IT-Sicherheit für KMU: Kleine Maßnahmen mit großer Wirkung 

Wir nehmen MFA, SSO und Password-Manager unter die Lupe 

Um Cybersicherheit im Unternehmen schnell und trotzdem effektiv zu erhöhen, stellen wir Ihnen heute konkrete Maßnahmen vor. Denn: Cyberangriffe nehmen drastisch zu, besonders in Deutschland und der EU. Und dabei stehen kleine und mittelständische Unternehmen (KMU) noch vor großen Herausforderungen – im Gegensatz zu den “Großen” fehlt es hier häufig an Infrastruktur, Fachpersonal und Budget. Wir sind überzeugt: Mit nur wenigen Maßnahmen von überschaubarem Aufwand können Sie bereits für deutlich mehr Sicherheit in Ihrem Unternehmen sorgen. Und genau diese drei Technologien wollen wir uns in diesem Artikel genauer ansehen: Was steckt dahinter? Wie funktionieren sie? Und was macht sie so effektiv? Legen wir los… 

1. Multifaktor-Authentifizierung (MFA)

Was steckt dahinter?  

Die Multifaktor-Authentifizierung (MFA) ist eine Technologie, die zusätzliche Sicherheitsschichten bei der Anmeldung zu Systemen und Anwendungen hinzufügt. Neben dem klassischen Passwort wird also ein weiterer Faktor zur Authentifizierung benötigt. Dies kann ein biometrischer Faktor wie ein Fingerabdruck sein, ein physisches Token oder ein temporärer Code, der über eine App oder SMS versendet wird. 

Warum ist MFA sinnvoll?   

Die größte Schwäche der klassischen Authentifizierung nur durch Passwörter liegt darin, dass Passwörter häufig unsicher sind – entweder weil sie zu einfach gewählt, mehrfach verwendet oder im schlimmsten Fall sogar gestohlen wurden. Hier setzt die Multifaktor-Authentifizierung an: Sie fügt „einer Information, die Sie kennen“ (Passwort) auch „etwas, das Sie haben“ oder „etwas, das Sie sind“ (z. B. ein Smartphone oder ein Fingerabdruck) hinzu. Selbst wenn ein Angreifer also Zugang zu einem Passwort hat, wird er ohne den zweiten Faktor nicht in der Lage sein, sich in Ihr System einzuloggen. Wir sehen bei unseren Kunden wenigstens einmal pro Woche einen Verlust des Primärpasswortes durch Phishing – das Konto kann dann trotzdem nicht übernommen werden, weil der Angreifer keinen Zugriff auf den Token oder die Authenticator-App des betroffenen Nutzers hat.   

MFA erhöht die Sicherheit eines Gesamtsystems enorm. Leider gibt es auch Methoden durch das betrügerische Zwischenschalten eines Fake-Webservers, eine legitime MFA-Authentifikation an die richtige Seite weiterzuleiten und das dann vergebene „Session-Cookie“ missbräuchlich auf einem anderen System zu verwenden. Auch bei der Eingabe eines zweiten Faktors gilt es aufmerksam zu bleiben: Ist das die korrekte Webseite, die mich hier zur Eingabe eines Codes oder eines Tokens auffordert, oder sieht diese Seite anders aus bzw. heißt sie anders als sonst? MFA ist aber deswegen nicht unsicher – der Angriff auf den MFA-Mechanismus ist recht aufwändig und erhöht die Kosten für den Angreifer.  

Wie funktioniert die Implementierung?   

Die meisten Cloud-Dienste erzwingen mittlerweile die Nutzung von MFA. Das Integrieren von MFA in On-Premise-Infrastrukturen ist in der Regel etwas aufwändiger, insbesondere, wenn es nicht auf Applikationsebene unterstützt wird. Aber auch hier kann man sehr elegante Lösungen mit Identity-Providern bauen, die auch “Legacy” Applikationen absichern, die kein MFA “eingebaut” haben. Token-MFA-Lösungen wie Yubico können so in bestehende IT-Infrastrukturen integriert werden. Besonders vorteilhaft: Sie können die Sicherheitsstufe für sensible Zugänge höher setzen, während weniger kritische Bereiche mit weniger strikten Anforderungen ausgestattet werden können. Bedeutet also: Mit verhältnismäßig geringem Aufwand lässt sich die Anmelde- und Zugriffsicherheit Ihrer Systeme stark erhöhen. Das Risiko, dass ein Cyberangriff über gestohlene Zugangsdaten erfolgreich ist, sinkt drastisch.  

2. Single Sign-On (SSO)

Was steckt dahinter? 

Single Sign-On (SSO) basiert auf einer zentralen Authentifizierungsstelle. Nachdem sich der Nutzer einmal verifiziert hat, stellt diese zentrale Stelle „Token“ aus, die als Schlüssel für den Zugriff auf die verschiedenen Anwendungen genutzt werden können. So ermöglicht SSO den Zugang zu mehreren Anwendungen oder Diensten, ohne sich bei jeder Anwendung separat authentifizieren zu müssen. Bedeutet: Ein einziger sicherer Login für den Zugriff auf alle benötigten Systeme. Der Identity-Provider ist hier meistens ein Cloud-Dienst (Microsoft Entra oder Google), der natürlich nativ mit einem MFA abgesichert ist. Man kann SSO auch für VPNs oder für On-Premise-Dienste verwenden, die man beispielsweise mit dem Microsoft Entra Application Proxy in die Microsoft SSO-Welt integrieren kann.  

