Wie wir praktisch alle riskanten Anmeldedaten bei Dashlane eliminiert haben

Bei Dashlane sind wir unsere eigenen ersten Benutzer. Jede von uns entwickelte Funktion durchläuft strenge interne Testphasen, einschließlich umfassender Mitarbeitertests (bekannt als „Dogfooding“). Dieser Ansatz stellt nicht nur die Qualität sicher, sondern bietet uns auch einen realen Einblick in die Funktionsweise unseres Produkts.

Im vergangenen Jahr haben wir die neuen Funktionen zum Schutz von Zugangsdaten der Plattform Dashlane Omnix™ aktiv an uns selbst getestet, bevor wir sie für Kunden freigegeben haben.

Sie gehen vielleicht davon aus, dass ein Sicherheitsunternehmen, das einen Passwort-Manager entwickelt, bereits über eine perfekte Einrichtung verfügt – 100 %ige Passwortsicherheit auf der gesamten Seite. Die Realität ist jedoch differenzierter.

Während unsere durchschnittliche Passwortintegritätsbewertung, die schwache, wiederverwendete und gefährdete Anmeldedaten in Tresoren von Mitarbeitenden berücksichtigt, ständig über 95 % liegt, gibt es immer Raum für Verbesserungen.

Letztes Jahr haben wir die Risikoerkennung für Zugangsdaten eingeführt, die gefährdete Aktivitäten mit Zugangsdaten in der gesamten Belegschaft kontinuierlich überwacht und in Echtzeit erkennt. Als wir im Sommer 2024 die ersten Versionen der Lösung intern einführten, entdeckte unser Sicherheitsteam ein überraschendes Verhalten.

Obwohl alle Mitarbeitenden Dashlane intern aktiv nutzen (wir stellen es am Tag 1 während des Onboardings der Mitarbeitenden bereit), fanden wir eine erhebliche Anzahl von gefährdeten „Schatten-Anmeldedaten“ – Anmeldedaten, die von Mitarbeitenden für den Zugriff auf verschiedene Apps verwendet wurden, einige Unternehmens- und andere privat.

Diese wurden nicht in Tresoren von Dashlane gespeichert, was bedeutet, dass sie nicht ordnungsgemäß überwacht oder geschützt wurden. Hier versagen die traditionellen Ansätze zur Passwortverwaltung: Sie können nicht im Tresor gespeicherte Anmeldedaten nicht berücksichtigen, sodass Unternehmen in der Umgebung blind für Schatten-IT sind.

Gleichzeitig haben wir Nudges eingeführt: Kontextbezogene Erinnerungen in Echtzeit, die über Plattformen wie Slack bereitgestellt werden, um Mitarbeitende vor schwachen, wiederverwendeten oder gefährdeten Passwörtern zu warnen. Wenn ein Mitarbeitender beispielsweise versucht, sich mit gefährdeten Zugangsdaten bei einem Dienst anzumelden, wird er sofort gewarnt, sodass er eher Maßnahmen ergreift.

Wir haben uns auch manuell mit den einzelnen Personen in Verbindung gesetzt und sie nicht nur zur Aktualisierung ihrer Anmeldedaten aufgefordert, sondern auch insgesamt zu besseren Sicherheitsgewohnheiten ermutigt.

Die Ergebnisse waren beeindruckend. Wie im redigierten Screenshot unten gezeigt, führte unsere interne Nutzung von Dashlane Omnix im ersten Monat nach der Bereitstellung zu einer Reduzierung der gefährdeten Anmeldedaten im gesamten Unternehmen um 75 %.

Innerhalb von sieben Monaten hatten wir praktisch alle gefährdeten, schwachen und wiederverwendeten Anmeldedaten aus unserer Unternehmensumgebung eliminiert.

Diese Initiative hat nicht nur die eigene Sicherheitslage von Dashlane verbessert, sondern uns auch geholfen zu verstehen, wie wir Omnix für IT- und Sicherheitsteams noch wertvoller machen können. 

Da Dashlane Zero Knowledge ist, haben wir keinen Zugriff auf Kunden-Dashboards wie das oben genannte, was unsere interne Nutzung zu einem wertvollen Testfeld zur Gestaltung des Produkts macht.

Wir haben auch ähnliche Geschichten von Kunden gehört. Ein Unternehmenskunde entdeckte, dass sein CEO unwissentlich gefährdete Anmeldedaten auf privaten Websites verwendete – ein aufschlussreicher Moment, der die Führungskräfte veranlasste, schnell zu handeln. Ein großes Gesundheitsunternehmen entdeckte, dass ein Viertel seiner Benutzer gefährdete und schwache Passwörter für den Zugriff auf Unternehmensapps verwendete, nachdem es Dashlane für Tausende von Mitarbeitenden bereitgestellt hatte.

Dies sind nur einige Beispiele dafür, wie Unternehmen das Risiko von Zugangsdaten mit Dashlane reduziert haben, aber es gibt viele mehr. Und wir stehen gerade am Anfang.

Wir erweitern aktiv den Umfang von Omnix: Wir erhöhen die Arten von erkannten Risiken, verbessern die Optionen zur Selbstbehebung für Mitarbeitende und ermöglichen es IT- und Sicherheitsteams, automatisierte Reaktionen zu orchestrieren. Wir investieren auch stark in KI, um diese Funktionen zu beschleunigen und zu skalieren.

Wenn Sie Dashlane Omnix noch nicht erkundet haben, ist es jetzt Zeit. Probieren Sie es selbst aus und bleiben Sie dran. Wir haben eine spannende Roadmap vor uns.