Passwort-Verwaltung und -Dokumentation in Startups

Kommen wir noch einmal auf das Thema Passwort zurück, diesmal im beruflichen Umfeld. Ich habe mittlerweile sehr unterschiedlichen Firmen gearbeitet und jedes Mal war das Thema Passwort und Passwort-Sharing ein mehr oder weniger großes Problem. Meist war ein Prozess etabliert, der zwar leidlich funktionierte, aber fast immer konnte ich nach dem Ausscheiden noch lange auf einige Dienste zugreifen. Ganz einfach ist das Thema leider nicht zu lösen, aber es gibt doch einiges, was man vor allem bei Technologiestartups beachten kann.

Schauen wir uns doch zuerst einmal an, wie es zumeist bei einem jungen Startup läuft. Am Anfang setzen meist die Entwickler schnell eine ganze Reihe von Diensten auf, meist laufen die auf die dienstliche Emailadresse. Manchmal erstellt das Management sogar selber die zentralen Dienste, aber auch (und gerade) hier dann eventuell sogar mit privaten Emailadressen als Zugänge. Mit der Zeit kommen immer mehr Dienste hinzu, einige werden gar nicht mehr benutzt, andere sind extrem wichtig für die Firma geworden. Besonders interessant ist es dann, wenn ein Mitarbeiter die Firma verlässt. Zum einen kann es dann plötzlich schwierig werden, auf diese Dienste zuzugreifen, weil man eventuell gar nicht weiß, auf welche Emailadresse die laufen. Zum anderen ist dann natürlich immer die Gefahr, dass ein unzufriedener Mitarbeiter später einfach mal Unsinn anstellt, was man ihm im Zweifelsfall sogar nicht einmal nachzuweisen kann, da vielen in der Firma diesen Account auch nutzen.

Welche Maßnahmen erleichtern die Passwortverwaltung?

Wie gesagt, ganz einfach zu verhindern ist das alles nicht. Aber man kann einiges tun, um den Überblick zu behalten und unbefugte Zugriffe zu schützen.

  • Alle Accounts protokollieren

    Das hört sich trivial an, wird aber nur selten konsequent durchgeführt. Dabei sollte jedes Startup ein zentrales Dokument haben, wo alle externen Dienste aufgeführt sind, wie man darauf Zugriff bekommt, wer den hat und wo man eventuell das Passwort findet. Somit kann man im Zweifelsfall immer schnell nachschauen, wenn es bei einem Dienst Probleme gibt.

  • Single-Sign-On-Accounts verwenden

    Das funktioniert natürlich nur, wenn alle in der Firma einen Provider benutzen, der solche Accounts zur Verfügung stellt. Das weit-verbreiteste Beispiel ist sicher der Google-Account. Wird GMail als Email-Provider benutzt, sollte also wenn möglich geschaut werden, ob damit auch andere Dienste benutzt werden können (z. B. Slack). Sollte dann ein Mitarbeiter ausscheiden, reicht die Deaktivierung seines Firmen-Google-Accounts aus, um auch andere Dienst für ihn zu blockieren.
    Interessanter Nebeneffekt: Wenn man selber einen Administrationsbereich aufbaut, kann man den natürlich auch mit OAuth und GMail verbinden. Somit müssen sich die Mitarbeiter weniger Passworte merken und man kann sogar die Rechtevergabe darauf aufbauen.

  • Individuelle Accounts verwenden

    Viele Dienstanbieter unterstützen SSO leider nicht. Aber zumindest stellen sie die Möglichkeit zur Verfügung, Teams anzulegen, so dass dann jeder einen persönlichen Zugang bekommt. Dieser kann dann im Zweifelsfall schnell deaktiviert werden, ohne dass die anderen betroffen sind. Viele Cloud-Dienste bieten das zum Beispiel an (AWS, Heroku, Docker, …). Je nach Dienst kann man dann auch die Rechte wieder granular für jeden einzelnen Benutzer einstellen.

  • Dedizierte Emailadresse für Zugänge

    Viele kleinere Dienste stellen allerdings nur einen einfachen Zugang zur Verfügung. Ist das die einzige Möglichkeit, sollte man einen Emailverteiler einrichten, den man für so etwas benutzen kann. Somit kann man zumindest sicherstellen, dass mehrere Leute Benachrichtigungen erhalten und im Zweifelsfall das Passwort zurücksetzen können.

  • Passwortverwaltung

    Für die einfachen Zugänge ist es meist nötig, die Passworte irgendwo abzuspeichern und anderen zur Verfügung zu stellen. Dass das nicht unbedingt auf einer frei-zugänglichen Wiki-Seite geschehen sollte, ist wohl einleuchtend.
    Es gibt mittlerweile eine ganze Reihe von Tools, die hier ansetzen. KeePass ist sicher eine sehr einfache Lösung, die schnell zu etablieren ist. Wenn man aber vielleicht verschiedene Nutzergruppen haben will, die nur bestimmte Passwörter sehen dürfen, wäre Vaultier eine Überlegung wert. Wichtig ist hier natürlich, dass es einen Verantwortlichen gibt, der das Tool regelmäßig pflegt und somit keiner die Passwörter per Slack oder Email weitergeben muss bzw. kann.

  • Offboarding-Prozess

    Wenn jetzt wirklich mal einer der treuen Mitarbeiter das Unternehmen verlässt, so sollte es einen Prozess geben, welche Accounts dann wie deaktiviert bzw. wo eventuell Passworte geändert werden müssen. Führen die Mitarbeiter einen neuen Dienst ein, müssen diese auch den Prozess aktualisieren oder dem Verantwortlichen Bescheid geben, dass zu tun. Das Ändern der Passwörter ist dabei der aufwendigste Teil. Dieser ist aber unvermeidlich, wenn man sicherstellen will, dass der ehemalige Mitarbeiter wirklich keine Möglichkeit mehr hat, auf Firmenaccounts zuzugreifen.

  • Bonus-Level: Dienste komplett deaktivieren

    Je älter und größer die Firma ist, umso mehr Dienste haben sich mittlerweile angesammelt. Viele davon sind nicht unbedingt kostenlos, die Preise sind aber eher vernachlässigbar. Trotzdem sind natürlich 20, 30 Euro jeden Monat viel Geld, wenn man den Dienst nicht gebraucht. Deshalb sollte man regelmäßig die Liste mit den Diensten evaluieren, um Kosten zu sparen und zugleich natürlich das Offboarding zu entschlacken.

Es fehlt das ultimative Passwort-Tool

Das Optimum wäre natürlich ein Tool, welches die obengenannten Aufgaben automatisch übernimmt. Dieses hätte die gängigsten Dienste eingebunden, die Passwort-Verwaltung würde automatisch übernommen werden (inklusive des Änderns von Passwörtern, obwohl der Nutzer die dann nicht zu Gesicht bekommen sollte) und eine Zuordnung zu Teams wäre natürlich auch dabei. Leider ist mir so ein Dienst bislang nicht untergekommen, aber man soll die Hoffnung ja nicht aufgeben.

Du magst vielleicht auch

Kommentar verfassen