Sie werden immer wieder totgesagt, aber im IT-Tagesgeschäft geht nach vor nichts ohne sie: Passwörter. Kennwortmanager sind Programme, die helfen sollen, Zettelwirtschaft und die Wiederverwendung der Zugangsdaten zu vermeiden. Um die Endpunkte in Business-Umgebungen zu sichern, müssen Administratoren aber auch Themen wie Identity Management und Single Sign-on miteinbeziehen. Die Software LastPass Business verspricht, all diese Dinge zu vereinen und zu verwalten.
Wenn sie ganz ehrlich sind, werden selbst gestandene IT-Profis zugeben müssen, dass sie immer wieder einmal Passwörter recyceln oder gar auf dem berühmten Schmierzettel notieren. Gerade mit der steigenden Anzahl von SaaS- und Cloudwerkzeugen in allen Bereichen taucht die stets lästige Frage nach den Anmeldedaten immer häufiger auf. Die Sicherheit bei der Nutzung der Passwörter sowie die Anzahl der verwendeten Kennwörter sind dabei nur zwei, wenn auch wichtige, Faktoren, die den Administratoren und Sicherheitsfachleuten Kopfschmerzen bereiten.
Helfen können sogenannte Passwortmanager: Sie stehen als freie sowie als kommerzielle Lösungen in reichlicher Auswahl zur Verfügung. Ebenso bieten viele größerer Sicherheits- und Identity-Produkte solche Features als Teil des Pakets an. Lokale Passwortmanager sind im Umfeld größerer Unternehmen aber weder praktisch noch sinnvoll – von einer zentralen Verwaltung kann dabei kaum die Rede sein. Aus Sicht der IT-Abteilung sollte ein solches Werkzeug für alle Mitarbeiter über das ganze Unternehmen hinweg funktionieren und dabei zentral auszurollen und zu verwalten sein.
Das amerikanische Unternehmen LogMeIn aus Boston ist mit seinen Erzeugnissen sowohl auf dem Gebiet der Fernwartung als auch in den Bereichen Kommunikation und Kooperation und mit LastPass im Sicherheitsbereich tätig. Neben der freien und weitverbreiteten Variante steht dabei unter dem Namen "LastPass Business" eine Version für den Unternehmenseinsatz bereit.
Wenn sie ganz ehrlich sind, werden selbst gestandene IT-Profis zugeben müssen, dass sie immer wieder einmal Passwörter recyceln oder gar auf dem berühmten Schmierzettel notieren. Gerade mit der steigenden Anzahl von SaaS- und Cloudwerkzeugen in allen Bereichen taucht die stets lästige Frage nach den Anmeldedaten immer häufiger auf. Die Sicherheit bei der Nutzung der Passwörter sowie die Anzahl der verwendeten Kennwörter sind dabei nur zwei, wenn auch wichtige, Faktoren, die den Administratoren und Sicherheitsfachleuten Kopfschmerzen bereiten.
Helfen können sogenannte Passwortmanager: Sie stehen als freie sowie als kommerzielle Lösungen in reichlicher Auswahl zur Verfügung. Ebenso bieten viele größerer Sicherheits- und Identity-Produkte solche Features als Teil des Pakets an. Lokale Passwortmanager sind im Umfeld größerer Unternehmen aber weder praktisch noch sinnvoll – von einer zentralen Verwaltung kann dabei kaum die Rede sein. Aus Sicht der IT-Abteilung sollte ein solches Werkzeug für alle Mitarbeiter über das ganze Unternehmen hinweg funktionieren und dabei zentral auszurollen und zu verwalten sein.
Das amerikanische Unternehmen LogMeIn aus Boston ist mit seinen Erzeugnissen sowohl auf dem Gebiet der Fernwartung als auch in den Bereichen Kommunikation und Kooperation und mit LastPass im Sicherheitsbereich tätig. Neben der freien und weitverbreiteten Variante steht dabei unter dem Namen "LastPass Business" eine Version für den Unternehmenseinsatz bereit.