Warum ist SSO sinnvoll?   

Der große Vorteil von SSO liegt darin, dass es Sicherheit und Benutzerfreundlichkeit in Einklang bringt. Die Technologie eliminiert die Notwendigkeit, sich mehrfach anzumelden und reduziert so die Zahl der verschiedenen Passwörter, die Nutzer sich merken müssen.  Die IT-Sicherheit wird verbessert, weil Mitarbeiter nicht mehr eine Vielzahl schwacher Passwörter verwenden müssen. Gleichzeitig erhöht SSO die Produktivität, da weniger Zeit für das Einloggen in verschiedene Anwendungen verloren geht. Auch für IT-Administratoren bringt es Vorteile: Die Verwaltung von Benutzerkonten und Zugriffsrechten kann zentralisiert und deutlich vereinfacht werden. 

Wie funktioniert die Implementierung? 

Die Integration von SSO in bestehende Systeme kann etwas aufwändiger sein, je nach Komplexität der IT-Landschaft. Hier gilt es, die verschiedenen Anwendungen und Dienste an das zentrale Authentifizierungssystem anzubinden. Um sicherzustellen, dass SSO nahtlos in ihre Infrastruktur eingebunden wird, macht es Sinn, einen Experten wie PLANET 33 zurate zu ziehen.

3. Password-Manager

Was steckt dahinter? 

Password-Manager sind Tools, die sichere Passwörter generieren, speichern und automatisch ausfüllen, sodass Benutzer nicht mehr alle ihre Passwörter im Kopf behalten oder manuell eingeben müssen. Diese Programme speichern alle Anmeldedaten in einem stark verschlüsselten „Tresor“ und erlauben den Zugriff auf diese mit einem einzigen Master-Passwort oder mit dem AD / EntraID Passwort des jeweiligen Nutzers.  

Warum sind Password-Manager sinnvoll?   

Password-Manager sind sinnvoll für alle Systeme, die nicht durch SSO in eine bestehende Identitätsverwaltung integriert werden können, z.B. weil sie zu alt sind. Auch erlaubt ein Passwortmanager mit seinen Logs die gemeinsame Nutzung geteilter Zugangsdaten für einen Dienst. Wer hat die Bestellungen von drei Paletten Druckerpapier über den Amazon-Account der Firma ausgelöst? Ein Blick in das Log des Passwortmanagers verschafft hier Klarheit. Viele Sicherheitsprobleme entstehen durch schwache oder wiederverwendete Passwörter. Ein Password-Manager löst dieses Problem, indem er für jede Anwendung ein einzigartiges, starkes Passwort generiert und es für den Benutzer speichert. Diese Passwörter können sehr komplex sein, da sie nicht mehr „merkbar“ sein müssen. Dies eliminiert die Gefahr von leicht zu erratenden oder mehrfach genutzten Passwörtern. 

Zugegeben: Das Passwort bei der erstmaligen Vergabe zusammen mit den anderen relevanten Anmeldedaten in den Password-Manager einzugeben, ist ein zusätzlicher Schritt, der ein paar Minuten dauert. Aber glauben Sie uns: Das gute Gefühl, letztlich für jede Anwendung ein extrem starkes Passwort zu haben, das Sie sich noch nicht einmal merken müssen, ist Gold wert… und erhöht die Sicherheit Ihrer eigenen Zugänge und die Ihres Unternehmens immens. 

Wie funktioniert die Implementierung?   

Die Einrichtung eines dedizierten Password-Managers erfordert die Bereitstellung einer verschlüsselten Datenbank in der eigenen IT-Infrastruktur (on prem oder Cloud). Die Beschaffenheit der Datenbank verhindert einen unberechtigten Abfluss der Passwortdaten, da das Zertifikat für die Verschlüsselung offline oder in einem Hardware Security Modul (HSM) vorgehalten wird. Der Passwortmanager kann dann an den IDP der Firma angebunden werden (Active Directory oder EntraID) oder aber mit separaten Passwörtern betrieben werden. Eine weitere Option besteht darin, dass wir für unsere Kunden eine Datenbank-Instanz (mit eigener Verschlüsselung) in der Azure Cloud betreiben. Wir von PLANET 33 unterstützen Sie gerne bei der Auswahl und Einführung der richtigen Variante für Ihr Unternehmen. 

Unser Fazit 
Multifaktor-Authentifizierung, Single Sign-On und Password-Manager sind alles sinnvolle Maßnahmen, um die IT-Sicherheit in Ihrem Unternehmen zu erhöhen. Während MFA eine zusätzliche Schutzschicht bei der Anmeldung bietet, erleichtert SSO den Zugang zu verschiedenen Systemen und erhöht die Benutzerfreundlichkeit. Password-Manager schützen vor den häufigsten Fehlern im Umgang mit Passwörtern. Lassen die drei Technologien sich kombinieren? Ganz automatisch – es gibt schon lange keine Cloud IDPs mehr für SSO, die nicht MFA erzwingen. SSO und Password-Management hingegen sind komplementär, heißt:  Passwort-Management sollte dort eingesetzt werden, wo SSO nicht möglich ist. Und unser Password-Manager unterstützt natürlich auch wieder MFA.  

Packen wir’s an 

Welches Setup ist das Richtige für Ihr Unternehmen? Eine Übersicht unserer Lösungen im Bereich IT-Sicherheit finden Sie hier. Für eine unverbindliche, persönliche Beratung schreiben Sie uns gerne via sales@planet33.com. Wir unterstützen Sie gerne!