Passwörter sind genauso unbeliebt wie allgegenwärtig – und es werden immer mehr. Unsere Applikationen wandern zusehends in die Cloud und verlangen zur Absicherung jeweils eine individuelle Nutzerauthentifizierung. Sicherheitsexperten empfehlen deswegen lange und komplizierte Passwörter, für jeden Dienst ein anderes sowie deren häufigen Wechsel. Leider beisst sich dieser Anspruch mit den Verhaltensmustern vieler Menschen – Passwörter werden wieder verwendet, entsprechen bekannten Klischees oder sind einfach herauszufinden.
Ein Ausweg aus der Situation sind Passwortmanager – eine Art digitaler Tresor, in dem sämtliche Passwörter verschlüsselt gespeichert werden. Im Idealfall werden diese so in Browser, Apps oder andere Clients integriert, dass der Nutzer nur noch ein Master-Passwort oder ein biometrisches Unlock benötigt, um sich schnell in ein Dutzend verschiedener Dienste einloggen zu können.
Rechtemanagement integriert
Mittlerweile gibt es eine Vielzahl solcher Lösungen am Markt – sowohl für Individuen als auch für Unternehmen. Letztere sogar in Ausführungen, die sich in die Systemlandschaft integrieren lassen und ein Rechtemanagement anbieten, sodass von zentraler Stelle aus festgelegt werden kann, welchen Personen oder Teams welche Zugänge offenstehen.
Das jedoch bedingt eine Cloud-Komponente: Und schon wächst wieder das Unwohlsein. Das Passwortarchiv muss schliesslich irgendwo zentral gehostet werden. Für viele Lösungen ist das aber nicht das eigene Unternehmen, sondern der Serverstandort des Anbieters. «Viele dieser Anbieter sind amerikanische Unternehmen. Das löst häufig ein gewisses Unwohlsein aus», so Pavel Hasanov, Mitgründer des Sicherheitsunternehmens
Alpein Software Swiss. «Als Schweizer Unternehmen will ich mein Passwortarchiv nicht in die USA exportieren, Verschlüsselung hin oder her», erklärt er weiter. Deshalb bietet Alpein Software Swiss einen Passwortmanager, dessen Hosting exklusiv auf Schweizer Boden stattfindet. PassSecurium wurde nicht nur von Grund auf in der Schweiz entwickelt, sondern vermeidet aufgrund des lokalen Hostings jegliche juristische Angriffsfläche durch den Cloud Act oder Ambivalenzen in Abkommen wie dem Privacy Shield.
PassSecurium gibt es in zwei Versionen jeweils für Privat- und Unternehmenskunden. Free und Standard richten sich speziell auf die Bedürfnisse von Privatkunden. Premium und Corporate wurden eigens für Unternehmen entwickelt. Alle Versionen gibt es als App fürs Smartphone, Browser-Plug-in und via den hauseigenen Client. Neben der bereits erwähnten Rechteverwaltung bietet PassSecurium für Unternehmen eine Anbindung an das eigene AD/LDAP (Active Directory/Lightweight Directory Access Protocol) sowie eine Anbindung an Microsoft Azure, wo die Mitarbeitenden zentral und bequem verwaltet werden können.
Von einem bis mehrere Tausend Mitarbeiter
Ab 100 Mitarbeitern kann die Datenbank der Lösung auch in den Kundensystemen gehostet werden anstatt in der Cloud. Eine Backup-Lösung ermöglicht die Speicherung, Verschlüsselung und Sicherung der PassSecurium-Anwendung direkt beim Kunden. «Wir gehen auch immer wieder auf spezielle Kundenwünsche ein, das macht nicht jeder Anbieter», so Pavel Hasanov. «So haben wir zum Beispiel eine portable Standalone-Version der Software auf Kundenwunsch aufbereitet, um den Passwortmanager ohne Installation direkt auf einem USB-Stick ausführen zu können.» Die Software wird exklusiv in Stein am Rhein entwickelt und ist mittlerweile bei zahlreichen Kunden unter anderem aus dem Gesundheitswesen, der Logistik oder bei Treuhändern im Einsatz. Abgedeckt werden Unternehmen mit zwei bis mehrere 1000 Mitarbeitern. PassSecurium gibt es seit 2018 als eigenständige Lösung. «Wir sind einen etwas ungewöhnlichen Weg gegangen», erinnert sich Pavel Hasanov.
Zunächst war der Passwortmanager ein Element der hauseigenen Kommunikationsplattform SwissSecurium, die zusätzlich E-Mail, Messenger, (Video-)Telefonie und Cloud-Speicher beinhaltet. «Wir wollten zunächst alles aus einer Hand anbieten – aufbauend auf Prinzipien wie Privacy by Design und Zero Knowledge», erklärt Hasanov. «Jeder Kunde hat eine eigene Instanz, auf die wir nach der Übergabe des Masterkeys keinen Zugriff mehr nehmen können – das ist Zero Knowledge». Der Kunde darf sein Passwort dann aber auch nicht verlieren. Durch Kundenwünsche sowie Entwicklungen des Marktes bestärkt wurde PassSecurium dann vor drei Jahren herausgelöst und auch als eigenes Produkt angeboten.
Die Tatsache, dass es eine Version für Privatkunden gibt, zeigt den Wunsch von
Alpein Software Swiss nach direktem Kontakt und Rückmeldungen für die Verbesserung des Produkts. «So erhalten wir viel wertvolles Feedback.» Zum Beispiel checkt PassSecurium beim Passwortimport eines Neukunden, ob die Zugangsdaten bereits in Archiven wie «Have I been Pwned» vorkommen. «Ausserdem können interessierte Personen so leicht unsere Lösung ausprobieren und ins Unternehmen tragen. Das funktioniert ganz gut», freut sich Hasanov.