Datenhaltung teils in Übersee
LastPass gehört zu den populäreren Passwortmanagern auf dem Markt und dürfte deshalb vielen Anwendern, die diese Software in der freien Version einsetzen, bekannt sein. Für den Business-Anwender stehen die beiden Versionen "Teams" für bis zu 50 Nutzer und "LastPass Business" für beliebig viele Nutzer bereit. Die Business-Version lässt sich zudem um SSO- (Single Sign-on) und MFA-Add-ons (Multifaktor-Authentifizierung) ergänzen. Die Profi-Versionen stehen für 14 Tage zum kostenlosen Ausprobieren bereit. Wir bekamen für diesen Test von LogMeIn die Business-Version für einen längeren Zeitraum gestellt.
Ein wichtiger Punkt beim Einsatz von LastPass Business: Genau wie bei der freien Variante funktionieren Einsatz und Verwaltung von LastPass grundsätzlich über den Browser und entsprechende Plug-ins/Add-ons. Aktuell gibt es zwar auch eine "Desktop Application", bei der es sich im Prinzip aber ebenfalls um ein Browser-Interface handelt. Damit muss den Anwendern immer klar sein, dass ihre Daten – auch wenn sie verschlüsselt sind – auf einem Server des Anbieters liegen. Laut Angaben des Unternehmens verfügt LastPass über Rechenzentren in den USA, Europa, Australien und Singapur. Beim Erzeugen eines neuen LastPass-Kontos werden die sogenannten "Vault-Daten" standardmäßig auf einem Server in den Vereinigten Staaten gespeichert. Als Vault-Daten bezeichnet das Unternehmen dabei die eigentlichen Credentials, die die Anwender erstellen und in den Passwort-Safes abspeichern.
Als einen weiteren Datentyp, mit denen LastPass umgeht, nennt der Anbieter die sogenannten Kontodaten. Bei ihnen handelt es sich um Daten zur Authentifizierung von LastPass-Konten sowie zur Verwaltung von Konto-, Funktions-, Konfigurations-, Sprach-, Profil-, Richtlinien- und Gruppeneinstellungen. Hier gibt LogMeIn an, dass Kontodaten in den eigenen Rechenzentren in den USA und in Europa repliziert werden "sollten". Dadurch soll dann sichergestellt sein, dass die Nutzer online von überall auf die LastPass-Dienste zugreifen können.
Weiterhin können Inhaber von Business-Konten fordern, dass ihre Vault-Daten statt in den USA in einem Rechenzentrum in Europa, Australien oder Singapur aufbewahrt werden. Wichtig für die Nutzer, die zudem ein privates LastPass-Konto verknüpft haben: Diese Vault-Daten bleiben auch weiterhin in den USA gespeichert und lassen sich nicht verschieben, wenn die Vault-Daten des Business-Kontos umziehen und dann in Europa, Australien oder Singapur liegen.
LogMeIn LastPass Business
Produkt
Browser-gestützter Passwortmanager für Unternehmen mit SSO- und MFA-Option.
Für den professionellen Einsatz stehen die Versionen "Teams" und "LastPass Business" bereit. Die Version Teams ist laut LogMeIn gedacht für bis zu 50 Mitarbeiter. Sie kostet 3,90 Euro pro Benutzer und Monat. LastPass Business ist für eine beliebige Anzahl von Mitarbeitern konzipiert und schlägt mit 5,90 Euro pro Benutzer und Monat zu Buche.
Systemanforderungen
LastPass lässt sich auf Windows-, macOS-, Linux- und mobilen Plattformen wie Android und iOS einsetzen. Um die LastPass-Browsererweiterungen zu verwenden, muss mindestens Windows 8.1 oder höher beziehungsweise eine der zwei Hauptversionen von macOS für 64-Bit-Prozessoren zum Einsatz kommen. Auch auf Linux und Chrome OS ist der Browsereinsatz möglich, für diese Systeme macht das Unternehmen keine weiteren Angaben. LastPass arbeitet mit den beiden jüngsten Versionen der gängigen Browser Chrome, Firefox und Edge zusammen.
Wenn sich ein Administrator mit seinem LastPass-Konto auf der Webseite anmeldet, bekommt er nicht nur die übliche Oberfläche der Software präsentiert, auf die die Nutzer zugreifen, sondern kann direkt auf die neue Administrationskonsole von LastPass wechseln, die seit dem letzten Jahr existiert. Allerdings gibt es immer noch die alte Version und in einigen Teilen der neuen Konsole bekommt der Administrator die Nachricht präsentiert, dass ein Element erst noch in die neue Oberfläche überführt wird.
