Je größer das Team eines IT Projekts, oder je umfangreicher das Projekt an sich ist, desto größer wird auch die Vielzahl an verschiedenen Passwörtern und PINs die Zugriffe auf bestimmte Konten, Tools oder Funktionen ermöglichen. Die daraus resultierenden Probleme sind in der Regel immer die Gleichen:
- Benutzer können sich die Passwörter nicht merken
- Durch die vergessenen Passwörter ist der Aufwand um mit dem System weiterzuarbeiten teilweise höher
- Die Nutzung von Passwörtern wird als lästig empfunden
- Mitarbeiter versuchen den “Passwortzwang” zu unterwandern wo es nur geht
Resultat: Jeder Projektleiter kann davon ausgehen, dass mit wichtigen und vor allem sensiblen Projektdaten nicht so “feinfühlig” umgegangen wird, wie es die Sicherheitsrichtlinien des Unternehmens fordern oder der Projektkunde erwartet.
Unsensibler Umgang mit Kennwörtern
Kennwörter zählen zu den sensiblen Daten die durchaus die Sicherheit eines Projekts, die Konkurrenzfähigkeit eines Unternehmens, sowie bei kleineren Firmen sogar deren Existenz beeinträchtigen, wenn Maßnahmen zum sicheren Umgang missachtet oder Mitarbeiter unzureichend geschult werden.
Kurz nachgedacht
Wie oft werden in Ihrem Unternehmen oder innerhalb ihres Projekts:
- Kennwörter unverschlüsselt irgendwo gespeichert?
- Kennwörter aus Bequemlichkeit unverschlüsselt per Mail verschickt?
- Kennwörter für einen schnelleren Zugriff auf einen Zettel notiert, der dann unsicher verwahrt wird?
- Triviale Kennwörter verwendet (z.B. 0815, 4711, 1234567)?
- Ein gemeinsamer Login ständig von jemanden reseted, weil er sich nicht mehr an den Zugang erinnert?
- Der Kollege aus dem Urlaub oder Krankenbett geholt, weil kein anderer weiß, wo er die notwendigen Zugangsdaten findet?
Haben Sie schon mal überlegt was passiert wenn sensible Projektdaten oder Zugänge in die Hände unberechtigter Dritter (z.B. Praktikanten, Konkurrenten, Hacker, Ex-Mitarbeiter, Service-Techniker eines Dienstleisters, dem Nachbarn etc.) gelangen?
- Weil vielleicht der Zettel mit den Kennwörtern “verloren” ging oder in den Müll (öffentlicher Müllcontainer) gewandert ist?
- Unverschlüsselte E-Mails (oft auch an den falschen Empfänger) verschickt wurden?
- Der defekte Laptop (inklusive der darauf liegenden Daten) zur Reparatur eingeschickt werden muss, im Zugabteil oder im Auto zurückgelassen oder gestohlen wurde und dadurch keine Möglichkeit mehr zur Sicherung / Löschung sensibler Daten bestand?
- Der Mitarbeiter, der als Einziger die Zugänge wusste plötzlich aus dem Unternehmen ausgeschieden oder nicht mehr erreichbar ist?
Das sind nur ein paar Beispiel die mögliche Szenarien beschreiben, die in einer oder mehrere dieser Form vorkommen.
Projektteams für mehr Sicherheit sensibilisieren
Als Unternehmer oder Projektleiter zu denken “Meine Mitarbeiter wissen was sie tun” ist nicht empfehlenswert. Denn das Sicherheitsverständnis in Teams variiert personenabhängig sehr stark voneinander. Wie bereits zu Beginn erwähnt wurde, wird fast überall die Nutzung von Passwörtern als Zwang oder Last empfunden. Und aus Bequemlichkeit unterlaufen, wo es nur geht. Deswegen sollte man das Team immer wieder darauf hinweisen, Empfehlungen geben, notfalls stichprobenhaltig kontrollieren und nichts dem Zufall hinterlassen.
41% zeigen keine Eigeninitiative
Hinweis zum Screenshot: Passwörter und Geheimzahlen für elektronische Geräte und Dienste werden laut einer Forsa Umfragen aus dem Jahr 2010 bei 41 Prozent der Befragten NIE aus eigener Initiative geändert. 
Die meiste Software, die in Projekten zum Projektmanagement eingesetzt wird bietet schon viele gute Voraussetzungen den Zugriff auf bestimmte Daten mit Hilfe der Rechte- und Rollenkonfigurationen entsprechend einzuschränken. Viele Projektleiter gehen auch schon dazu über innerhalb dieser Software an einer zentral zugänglichen Stelle für die Zusammenarbeit wichtige Projektkennwörter abzulegen. Wie beispielsweise in der Wiki.
