfügung, Verschlüsselung oder wirklicher Schutz: Fehlanzeige.

Oftmals wird das Passwort Management anhand von einfachen Passworttools wie Keepass umgesetzt. Hier werden Passwörter zwar verschlüsselt in einer lokalen Datenbank abgelegt, jedoch bietet es gerade in Unternehmen mit mehreren Abteilungen oder größeren Organisationen nicht die nötige Sicherheit oder die Möglichkeit gezielt Zugriff auf die Passwörter zu geben und was noch viel wichtiger ist: den Zugriff zu verwehren!

KeePass besitzt kein Rechtemanagement, jeder Benutzer der Zugriff hat, darf alle dort angelegten Passwörter sehen und verwenden. Des Weiteren kann die Datenbankdatei kopiert und mitgenommen werden, Protokollierung oder Nachvollziehbarkeit ist nicht gegeben.

KeePass ist Open Source, daher kostenfrei und entsprechend einsetzbar. Diese Tatsache macht es für viele zum interessanten Tool. Es bietet zumindest die Möglichkeit Passwörter „sicher“ abzulegen. Mal sehen: Zugriff durch Masterpasswort oder Key File geschützt – Check, AES 256 verschlüsselte Datenbank – Check, da stimmt jeder zu: das ist doch sicher!

Es gibt viele Punkte, die gegen KeePass und für ein professionelles Passwort Management System wie Mateso Password Safe sprechen. Was ist z.B. wenn ein Passwort innerhalb der Abteilung nur von zwei anstatt von allen Mitarbeitern verwendet oder gesehen werden darf? Legt man eigene KeePass Datenbanken mit unterschiedlichen Master Passwörtern an?

Was ist, wenn es noch mehr Passwörter oder Zugänge gibt, die schützenswert sind? Legt man weitere KeePass Datenbanken mit wiederum unterschiedlichen Master Passwörtern an? Oder eigene Key Files? Diese müssen dann zumindest in geschützten Bereichen eines Fileservers liegen… Und wie kann man sicher sein, dass nur ein berechtigter Mitarbeiter das Passwort sieht oder verwendet? Kann ich das in einem Log nachlesen? Wird protokolliert, wer welches Passwort wann verwendet hat? Sicher nicht!

Das professionelle Passwort Management System Password Safe aus der deutschen Softwareschmiede Mateso bietet genau die Sicherheit, die bei KeePass oder anderen einfachen Password Tools nicht gegeben ist. Das granulare Rechtemanagement bis auf Formularfeldebene sorgt für einfache und zentrale Steuerung der Zugriffe innerhalb einer gemeinsam genutzten Passwortdatenbank. Alle Zugriffe werden protokolliert und können sogar per Mailbenachrichtigung an den zuständigen Manager gesendet werden. Passwörter können für die Nutzung freigegeben werden, aber durch einen Sichtschutz versehen nicht abgeschrieben oder per Screenshot mitgenommen werden.

Ein Highlight ist das sogenannte 4-Augen-Prinzip, Passwörter müssen vor der Verwendung durch einen Mitarbeiter wie z.B. den Chef oder Abteilungsleiter freigegeben werden.

Weitere Key Features sind integrierte RDP und SSH Clients, ein SSO Agent der ein automatisches Anmelden an Websites ermöglicht, auch ohne das zugehörige Passwort zu kennen. PKI Integration, Zwei-Faktor Authentifizierung, automatische Backups, Datenbank Clustering (HA) und vieles mehr.

Wie kann man also eine oder mehrere KeePass Datenbanken durch Mateso Password Safe ersetzen?

Zuerst die Ist-Aufnahme, es stehen unter anderem folgende Fragen im Focus:

  • Wie viele KeePass Datenbanken gibt es?
  • Werden sie von unterschiedlichen Abteilungen oder Mitarbeitern genutzt?
  • Gibt es eine Richtlinie anhand derer entschieden werden kann, wer welches Passwort sehen oder verwenden darf?
  • Darf jeder, der das Passwort verwenden darf, dieses auch sehen?
  • Wie viele Benutzer verwenden KeePass?
  • Welche Art von Passwörtern sind in KeePass gespeichert?
  • Gibt es bereits verwendete Browser Add-Ons?
  • Welche sonstigen Plug-Ins werden verwendet?
  • RDP oder SSH?
  • Wie werden die Backups erstellt?