Während die alte Oberfläche dem traditionellen Schema folgt, in einer Leiste links im Browser-Fenster das Menü zu zeigen, bietet das neue Dashboard einen etwas besseren Überblick und eine aufgeräumte Oberfläche. Ein zentraler Punkt ist hier dann das Onboarding, oder wie es auf der Seite heißt: "Mitarbeiter ins Boot holen". Wir fanden allerdings während der Testphase, dass die traditionelle Oberfläche intuitiver zu bedienen war, was aber sicher auch in unseren individuellen Vorlieben und Erfahrungen begründet liegt.
Was uns allerdings an der neuen Oberfläche gefallen hat, ist die sehr gute Unterstützung für neue Administratoren und Systembetreuer in LastPass Business mittels einer Liste "Erste Schritte als LastPass-Administrator". Der erste Schritt, der direkt im Dashboard auftaucht, betrifft dann das Hinzufügen der Benutzer. Hier kann der Administrator gleich eine Aktivierungs-E-Mail mitversenden oder dem Nutzer eine Einladung zur passwortlosen Authentifizierung zuschicken. Das funktioniert allerdings nur, wenn das Advanced-MFA-Add-on zum Paket gehört. Nutzer lassen sich selbstverständlich in Gruppen organisieren, die beim Anlegen bereits automatisch mit Standardrichtlinien versorgt werden.
Weiterhin stehen zusätzliche Administratorebenen neben dem normalen Administrator bereit. Wer dort dann allerdings beim Hinzufügen von Apps den Eintrag "Passwortgeschützte Apps hinzufügen" auswählt, landet im Menüpunkt "Freigegebene Ordner". Ein Klick auf den dort vorhandenen Eintrag für passwortgeschützte Anwendungen fördert dann den Grund dafür zutage: Dieser Teil wurde noch nicht in die neue Administrationsoberfläche integriert und verlangt den Wechsel in die vorherige Oberfläche. Dort kann der Systemverwalter Webseiten eintragen, die dann zu den Benutzern gepusht werden.
Kostenpflichtige Add-ons für SSO und MFA
LastPass Business arbeitet standardmäßig bereits mit bis zu drei Single-Sign-on-Anwendungen zusammen, die der Administrator den LastPass-Nutzern zur Verfügung stellen kann. Dadurch können die Anwender sich dann beispielsweise bei einer SaaS-Lösung, die in der Firma im Einsatz ist, mit der entsprechenden SSO-App anmelden und die Webanwendung starten, ohne dass sie nochmals ihre Zugangsdaten eingeben müssen. Administratoren, die ihren Nutzern entsprechende SSO-Zugänge bieten wollen, finden in der Administratorkonsole unter "Apps / SSO Apps" eine umfangreiche Liste mit entsprechenden Apps. Es handelt sich dabei laut Anbieter um einen Katalog von mehr als 1200 vorintegrierten SSO-Anwendungen.
Zudem bietet LogMeIn an dieser Stelle gute Erläuterungen direkt in der Weboberfläche an, die beschreiben, wie Administratoren die entsprechende App einrichten müssen. Durch einen Link gelangen sie zu den Hilfeseiten des Anbieters, die zumeist ebenfalls in deutscher Sprache bereitstehen. Da Konfiguration und Bereitstellung, die mithilfe des XML-Frameworks SAML (Security Assertion Markup Language) geschehen, doch ein gewisses Maß an Hintergrundwissen erfordern, ist diese Unterstützung sehr sinnvoll. Wer mehr als drei SSO-Apps in seinem Unternehmen braucht, muss LastPass Business um das "Advanced SSO Add-on" ergänzen, mit dem er seinen Nutzern eine unbegrenzte Zahl solcher Apps bereitstellen kann. Zudem bietet dieses Add-on grundlegende Möglichkeiten zur Multifaktor-Authentifizierung, die eine Anmeldung am Passwort-Vault und an den SSO-Apps schützen.