1 zentrale Kennwortverwaltung kann hilfreich sein
Wer noch einen Schritt weiter in Richtung Sicherheit gehen will, setzt besser auf professionelle Kennwortmanagement Lösungen. Die im Idealfall mit dem Projektmanagement-Werkzeug zusammenarbeiten und den Mitarbeitern keine weiteren Einschränkungen verursachen. Wichtig dabei ist jedoch sich nur für 1 Lösung zu entscheiden. Es wäre kontraproduktiv hierbei mit mehreren zu arbeiten.
Vorteile einer Kennwortverwaltung
- Dem Team wird eine zentrale Anlaufstelle zur Kennwortablage geboten
- Die Kennwörter können sicher abgelegt und geteilt werden
- Die Kennwörter werden mit bewährten Verschlüsselungsverfahren in einer Datenbank gespeichert und liegen NICHT irgendwo gut lesbar auf einer Festplatte
- Die Zugriffe auf die Kennwörter sind über das Rollen und Rechtemanagement gut regelbar (z.B. um Praktikanten auszuschließen, ehemalige Teammitglieder auszusperren etc.)
- Durch einen Kennwortgenerator wird sicher gestellt dass die Mitarbeiter auch wirklich sichere Passwörter einsetzen
- Man hat die Möglichkeit Regeln zur Passwortgenerierung festzulegen
- Auch wenn mal jemand aus dem Team ausscheidet oder nicht verfügbar ist, kann die Arbeit am Projekt weiter gehen
- Man erhält einen Überblick über die angelegten Zugänge und kann über deren Notwendigkeit entscheiden
- Man kann daran erinnert werden, wann es an der Zeit ist ein Kennwort zu ändern
- Man kann Sicherheitsaudits für die existierenden Kennwörter durchführen
Der Einsatz einer Kennwortverwaltung ist natürlich kein Allheilmittel um die Sicherheit eines Projekts zu gewährleisten, aber ein sehr guter Anfang. Der nebenbei auch noch viel Zeit und Nerven spart. Wichtig ist jedoch, dass man sich überhaupt mal in diese Richtung Gedanken macht etwas mehr für die Sicherheit der Projektdaten zu unternehmen.
Projektmanager müssen mehr Verantwortung zeigen
Ein sensibler Umgang mit Passwörtern innerhalb ihres Teams hilft dabei die Gefahr der Kompromittierung eines der Systeme in Ihrem Unternehmen zu verringern. Tatsächlich ist es aber so, dass sich viele Unternehmen über die Verwaltung von Passwörtern zu wenig Gedanken machen oder es für zu aufwendig halten Maßnahmen zu ergreifen
Vielen Verantwortlichen ist es wichtiger zu wissen, dass die Daten auf Servern in Deutschland liegen, bevorzugt auf einem eigenen Server im Unternehmen. Aber über den verantwortungsbewussten Umgang mit den dazu notwendigen Kennwörtern machen sich die wenigstens Gedanken. Wann haben Sie sich zuletzt die folgenden Fragen gestellt:
- Was tue ich für den Passwortschutz in meinem Team, meinem Projekt, meinem Unternehmen?
- Werden meine Mitarbeiter zum richtigen Umgang mit Kennwörtern geschult oder regelmäßig darauf hingewiesen?
- Falls ja, werden die Sicherheitsvorgaben hinsichtlich dessen auch wirklich eingehalten und wann wurde dies zuletzt überprüft?
- Wo gibt es Defizite, was sind deren mögliche Auswirkungen und wie können diese behoben werden?
- Welche Zugänge existieren überhaupt? Sind die wirklich alle notwendig? Was war der Grund für die Anlage dieses Zugangs?
Mit Projektkennwörtern richtig umgehen
Sie nehmen die Passwortsicherheit ernst? Dann sollten Sie die folgenden Punkte demnächst erledigen.
- Mitarbeiter entsprechend informieren und schulen
- Richtlinien zum Umgang mit Kennwörtern bereit stellen
- Ansprechpartner bei Fragen benennen
- Produktivität erhöhen, zentralen Zugang und Ablageort ermöglichen
- Festlegen welche Zugänge notwendig sind, welche nicht, für welchen Zeitraum und für wen
- 1 (nicht mehrere) geeignete Software einsetzen, die zentralen und sicheren Kennwortzugang und Verteilung ermöglicht (Testen Sie kostenlos Redmine Passwords in unserer Demo)