Die Planungsphase beschäftigt sich dann zu allererst mit der Frage: welche Edition von Password Safe soll ich einsetzen? Der Unterschied zeichnet sich durch die Anzahl der Benutzer aus und welche Features notwendig sind.

Die Essential Edition bietet bereits die Möglichkeit der rollenbasierten Zugriffskontrolle, Rechtemanagement bis Formularfeldebene, SSO Agent, RDP und SSH wie die integrierte Dokumentenverwaltung. Jedoch ist sie auf maximal 5 Benutzer beschränkt.

In der nächst höheren Edition, Professional, erhöht sich die maximale Useranzahl auf 20. Features wie Auditing und Reports, Benachrichtigungssystem und Aufgabenplaner (Task System) können verwendet werden. Genauso wie Zwei-Faktor- Authentifizierung, Mehr-Augen-Prinzip und Sichtsperre für Passwörter inkl. SSO.

Für Unternehmen mit Microsoft Active Directory sollte mindestens die Enterprise Edition gewählt werden, sie bietet die Integration mit dem LDAP Verzeichnis an. Des Weiteren werden Optionen wie Temporäre Freigaben, Automatische Reports, PKI Integration, Offline Modus oder Lastverteilung bzw. Replikation für die maximal 250 User angeboten. Für große bis sehr große Installationen eignet sich die Enterprise Plus Version, die keine Userbegrenzung mehr aufweist. Es kommen Features wie Managen von privilegierten Accounts, Passwort Reset, Session Recording und Monitoring dazu.

Nach erfolgreicher Ist-Aufnahme, Planung und Auswahl der Edition wird das Produkt auf geeigneter Plattform installiert und in Betrieb genommen. Anhand der bei der Ist-Aufnahme ermittelten Daten werden die Organisationseinheiten mit entsprechenden Berechtigungen und User bzw. Gruppen angelegt oder aus dem Active Directory importiert. Sobald dieser Schritt abgeschlossen ist, sollte noch getestet werden, ob die OU Struktur korrekt berechtigt wurde.

Für die Migration der KeePass Datenbanken müssen einige Schritte durchgeführt werden, um alle Informationen auch wirklich nach Password Safe migrieren zu können. Da Password Safe Formularbasiert ist, gibt es manchmal einige Herausforderungen bei der Integration von KeePass Datenbanken.

Am besten gruppiert man die Einträge in KeePass nach Kategorie, d.h. alle Accounts für Webseiten, alle Kreditkarten und so weiter. So kann man sicherstellen, dass auch alle Felder in dem gewählten Formular beim Import in Password Safe enthalten sind. Falls es doch nicht ganz klappt und nicht alle Felder eindeutig zugeordnet werden können, kann beim Importprozess ein Formular erweitert oder entsprechend angepasst werden. Ein nachträgliches Wechseln des benutzten Formulars in Password Safe ist ebenfalls möglich, wenn z.B. manche Daten in ein Beschreibungsfeld importiert wurden und man gerne ein eigenes Formularfeld dafür haben will.

Die gruppierten Passwörter werden z.B. als XML Datei aus KeePass exportiert und in Password Safe über den Importprozess eingelesen. Man wählt die Quelldatei, die aufnehmende Organisationseinheit, das passende Formular und die Zuordnung der einzelnen Formularfelder zwischen Quelle und Ziel aus. Die Passwörter werden importiert und entsprechend berechtigt, sie stehen sofort zur Verfügung. Aus Sicherheitsgründen sollte nicht vergessen werden, die Export XML Datei zu vernichten, hier stehen die Passwörter im Klartext drin!

Schützen Sie Ihr Unternehmen, Ihre sensiblen und wertvollen Daten mit einem professionellen Passwort Management Tool wie Mateso Password Safe. Frei nach dem Motto: Vertrauen ist gut, Kontrolle ist besser!