Wer mehr MFA-Unterstützung benötigt, sollte seine LastPass-Business-Installation mit einer speziellen Erweiterung mit der Bezeichnung "Advanced MFA Add-on" aufbohren. Dann stehen den Nutzern entsprechend geschützte Logins für die Passwortverwaltung, SSO-Apps, VPNs und die Integration von anderen Identity-Providern zur Nutzung bereit. Besonders interessant ist dabei auch die Möglichkeit eines durch Multifaktor-Authentifizierung geschützten Anmeldens an Windows- und macOS-Workstations.
Ist dieses Add-on Teil von LastPass Business, können Administratoren damit ihren Workstation-Nutzern eine Multifaktor-Authentifizierung anbieten. Die Nutzer bekommen dann durch LastPass einen zweite Authentifizierungsaufforderung auf ihr mobiles Gerät gesendet. Anwender, für deren Workstation das funktionieren soll, müssen dazu allerdings mithilfe des Active-Directory-Connectors angemeldet sein. Weiterhin muss der Administrator ein MSI-Paket für die Workstation mit einem Integrations- und einem geheimen Schlüssel konfigurieren und auf den entsprechenden Workstations bereitstellen, was über die im eigenen Unternehmen üblichen Verteilungsmechanismen wie beispielsweise SCCM oder InTune erfolgen kann.
Fazit
LastPass ist nicht umsonst so erfolgreich: Auch wir mussten während der mehrwöchigen Testphase feststellen, wie einfach sich das Leben gerade aus Nutzersicht gestaltet, wenn die Passwörter immer automatisch im Browser bereitstehen. Gerade wer mit mehreren unterschiedlichen SaaS-Anwendungen arbeitet, dürfte diesen Komfort zu schätzen wissen. Aus Sicht der Anwender wird die Software dem Anspruch gerecht, den Umgang mit Passwörtern bis hin zum SSO-Einsatz deutlich zu erleichtern. Aus dem Blickwinkel der IT können Administratoren durch die umfangreichen Kontroll- und Verwaltungsmöglichkeiten sehr gut sicherstellen, dass ihre Nutzer richtig und gemäß der Unternehmensrichtlinien mit den Zugangsberechtigungen umgehen.
Die Erweiterungen für MFA und SSO bieten sehr gute Möglichkeiten, eine umfassende Struktur zur Absicherung der Endpunkte aufzubauen. Da gerade die Konfiguration als Identitätsanbieter doch etwas komplizierter sein kann, ist es ein großer Vorteil, dass LastPass Business hier umfangreiche Hilfen und Anleitungen zur Verfügung stellt. Die neue Administratorkonsole wirkt auf jeden Fall sehr übersichtlich. Uns hat es allerdings ein wenig gestört, dass es nicht möglich ist, die Größe der Spalten in der Oberfläche zu verändern. So verschwinden dann einfach manche Elemente. Das ist nicht gravierend, sollte aber bei modernen Weboberflächen eigentlich kein Thema mehr sein.
Für Unternehmen mit hohen Sicherheitsanforderungen wäre es aber auf jeden Fall wünschenswert, wenn es eine Version von LastPass Business gäbe, die sich im eigenen Rechenzentrum on-premises betreiben lässt– denn so könnten auch diejenigen Firmen die Software nutzen, die nicht wollen, dass ihre (verschlüsselten) Daten auf externe Systeme eines US-amerikanischen Anbieters gelangen.
(ln)
So urteilt IT-Administrator
Bewertung
Oberfläche und Dashboard
8
Dokumentation und Hilfe
8
Einsatz von Richtlinien
7
SSO- und Multifaktor-Unterstützung
6
Plattform-/Browserunterstützung
7
Dieses Produkt eignet sich
optimal
für Organisationen aus dem Enterprise-Umfeld, die ihre Passwort- und Identity-Verwaltung vereinheitlichen wollen. Solche Unternehmen profitieren insbesondere vom Einsatz der Add-ons für SSO und MFA.
bedingt
für Firmen aus dem Mittelstand, die ihre Passwortverwaltung vereinheitlichen wollen. Für sie kann je nach Unternehmensgröße die Team-Variante der Software sinnvoller sein, wenn sie auf SSO und MFA sowie detaillierte Berichte verzichten können.
nicht
für kleine Unternehmen und Selbständige, die einfach nur einen Passwortspeicher benötigen. Sie dürften einen Großteil der Business-Features nicht brauchen.