Warum die Pandemie den Verzicht auf Passwörter vorantreibt

bei

 / 24. February. 2021

Remote-Arbeit und Vermeidung von Infektionsrisiken fördern hochsichere, berührungslose Authentifizierungsmethoden

IT-Sicherheitsexperten beschäftigt der Verzicht auf Passwörter schon seit vielen Jahren. Bereits 2004 prophezeite Bill Gates, damals noch CEO von Microsoft, während der damaligen RSA-Security-Konferenz den Untergang der Passwörter [1] – diese seien der Herausforderung kritische Informationen wirksam zu sichern nicht gewachsen. Es bestünde daher „kein Zweifel, dass sich Menschen im Laufe der Zeit immer weniger auf Passwörter verlassen werden.“

Der Wandel hin zur passwortlosen IT-Sicherheit vollzog sich bisher nur langsam – gewinnt aber seit einiger Zeit an Zugkraft, nicht zuletzt aufgrund der Corona-Pandemie. Die starke Zunahme an Remote-Arbeit macht neue, umfassende IT-Sicherheitskonzepte zwingend notwendig, gleichzeitig fordert ein neues Hygienebewusstsein die Ermöglichung kontaktloser geschäftlicher Transaktionen. Im Fokus beider Bereiche stehen vertrauenswürdige digitale Identitäten. Die Zukunft der Authentifizierung ist daher vermutlich nicht nur passwortlos, sondern auch berührungslos. Eine kurze Analyse:

Bereits vor der Pandemie begann die Abkehr von Passwörtern an Dynamik zu gewinnen. So berichtete Gartner im März 2019 [2] über eine Zunahme an Anfragen nach „passwortlosen“ Security-Lösungen. Dieselbe Studie sagte voraus, dass bis 2022 60% der großen und globalen Konzerne sowie 90% der mittelständischen Unternehmen für über die Hälfte ihrer IT-Sicherheitsanwendungen kennwortlose Methoden einführen werden. Gegenüber 2018 bedeutet dies einen Anstieg von 5 Prozent.

Kostenvermeidung als Treiber

Warum erst jetzt zunehmend nach Lösungen für die bereits langjährig bekannten Sicherheitsrisiken von Passwörtern gesucht wird, liegt vermutlich an den im Zusammenhang mit der Einführung der DSGVO im Jahr 2018 verhängten Sanktionen und den mittlerweile hinreichend dokumentierten Kosten von Datenschutzverstößen und Sicherheitslücken. So kosteten Datenschutzverletzungen im laufenden Jahr 2020 Unternehmen laut einer Studie des Ponemon Instituts im Durchschnitt 3,3 Millionen Euro [3]. Nachdem gestohlene Anmeldedaten – in der Regel Passwörter – nach einer Verizon-Studie die Ursache für 80% aller Datenverstöße sind [4], ist es also kein Wunder, dass nun zunehmend dringlicher nach alternativen Authentifizierungsmethoden gesucht wird.

Erhöhte Risiken infolge der Pandemie

Wie in vielen anderen Bereichen, ist auch die Corona-Pandemie beim Thema IT-Sicherheit ein Katalysator für Veränderungen. Die Wahrscheinlichkeit von Sicherheitsverletzungen erhöht sich dramatisch, wenn Mitarbeiter an entfernten Standorten mit BYOD-Geräten in Heimnetzwerken arbeiten, diese Geräte mit anderen Familienmitgliedern teilen und Passwörter zuhause aufschreiben oder sogar teilen. Und selbstverständlich haben auch Cyber-Kriminelle das Thema Covid-19 für sich entdeckt – für auf sich gestellte Mitarbeiter im Homeoffice ist es zum Beispiel erheblich schwieriger, Phishing-Attacken als solche zu erkennen.

Mit der Pandemie gehen zudem neue Hygienekonzepte einher. Unternehmen denken über Wege nach, um Infektionsrisiken einzudämmen. Dazu gehört die mögliche Weitergabe von Krankheitserregern über berührte Oberflächen. Die Eingabe von Passwörtern auf gemeinsam genutzten Tastaturen oder Touchscreens fällt genau in diesen Risikobereich. Dies gilt auch für den Umgang mit ID-Karten oder Tokens. Unternehmen suchen daher zunehmend nicht nur „kennwortlose“ sondern auch „kennwort- und berührungslose“ Alternativen für physische Authentifikatoren.

