Detaillierte Umfrage: Passwort-Manager sind nützlich - aber sie sind kein PAM

Devolutions Umfragebericht zum Stand der IT-Sicherheit in KMUs im Jahr 2024–25 ist jetzt verfügbar. Es gibt zwar viel zu entdecken und zu analysieren – von Insider-Bedrohungen bis hin zu KI – doch eine der wichtigsten Erkenntnisse ist, dass 52 % der KMUs noch keine sichere, effektive und automatisierte Lösung für die Verwaltung privilegierter Zugriffe (PAM) eingeführt haben. Dies ist angesichts folgender Fakten alarmierend:

• 74 % der Datenschutzverletzungen beginnen mit dem Missbrauch privilegierter Anmeldedaten.
• 55 % der Unternehmen wissen nicht, wie viele privilegierte Konten sie haben oder wo sie sich befinden.
• Über 50 % der privilegierten Konten laufen nie ab oder werden nie geschlossen.

Wir haben vor Kurzem eine vierteilige Serie gestartet, um besser zu verstehen, was einige KMUs davon abhält, eine PAM-Lösung zu übernehmen (oder vollständig einzuführen). In Teil 1 haben wir uns mit einem Klassiker befasst – Tabellen – und 10 Gründe genannt, warum sie zwar für Aufgaben wie Budgetprognosen hervorragend geeignet, für PAM jedoch schrecklich sind. Falls Sie es verpasst haben: Hier können Sie es nachlesen.

Lassen Sie uns nun mit Teil 2 fortfahren. Hier rücken wir ein Arbeitsplatztool ins Rampenlicht, das in vielen KMUs ein gefährlich falsches Gefühl von IT-Sicherheit erzeugt: Passwort-Manager.

Geschäftskontinuität vs. Sicherheit

Laut Devolutions-Umfragebericht haben 30 % der Führungskräfte in KMUs keine PAM-Lösung eingeführt, weil sie einen Passwort-Manager mit Tresoren verwenden und dies für ausreichend halten.

Diese Ansicht ist verständlich, da Passwort-Manager manchmal in Artikeln, Videos und Diskussionen über PAM erwähnt werden. Darüber hinaus bewerben einige Anbieter von Passwort-Managern ihre Produkte als „PAM-Lösungen“ oder „PAM-fähig“. Diese Behauptungen sind nicht nur Marketing-Hype – sie sind irreführend!

Hier ist die Wahrheit: Im Wesentlichen sind Passwort-Manager Tools zur Aufrechterhaltung des Geschäftsbetriebs und keine Sicherheitstools. Sie ermöglichen es Nutzern, Tresore zu teilen, die verschiedene Arten sensibler Daten enthalten, wie z. B. Kontozugangsdaten, Kreditkartennummern, Informationen zu Remote-Verbindungen usw.

Diese Funktionalität ist praktisch und effizient. Stellen Sie sich ein Szenario vor, in dem ein Nutzer, der mehrere Passwörter erstellt und verwendet hat, das Unternehmen verlässt. Ohne Tresore müssten seine Kollegen Tabellen und Notizen durchsuchen, um (hoffentlich) diese Passwörter zu finden. Mit Tresoren hingegen melden sie sich einfach an und erhalten, was sie benötigen.

Der Nutzen von Passwort-Managern für die Geschäftskontinuität und die Vereinfachung der Verwaltung ist also klar ersichtlich. Diese Vorteile haben allerdings nichts mit tatsächlicher Cybersicherheit zu tun, denn die überraschende Wahrheit ist, dass Passwort-Manager grundsätzlich unsicher sind.

Ein ausscheidender Nutzer muss nichts weiter tun, als die Passwörter zu kopieren und in eine andere Datei einzufügen. Natürlich könnte ein Unternehmen jedes Mal, wenn jemand geht, alle Passwörter ändern. Aber das ist mühsam und zeitaufwendig. Und wie wäre es mit einer automatischen Zurücksetzung der Passwörter nach jeder Verwendung? Das mag für interne Konten funktionieren, aber nicht für Passwörter von Drittanbieter-Apps oder Websites.

Passwort-Manager können das Bewusstsein schärfen – aber nicht die Sicherheit erhöhen

Um die Sache noch verwirrender zu machen, bieten Passwort-Manager in der Regel Funktionen zur Passwortsicherheit an, wie zum Beispiel:

• Abgleich mit einer Liste bekannter kompromittierter Passwörter
• Generator für starke Passwörter
• Durchsetzung minimaler Passwortanforderungen
• Protokollierung

Funktionen wie diese sind nützlich. Wenn wir sie jedoch genauer betrachten, stellen wir fest, dass sie Unternehmen nicht wirklich sicherer machen.
Bestenfalls helfen sie Unternehmen dabei, sich potenzieller Probleme und Schwachstellen bewusst zu werden. Sie sind eher reaktiv als proaktiv. Sie zeigen, wo die Sicherheit im Unternehmen BEGINNEN sollte, legen jedoch nicht fest, wo sie ENDEN sollte.

Dies gilt insbesondere für technische Nutzer wie Systemadministratoren und Helpdesk-Mitarbeiter. Diese Fachleute arbeiten in Bereichen, in denen die Sicherheitsanforderungen und -risiken am höchsten sind. Für sie ist die Verwendung eines Passwort-Managers für die Verwaltung privilegierter Zugriffe (PAM) nicht nur völlig unzureichend, sondern auch äußerst prekär.

Schaffen Sie Ihren Passwort-Manager nicht ab – fügen Sie einfach PAM hinzu

Wir raten KMUs nicht dazu, ihren bevorzugten und vertrauten Passwort-Manager abzuschaffen. Wie bereits erwähnt, sind Passwort-Manager praktische und nützliche Tools für die Geschäftskontinuität. Sie können auch dazu beitragen, das Bewusstsein für Schwachstellen zu schärfen. Und Tools wie Generatoren für starke Passwörter können eine gute Passworthygiene und -gewohnheiten bei Endnutzern fördern (die leider immer das schwächste Glied in der IT-Sicherheitskette sein werden). All dies sind positive Aspekte.

Wir empfehlen KMUs jedoch dringend, ihren Passwort-Manager durch ein echtes PAM-Produkt zu ergänzen.
Diese Lösung bietet integrierte Funktionen und Merkmale wie:

• Erkennung privilegierter Konten
• Rollenbasierte Zugriffskontrolle (RBAC)
• Sicheres Einfügen von Anmeldeinformationen
• Genehmigung von Check-out-Anfragen
• Automatische und festgelegte Passwortrotation
• Just-in-Time-Erhöhung der Berechtigungen
• Übertragung von Passwortänderungen
• Aufzeichnung von Sitzungen
• Verwaltungsberichte und Prüfung
• Integrierte Genehmigungsrichtlinien

Mit einer echten PAM-Lösung – und nicht nur mit einem Tool für die Geschäftskontinuität, das als Passwort-Manager bezeichnet wird –
erhalten KMUs vollständige Kontrolle und Transparenz über ihre wichtigsten und sensibelsten Konten (auch bekannt als „die Schlüssel zum Königreich“).

Angesichts der steigenden Risiken und potenziell katastrophalen Kosten einer Datenschutzverletzung – derzeit durchschnittlich 4,88 Millionen USD pro Vorfall – darf PAM von KMU-Führungskräften nicht als unnötig angesehen werden, nur weil sie bereits über einen Passwort-Manager verfügen. Stattdessen sollte PAM als grundlegende Anforderung und als wichtige Investition in den aktuellen und zukünftigen Erfolg eines Unternehmens betrachtet werden.

„PAM für uns alle!“

Führungskräfte, die nun feststellen, dass sie in ihrem KMU tatsächlich kein PAM haben (trotz der Versprechungen, die ihnen von den Anbietern von Passwort-Managern gemacht wurden!), sollten sich keine Sorgen machen. Der Weg nach vorn ist klar: Schauen Sie sich Devolutions PAM an.

Devolutions PAM ist eine unentbehrliche Sicherheitsplattform, die den erweiterten Zugriff für Nutzer, Konten, Prozesse und Systeme im gesamten Unternehmen kontrolliert, überwacht und absichert. Sie lässt sich nahtlos in Unternehmenssysteme integrieren, unterstützt eine breite Palette von Sicherheitsprotokollen und richtet sich nach den Standards für Unternehmensführung. Und ebenso wichtig ist, dass Devolutions PAM erschwinglich ist und speziell für KMUs entwickelt wurde. Es fallen keine hohen Gemeinkosten an, und unsere Experten stehen Ihnen (ohne zusätzliche Kosten) zur Seite, um eine schnelle und reibungslose Implementierung zu gewährleisten.

Bei Devolutions sind wir davon überzeugt, dass KMUs beim privilegierten Zugriff die gleiche robuste Sicherheit und umfassende Transparenz benötigen wie große Unternehmen – ohne jedoch durch übermäßige Komplexität, aufwendige Lernprozesse oder die Überschreitung ihres begrenzten Budgets für IT-Sicherheit behindert zu werden. Wir nennen es: „PAM für uns alle!“

PAM-Champion

Wir freuen uns auch darüber, dass Devolutions vor Kurzem im PAM Emotional Footprint-Bericht der Info-Tech Research-Group
zum Champion des Jahres 2025 ernannt wurde.

Der Bericht misst die Nutzererfahrung hinsichtlich des Produktwerts und der Stärke der Beziehung zwischen Nutzer und Anbieter. Devolutions erzielte einen perfekten Net Emotional Footprint-Wert von +100. Wir waren auch einer der wenigen Anbieter, die 100 % positives Feedback ohne negative Bewertungen erhalten haben.

Weitere Informationen & nächste Schritte

Für weitere Informationen kontaktieren Sie uns noch heute unter sales@devolutions.net. Wir laden Sie außerdem dazu ein, unser brandneues Starter Pack zu erkunden, das Devolutions PAM (und mehr) für bis zu fünf Nutzer bietet. Klicken Sie hier, um mehr zu erfahren und eine kostenlose Testversion zu starten.

Teil 3 ist in Vorbereitung

Im nächsten Teil dieser Serie werden wir uns mit einem weiteren Hindernis befassen, das laut des Umfrageberichts einige KMUs davon abhält, eine umfassende PAM-Lösung einzuführen: die Ansicht, dass die Multi-Faktor-Authentifizierung (MFA) für robuste Sicherheit im gesamten Unternehmen sorgt und als „Sicherheitsnetz“ für schlechte Passwortpraktiken dient.

Wir werden untersuchen, warum diese Ansicht falsch ist und erläutern, was KMUs tun können, um ihre Passworthygiene zu verbessern, die Durchsetzung von Richtlinien zu stärken und ihr IT-Sicherheitsrisiko deutlich zu senken.