Anforderungen an ein zentralisiertes Passwort-Management

© Somchai Suppalertporn, 123RF

Gut gesichert?

,
Immer wieder kommt es vor, dass im Ausnahmefall ein Admin Zugang zu einem System bekommen muss, das er sonst nicht betreut. Will man deshalb die Passwortverwaltung einer zentralen Software übertragen, stellt sich die Frage: Was muss die können?
Mit den Tipps und Workshops im ADMIN-Magazin 03/2013 sichern Administratoren ihre Webserver und Netze gegen Angriffe ab: gegen Abhören sensibler Informationen, ... (mehr)

Das Eintippen von Login-Name und Passwort stellt in IT-Umgebungen mit normalem Schutzbedarf seit langer Zeit die häufigste Form der Authentifizierung dar. Auch Alternativen wie Token, Smartcards, elektronische Ausweise und verschiedenste Varianten der Biometrie haben daran nichts geändert. An Passwörtern führt fast kein Weg vorbei: Geringe Implementierungskosten, ausreichend hohe Nutzerakzeptanz und die relative Seltenheit signifikanter Sicherheitsvorfälle legen nahe, dass Passwörter auch in Zukunft kaum aussterben werden.

Das sogenannte Notfall-Passwort-Management deckt Situationen ab, in denen am Dienstbetrieb nicht direkt beteiligte Dritte in Ausnahmesituationen Zugriff auf Systeme erhalten sollen, um größeren Schaden abzuwenden. Beispielsweise kann es ein Ziel sein, dass ein rund um die Uhr besetztes Security-Team Zugriff auf kompromittierte Server erhält, auch wenn der zuständige Systemadministrator gerade nicht erreichbar sein sollte.

Im Notfall

Zu den klassischen Lösungsansätzen für dieses Problem gehören auf Zetteln notierte Passwörter in versiegelten Kuverts, die in einem Tresor deponiert und beim Eintreten eines Notfalls einem dazu Berechtigten ausgehändigt werden. Solche herkömmlichen Lösungen skalieren allerdings nur unzureichend: Anders als früher müssen in größeren Organisationen und Rechenzentren nicht mehr nur einige Handvoll, sondern Dutzende oder Hunderte von Passwörtern hinterlegt werden. Passwortrichtlinien sehen etwa auf Basis des Standards ISO/IEC 27001 nicht nur regelmäßige Passwortänderungen vor, sondern erfordern diese auch beispielsweise bei Personalfluktuation. Das Pflegen hinterlegter Passwortzettel entwickelt sich dadurch von der subjektiv lästigen Pflichtübung hin zum objektiven Zeitfresser. Die Umstellung des Notfall-Passwort-Managements auf eine zentrale, serverbasierte Softwarelösung, die von jedem Arbeitsplatz aus genutzt werden kann, birgt viele Chancen, aber auch viele (Sicherheits-)Risiken und will aufgrund ihrer Tragweite gut überlegt sein.

Dieser Beitrag untersucht die Chancen und Risiken und leitet konkrete Auswahlkriterien für Produkte ab. Die Umsetzung in der Praxis wird beispielhaft anhand des Leibniz-Rechenzentrums (LRZ) diskutiert. Das LRZ ist der zentrale IT-Dienstleister der Münchner Universitäten und Hochschulen; es stellt Dienste für rund 130 000 Hochschulmitarbeiter und Studierende zur Verfügung und betreibt das Münchner Wissenschaftsnetz, in dem jeden Tag rund 110 000 Endgeräte laufen.

Um die Masse an Passwörtern für die am LRZ betriebenen Server und Dienste zu verwalten, wurde der kommerzielle Passwort-Manager Password Safe Enterprise Edition (PSE) der deutschen Firma Mateso [1] eingeführt. Dabei stellte sich heraus, dass PSE viele Anforderungen durchaus elegant erfüllt, aber auch noch einige Schwächen aufweist, die hoffentlich in zukünftigen Versionen behoben werden.

Warum zentrales Passwort-Management?

Während so mancher reguläre Anwender recht sorglos mit Passwörtern umgeht – man denke an den berüchtigten gelben Klebezettel am Monitor – kümmern sich die meisten Administratoren bewusst um die Geheimhaltung. Am liebsten würden viele Administratoren Passwörter überhaupt nicht mit anderen teilen und ausschließlich offline verwalten, etwa per Passwortliste auf einem Zettel, der in der Brieftasche mitgeführt oder in persönliches Büromobiliar eingeschlossen wird.

Mit einigem Aufwand lässt sich sowohl die Anzahl zu verwaltender Passwörter minimieren als auch das Erfordernis einschränken, Passwörter weiterzugeben. Beispielsweise ersetzen SSH-Keypairs die Passwörter zur Authentifizierung beim Remote Login auf Linux-Servern; personengebundene, nicht administrative Kennungen machen in Kombination mit der Nutzung von sudo unter Linux beziehungweise UAC unter Windows die gemeinsame Kenntnis des root- oderAdministrator-Passworts überflüssig.

Das Problem, Notfallpasswörter hinterlegen zu müssen, bleibt dennoch bestehen, da jede Organisation daran interessiert ist, dass die Server weiterhin administrierbar bleiben, auch wenn der oder die üblichen Administratoren für längere Zeit nicht verfügbar sind. Hinzu kommt die Notwendigkeit des Passwort-Sharings für Dienste, die kein Rollenberechtigungsmodell mit mehreren Administratoren unterstützen.

Viele Administratoren können sich inzwischen mit persönlichen Passwort-Management-Tools wie KeyPass [2] oder KeePassX [3] anfreunden: Alle ihre Passwörter werden mit einem persönlichen Master-Passwort verschlüsselt in einer Datei abgelegt, sodass niemand anderes Zugriff erhält. Dadurch wird der Medienbruch, der durch das Notieren auf Papier entsteht, vermieden, sodass Passwörter bequem per Copy&Paste eingegeben werden können; von vielen Tools wird auch das direkte Starten einer SSH- oder RDP-Verbindung mit automatischer Passworteingabe unterstützt, der Ablauf ist also ähnlich wie das Speichern von Passwörtern im Webbrowser.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023