Die Zukunft der passwortlosen Authentifizierung

Die etablierte Produktterminologie macht die Suche nach einer passenden Lösung jedoch häufig nicht ganz einfach. Viele moderne biometrische Lösungen nehmen für sich in Anspruch, Benutzern eine „passwortlose Erfahrung“ zu ermöglichen. Was in dem Sinne zutrifft, dass Endanwender biometrische Verfahren nutzen können, anstatt ihr Passwort physisch einzugeben. Dies bedeutet jedoch zumeist nur einen neuen Weg am Front-End zur Aktivierung von Passwörtern, die sich weiterhin in einem zentralen Speicher befinden. Und natürlich sind diese zentralen Aufbewahrungsorte für Berechtigungsnachweise ein beliebtes Ziel für Hacker. Mit einem erfolgreichen Hack des zentralen Speichers können Cyberkriminelle dann Tausende von Details auslesen. Biometrische Verfahren allein stellen deshalb nicht per se eine Verbesserung der Sicherheit dar, sondern ermöglichen oft nur eine bequemere Benutzererfahrung. Sie müssen mit einem anderen Ansatz kombiniert werden, der eine weitere Sicherheitsebene hinzufügt.

Eine sicherere Option ist die Abkehr von einem zentralisierten Credential-Repository hin zu dezentralisierten Modellen. Zum Beispiel einem, das auf vertrauenswürdigen digitalen Identitäten basiert. Bei diesem Ansatz werden digitale Zertifikate auf den Smartphones der Benutzer gespeichert. Verschlüsselte digitale Zertifikate auf dem Gerät eines Mitarbeiters dienen als virtuelle Ausweise oder ID-Karten für die Authentifizierung im Unternehmensnetzwerk. Da die Berechtigungsnachweise auf vielen unterschiedlichen Endgeräten gespeichert sind, lässt sich so eine hochsichere dezentralisierte Infrastruktur aufbauen.

Wie funktionieren dezentrale digitale Identitäten?

Eine auf individuellen Smartphones basierende Lösung ist auch mit berührungslosen Authentifizierungsmethoden kompatibel. Für Unternehmen bedeutet der berührungslose Arbeitsplatz eine Verringerung der Abhängigkeit von gemeinsam genutzten, zugunsten persönlicher Geräte. Auf diese Weise lassen sich zusätzliche Smartcards und Tokens ersetzen und die Anzahl gemeinsam berührter Oberflächen reduzieren. So ermöglicht Entrust zum Beispiel durch den Einsatz mobiler, auf Smart Credentials basierender Single-Sign-On-Authentifizierungstechnologie eine hochsichere, passwort- und berührungslose Erfahrung. Bei diesem Ansatz wird ein verschlüsseltes digitales Zertifikat auf dem Smartphone des Mitarbeiters gespeichert – das Mobiltelefon wird buchstäblich in eine virtuelle Smartcard verwandelt, die einen biometrisch geschützten, auf körperlicher Nähe basierenden Zugriff auf Desktops und Anwendungen ermöglicht. Die Authentisierung gelingt so vollkommen nahtlos und eliminiert nicht nur lästige Passwörter, sondern auch das Risiko gestohlener Anmeldeinformationen und die Gefahr für sensible Unternehmensdaten.

Sobald Mitarbeiter auf ihrem Smartphone (zum Beispiel durch Fingerscan oder Gesichtserkennung) authentifiziert sind, ermöglicht dessen Bluetooth-Konnektivität zu ihrem Mac oder PC eine passwortlose Anmeldung für die Workstation und Single Sign-On für alle Anwendungen – egal, ob diese sich auf dem Firmenserver, dem Desktop oder in der Cloud befinden. Das mühsame Login an einzelnen Geräten und Applikationen wird damit überflüssig. Mitarbeiter werden in die Lage versetzt, Geschäftsaktivitäten (wie zum Beispiel das Signieren von E-Mails und Dokumenten, die Verschlüsselung von Dateien, etc.) von überall aus 100%ig sicher durchzuführen. Der Zugriff bleibt solange bestehen, solange sich ihr Mobiltelefon in der von der jeweiligen IT-Abteilung festgelegten Bluetooth-Reichweite ihres Arbeitsplatzes befindet. Verlassen Mitarbeiter ihren Schreibtisch mit ihrem Smartphone, entfernen sie sich aus dem Arbeitsumfeld und werden automatisch von allen Anwendungen abgemeldet.

