Test: ITZ Pass.MGR

 Die Geschichte des Passwortmanagers „Pass.MGR“ beginnt bei dem Gladbacher Informations- und Kommunikationsdienstleister Informationstechnologie-Zentrum Rhein/Maas GmbH (ITZ) selbst. Die Mitarbeiter stellten fest, dass die Passwortverwaltung zu wünschen übrig-ließ. Weil die Lösungen am Markt nicht überzeugten, entwickelte das Unternehmen eine eigene Software. Im Rahmen seiner Bachelor-Arbeit programmierte der Mitarbeiter und Informatikstudent Jan Rörthmans den Pass.MGR, wobei er sich an den Bedürfnissen der Kollegen orientierte. Immer wieder fragten auch Kunden nach einer Lösung für die Passwortverwaltung, und so beschloss ITZ, die Software nicht nur intern zu nutzen. Daraufhin kam auch FACTS an die Lösung.

Der entscheidende Vorteil des Pass.MGR liegt in der zentralisierten Sammlung aller Passwörter im Unternehmen. Die Berechtigung für jedes einzelne Passwort kann ein Nutzer sowohl Teams als auch Einzelpersonen zuweisen. Es werden nach Wunsch eigene Passwörter gespeichert, aber auch komplizierte automatisch erstellt. Jeder Mitarbeiter erhält einen schnellen und sicheren Zugriff auf alle Passwörter, die ihn betreffen. ITZ verspricht Telefonsupport und regelmäßigen Update-Service zu nutzerabhängigen überschaubaren Lizenzgebühren.

Das Einrichten auf dem FACTS-Server lief einfach und reibungslos. Rörthmans installierte die Software bei einem persönlichen Besuch. Das auf Linux basierende System läuft nun dauerhaft als virtuelle Maschine im Hintergrund, verbraucht aber wenige Ressourcen. Pass.MGR wurde bei FACTS so ins Unternehmenssystem integriert, dass jeder Mitarbeiter sich zunächst mit seiner normalen Kennung anmeldet, die er sonst zur Anmeldung an dem Computer nutzt. Dies bleibt dann auch das einzige Passwort, das sich ein Anwender jemals merken muss, alle anderen behält der Passwortmanager im Gedächtnis.

Ob ein bestehendes oder neues – der FACTS-Redaktion fiel es leicht, Passwörter in das System einzupflegen. Vor allem bei neu erstellten Accounts empfiehlt es sich, den Passwortgenerator des Managers in Anspruch zu nehmen. Dieser erzeugt dann einen hochkomplexen achtstelligen Code (Länge und Komplexität sind einstellbar), der alle Sicherheitsbedingungen erfüllt. Zusätzlich kann der Anwender den Namen und die Webadresse des Dienstes, den Benutzernamen, den Verwendungszweck und eine Beschreibung ergänzen. Nun gibt man noch an, wer Zugriff erhält – Einzelpersonen oder Teams. Nur für Berechtigte ist ein Eintrag in der Übersicht zu sehen. Neben den Unternehmenspasswörtern lassen sich auch private in einer separaten Kategorie anlegen, die niemand anders jemals einsehen kann.

Ein weiterer Clou: Alle Informationen lassen sich später per Mausklick in die Zwischenablage kopieren. So kann der Anwender eine Website aus dem Passwortmanager heraus aufrufen und nacheinander seinen Benutzernamen und sein Passwort anklicken und einfügen, ohne irgendetwas eintippen zu müssen. Übrigens: Auch für Lizenzen hat ITZ eine Kategorie eingerichtet, die ein Unternehmen ähnlich wie Passwörter einpflegen und verwalten kann.

Nicht nur das Kopieren und Einfügen von Passwörtern ist kinderleicht, auch die Navi
gation beim Auffinden der Passwörter fan-
den die Testredakteure nutzerfreundlich. Das Menü ist schlicht gestaltet und damit sehr übersichtlich. Wer gerne mit der Tastatur arbeitet, hüpft bequem mit Tab und Enter durch die Kategorien, statt die Maus zu benutzen. Mit Hilfe der Volltextsuche findet man auch zwischen sehr vielen Kategorien und Passwörtern schnell das Gesuchte.

Die gespeicherten Passwörter werden in einer Liste dargestellt.

Die AES-verschlüsselte Datenbank hinter dem Pass.MGR basiert auf SQL. Die AES-Verschlüsselung (Advanced Encryption Standard) ist ein hoher Standard, der zum Beispiel auch von Geheimdiensten verwendet wird. Ebenso handelt es sich bei SQL (Structured Query Language) um einen gängigen Standard für Strukturen und Abfragen in Datenbanken. Für eine ordentliche Nutzung legt man Teams und Verwendungszwecke an. Wenn man von Beginn an sauber vorgeht, hat man am Ende eine sehr geordnete und logische Passwortdatenbank. Auch hinsichtlich des Löschens hat der Programmierer den Sicherheitsaspekt berücksichtigt: Passwörter müssen nach dem Vier-Augen-Prinzip von zwei Personen gelöscht werden. Der Zugriff auf Zugangsdaten einer abwesenden Person ist möglich, doch nur mit dem Administrator plus einer Vertrauensperson, die zuvor festgelegt wurde. Das Attribut „Vertrauensperson“ vergibt ein Administrator. Von einem Mitarbeiter gelöschte „öffentliche“ Passwörter werden nicht endgültig gelöscht, sondern ein Administrator kann sie wiederherstellen oder endgültig löschen. Alle Änderungen an Passwörtern werden dokumentiert, um Fehler bei Aktualisierungsprozessen zu vermeiden. Die Zugriffs- und Löschregelungen gelten natürlich nicht für die privaten Passwörter, die außer für den Eigentümer unter Verschluss bleiben.

Jonah Jeschonneck