Das Passwortarchiv bleibt in der Schweiz
Christian Walter ist Geschäftsführer und Redaktionsleiter von swiss made software. Bis Ende 2010 arbeitete er als Fachjournalist für das ICT-Magazin Netzwoche, publizierte zuletzt aber auch im Swiss IT Magazin, der Computerworld sowie inside-it.
Alpein Software Swiss bietet einen lokal gehosteten Passwortmanager für Privatpersonen und Unternehmen.
Passwörter sind genauso unbeliebt wie allgegenwärtig – und es werden immer mehr. Unsere Applikationen wandern zusehends in die Cloud und verlangen zur Absicherung jeweils eine individuelle Nutzerauthentifizierung. Sicherheitsexperten empfehlen deswegen lange und komplizierte Passwörter, für jeden Dienst ein anderes sowie deren häufigen Wechsel. Leider beisst sich dieser Anspruch mit den Verhaltensmustern vieler Menschen – Passwörter werden wieder verwendet, entsprechen bekannten Klischees oder sind einfach herauszufinden.
Ein Ausweg aus der Situation sind Passwortmanager – eine Art digitaler Tresor, in dem sämtliche Passwörter verschlüsselt gespeichert werden. Im Idealfall werden diese so in Browser, Apps oder andere Clients integriert, dass der Nutzer nur noch ein Master-Passwort oder ein biometrisches Unlock benötigt, um sich schnell in ein Dutzend verschiedener Dienste einloggen zu können.
Rechtemanagement integriert
Mittlerweile gibt es eine Vielzahl solcher Lösungen am Markt – sowohl für Individuen als auch für Unternehmen. Letztere sogar in Ausführungen, die sich in die Systemlandschaft integrieren lassen und ein Rechtemanagement anbieten, sodass von zentraler Stelle aus festgelegt werden kann, welchen Personen oder Teams welche Zugänge offenstehen.
Das jedoch bedingt eine Cloud-Komponente: Und schon wächst wieder das Unwohlsein. Das Passwortarchiv muss schliesslich irgendwo zentral gehostet werden. Für viele Lösungen ist das aber nicht das eigene Unternehmen, sondern der Serverstandort des Anbieters. «Viele dieser Anbieter sind amerikanische Unternehmen. Das löst häufig ein gewisses Unwohlsein aus», so Pavel Hasanov, Mitgründer des Sicherheitsunternehmens Alpein Software Swiss. «Als Schweizer Unternehmen will ich mein Passwortarchiv nicht in die USA exportieren, Verschlüsselung hin oder her», erklärt er weiter. Deshalb bietet Alpein Software Swiss einen Passwortmanager, dessen Hosting exklusiv auf Schweizer Boden stattfindet. PassSecurium wurde nicht nur von Grund auf in der Schweiz entwickelt, sondern vermeidet aufgrund des lokalen Hostings jegliche juristische Angriffsfläche durch den Cloud Act oder Ambivalenzen in Abkommen wie dem Privacy Shield.
PassSecurium gibt es in zwei Versionen jeweils für Privat- und Unternehmenskunden. Free und Standard richten sich speziell auf die Bedürfnisse von Privatkunden. Premium und Corporate wurden eigens für Unternehmen entwickelt. Alle Versionen gibt es als App fürs Smartphone, Browser-Plug-in und via den hauseigenen Client. Neben der bereits erwähnten Rechteverwaltung bietet PassSecurium für Unternehmen eine Anbindung an das eigene AD/LDAP (Active Directory/Lightweight Directory Access Protocol) sowie eine Anbindung an Microsoft Azure, wo die Mitarbeitenden zentral und bequem verwaltet werden können.
Von einem bis mehrere Tausend Mitarbeiter
Ab 100 Mitarbeitern kann die Datenbank der Lösung auch in den Kundensystemen gehostet werden anstatt in der Cloud. Eine Backup-Lösung ermöglicht die Speicherung, Verschlüsselung und Sicherung der PassSecurium-Anwendung direkt beim Kunden. «Wir gehen auch immer wieder auf spezielle Kundenwünsche ein, das macht nicht jeder Anbieter», so Pavel Hasanov. «So haben wir zum Beispiel eine portable Standalone-Version der Software auf Kundenwunsch aufbereitet, um den Passwortmanager ohne Installation direkt auf einem USB-Stick ausführen zu können.» Die Software wird exklusiv in Stein am Rhein entwickelt und ist mittlerweile bei zahlreichen Kunden unter anderem aus dem Gesundheitswesen, der Logistik oder bei Treuhändern im Einsatz. Abgedeckt werden Unternehmen mit zwei bis mehrere 1000 Mitarbeitern. PassSecurium gibt es seit 2018 als eigenständige Lösung. «Wir sind einen etwas ungewöhnlichen Weg gegangen», erinnert sich Pavel Hasanov.
Zunächst war der Passwortmanager ein Element der hauseigenen Kommunikationsplattform SwissSecurium, die zusätzlich E-Mail, Messenger, (Video-)Telefonie und Cloud-Speicher beinhaltet. «Wir wollten zunächst alles aus einer Hand anbieten – aufbauend auf Prinzipien wie Privacy by Design und Zero Knowledge», erklärt Hasanov. «Jeder Kunde hat eine eigene Instanz, auf die wir nach der Übergabe des Masterkeys keinen Zugriff mehr nehmen können – das ist Zero Knowledge». Der Kunde darf sein Passwort dann aber auch nicht verlieren. Durch Kundenwünsche sowie Entwicklungen des Marktes bestärkt wurde PassSecurium dann vor drei Jahren herausgelöst und auch als eigenes Produkt angeboten.
Die Tatsache, dass es eine Version für Privatkunden gibt, zeigt den Wunsch von Alpein Software Swiss nach direktem Kontakt und Rückmeldungen für die Verbesserung des Produkts. «So erhalten wir viel wertvolles Feedback.» Zum Beispiel checkt PassSecurium beim Passwortimport eines Neukunden, ob die Zugangsdaten bereits in Archiven wie «Have I been Pwned» vorkommen. «Ausserdem können interessierte Personen so leicht unsere Lösung ausprobieren und ins Unternehmen tragen. Das funktioniert ganz gut», freut sich Hasanov.
More articles on General Security
- Tuesday 22.11.2022
Die eigene Recovery-Box
Trotz Cloud-Vorteilen ist vielen unwohl, wenn sie die Kontrolle über die Kerndaten verlieren. Sedion bietet dafür eine kombinierte Box- und Cloud-Variante. - Thursday 26.09.2019
Keine Zero Days mehr
Das ETH-Spinoff Xorlab will Cyberattacken stoppen, bevor sie ins Rollen kommen. Dafür wurde ein neues Verteidigungskonzept entwickelt. - Monday 26.08.2019
Einfach zertifizieren
Regularien werden immer anspruchsvoller. Um den Überblick zu behalten und gleichzeitig die Komplexität zu beherrschen, bietet das Start-up CISS deshalb eine digitale Lösung. - Tuesday 02.04.2019
Das Ökosystem hinter der SwissID
Neben SwissSign sind zahlreiche Partner Teil des SwissIDÖkosystems. Zusammen wollen sie das Herzstück für weite Teile der kommenden Digitalisierung bilden, und zwar, ohne die Privatsphäre der Nutzenden zu tangieren. - Friday 01.12.2017
Interview Gilbert Semmer: «Hersteller können nicht die alleinige Verantwortung tragen»
Gerade im vernetzten Gesundheitswesen ist Cyber-Sicherheit ein Gemeinschaftsprojekt. Trotz Fortschritten ist ein gesellschaftlicher Diskurs zu diesem Thema nach wie vor nötig, wie Sicherheitsexperte Gilbert Semmer im Interview darlegt. - Friday 24.11.2017
Sicherheit hat Mehrwert – am Computer und im Geschäft
Moderne Cyber-Security verlangt mehr als nur die Erhöhung der Schranken, um Angreifer abzuwehren. Der altbekannte Trade-off von Sicherheit und Bequemlichkeit hat als Argumentation ausgedient. Eine zeitgemässe Lösung muss neben Sicherheit und Bequemlichkeit auch neue Businesskonzepte unterstützen. - Friday 24.11.2017
Innovation und Sicherheit im vernetzten Gesundheitswesen
Das labormedizinische Unternehmen Viollier setzt voll auf digitale Innovation, um sich am Markt zu differenzieren. Um die Sicherheit der medizinischen Daten zu garantieren, kooperiert das Unternehmen mit dem Berner Sicherheitsspezialisten United Security Providers. - Friday 24.11.2017
Security for international payments
In 2016, hackers attempted to steal more than 950 million dollars from accounts held at Bangladesh’s central bank, Bangladesh Bank. While automated systems managed to stop the transfers at 81 million, this was still an impressive demonstration of the vulnerability of the SWIFT system. - Friday 24.11.2017
Sicherheit klingt gut
Viele Nutzer verzichten zu Gunsten von Bequemlichkeit auf angebotene Security-Lösungen. Futurae versucht einen neuen Ansatz: Sicherheit durch den Vergleich von Umgebungsgeräuschen. - Friday 24.11.2017
Das verschlüsselte Unternehmen
Während Private und Staaten mit der dauernden Ausspähung des Internets beschäftigt sind, steigen parallel die rechtlichen Anforderungen an den Datenschutz. - Friday 24.11.2017
Dreidimensionales Schach
Sicherheit muss auf mehr als nur der ICT-Ebene gedacht werden. Sicherheitsanbieter agieren deswegen auf einem überaus komplexen Terrain, das nicht nur von kriminellen, sondern auch von nationalen Interessen geprägt ist.