Besonders vorteilhaft sind solche Lösungen in Arbeitsumgebungen, bei denen häufig verschiedene Standorte aufgesucht werden müssen – wie zum Beispiel im Gesundheitswesen. Das Ersetzen von Smartcards durch das eigene Mobiltelefon in der Hosentasche verringert die Anzahl an Geräten, die das Klinikpersonal an verschiedenen Einsatzorten bedienen muss.

Fünf Tipps beim Umstieg auf eine passwortlose Lösung

  1. Mehr Automatisierung bedeutet weniger Störfaktoren

Überlegen Sie, wie Sie unnötige Unterbrechungen während einer Prozessumstellung vorhersehen und beseitigen können. Das Onboarding großer oder weit verstreuter Mitarbeiterpopulationen kann für viele Unternehmen ein ernsthaftes Hindernis darstellen. Suchen Sie nach einer Lösung, die diesen Prozess so weit wie möglich automatisiert.

  1. Skalierbarkeit und digitaler Fahrplan

Gehen Sie zukünftig von einem Wachstum Ihres Unternehmens aus oder von der Ergänzung neuer Cloud-Anwendungen und einer breiteren Konnektivität mit externen Ökosystemen? Wenn ja, sollten sie die einfache Skalierbarkeit einer Authentifizierungslösung im Auge behalten.

  1. Verschlüsselungsbedarf und rechtliche Anforderungen

Wenn Ihre Mitarbeiter auf hochsensible Informationen zugreifen, diese weitergeben oder Transaktionen von hohem Wert durchführen, sollten Sie prüfen, ob eine Lösung alle erforderlichen gesetzlichen Anforderungen erfüllt. Die sichersten passwortlosen Plattformen stammen von Anbietern, deren Lösungen für die Verwendung durch Regierungsbehörden zugelassen und FIDO2-konform sind.

  1. Dezentralisierung priorisieren

Gängige Hacker-Strategien beruhen auf dem Diebstahl zentralisierter Speicher für Passwörter und Anmeldedaten. Wenn Sie Ihre Berechtigungsnachweise dezentralisieren, werden diese Strategien nicht mehr funktionieren. Stellen Sie daher sicher, dass die Lösung Ihrer Wahl über das Front-End oder die initiale Benutzeranmeldung hinausgeht und vollständig auf ein zentrales Repository verzichtet.

  1. Produktivität im Blick

Suchen Sie nach einer Lösung, die Single Sign-On ermöglicht, um Login-Prozesse zu rationalisieren und Omnichannel-Workflows zu vereinfachen. Für die Mitarbeiter bedeutet dies weniger Zeitaufwand, für Ihr Unternehmen optimale Produktivität.

Fazit:

Die Herausforderungen im Zuge der Corona-Pandemie bringen die Schwächen von Passwort-basierten Sicherheitstechnologien verstärkt ans Licht. Für ein wirklich zukunftsorientiertes und hochsicheres Identitäts- und Zugriffsmanagement wird es jedoch nicht ausreichen, Passwörter nur durch andere Authentifikatoren zu ersetzen. Im Idealfall sollten Unternehmen passwort- und berührungslose Authentifizierungsmethoden anstreben, die nicht nur das Sicherheitslevel erhöhen, sondern auch die Produktivität steigern und die Benutzererfahrung verbessern.

 

Quellen und Referenzen:

[1] https://www.cnet.com/news/gates-predicts-death-of-the-password/

[2] https://www.gartner.com/smarterwithgartner/embrace-a-passwordless-approach-to-improve-security

[3] https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/de

[4] https://enterprise.verizon.com/resources/reports/dbir/

 

 

Über den Autor / die Autorin:


Xavier Coemelck leitet seit 2015 als Regional Vice President Sales & Services bei Entrust sowohl den direkten und indirekten Vertrieb als auch den Servicebereich für das gesamte Portfolio des Unternehmens in der Region EMEA. Entrust ist ein weltweit führender Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz.