Passwort Adé

Dirk Wahlefeld - Imprivata,
Linkedin
Log-in Nutzername Passwort (Bild: Shutterstock)

„123456“ – Das war’s? Nicht so ganz, sagt Dirk Wahlefeld von Imprivata.

Denn das weltweit führende Passwort wird in der privaten Onlinewelt mit Sicherheit seinen ersten Platz verteidigen, gefolgt von „passwort“ und „qwertz123“. Bis in alle Ewigkeit. Aber in der Arbeitswelt ist deutlich mehr Kreativität gefordert. Die IT-Abteilung hat gute Gründe für die leidlichen Komplexitätsregeln, beispielsweise mit mindestens zehn Stellen, Groß- und Kleinschreibung sowie Sonderzeichen; Wechsel alle acht Wochen. Aber das ist kein Problem für die Anwender: Wofür gibt es die kleinen gelben Haftzettel? Genau dafür. Zu finden unter Tastaturen oder, bei den ganz Unbedarften, auch direkt am Bildschirmrand angepappt. Und geht der Zettel mal verloren, ruft man beim Helpdesk an und lässt sich ein neues Passwort geben. Auch gerne genutzt: Das Kennwort wird per Mail an den privaten Mail-Account geschickt. Passwörter sind für alle Beteiligten ein Graus – außer für Cyberkriminelle.

Passwortlose Authentisierung und Authentifizierung

Wer mit seinen Passwörtern einen so laxen Umgang pflegt, ist gutgläubig genug, seinen Zugangscode auch bei Phishing-Versuchen zum Beispiel vom vermeintlichen IT-Kollegen oder auf einer sehr gut nachgebauten Unternehmenswebseite einzutippen. Genau betrachtet, kann man das Verhalten den Mitarbeitenden aber nicht zum Vorwurf zu machen. Der Mensch handelt im Rahmen seiner Möglichkeiten und findet immer einen Weg, sich das Leben leichter zu machen. Deshalb muss es die Technik richten. Die Technologien sind vorhanden. Es ist Zeit für ein Upgrade. Authentisierung und Authentifizierung müssen und können passwortlos auskommen.

Auch der IT ist kaum ein Vorwurf zu machen. Die Unternehmensleitung muss schon ihre IT-Verantwortlichen aktiv durch Personal, Zeit und Geld in die Lage versetzen, ein möglichst sicheres Access-Management im Rahmen einer strategischen Sicherheits-Architektur aufzubauen. Diese basiert auf der ausgeklügelten Strategie, verschiedene IT-Sicherheitsthemen miteinander zu kombinieren. Im Fall der Ablösung der kennwortbasierten Authentisierung wird die Netzwerk- und Datensicherheit ins Backend verlagert, weg vom User. Dadurch können ausgeklügelte Verfahren zur Identitätsprüfung bei Authentisierung und Authentifizierung eingesetzt werden, welche nicht die Anwender belasten oder sogar verwirren.

Biometrische Methoden oder hardwarebasierte Techniken

Dafür stehen zwei Varianten zur Verfügung: biometrische Methoden oder hardwarebasierte Techniken. Bei der unternehmensweiten Einführung einer passwortfreien Authentisierung und Authentifizierung werden verschiedene Technologien kombiniert:

Biometrische Verfahren zur Authentifizierung wie Fingerabdruck- oder Gesichtserkennung
Das bietet zum Beispiel „Windows Hello for Business“. Anwender können sich biometrisch, optional zusätzlich mit PIN oder Passkey in Windows und damit im Netzwerk anmelden.

Besitzfaktoren wie Software-Token als einfache aber sichere App auf dem Smartphone oder Hardware-Token, etwa mit FIDO2-konformen kryptografischen Schlüsseln für die Zwei-Faktor-Authentifizierung können Passwörter vollständig ersetzen. Sie sind einfach zu bedienen und reduzieren das Risiko vor Cyberattacken, die es auf Passwort-Diebstahl abgesehen haben, signifikant.

Bluetooth Low Energy (BLE) oder Nearfild Communication (NFC) dient der berührungslosen Authentifizierung. Die meisten Smartphones unterstützen BLE/NFC, weil es in vielen IoT-Anwendungen eingesetzt wird. Es bietet eine Reihe von Sicherheitsmechanismen wie Verschlüsselung und Authentifizierung bei der Datenübertragung über kurze Distanzen. Das Smartphone fungiert als Token, ebenso kann auch der vielleicht schon im Einsatz befindliche Firmenausweis genutzt werden.

Die vierte Technologie, die als sinnvolle Ergänzung für den passwortlosen Zugang relevant ist, ist Single Sign-On (SSO) in Kombination mit initialer passwortloser Authentifizierung, etwa im 2FA-Verfahren. Bei SSO reicht die einmalige Anmeldung über das Endgerät im Netzwerk aus. Passwörter der einzelnen Anwendungen werden entweder zentral vom SSO-System verwaltet und gemäß der Vorgabe der Anwendung erstellt und aktualisiert, ohne Zutun der Enduser, oder direkt vermieden, weil die Applikationen entweder mit dem Active Directory oder über Authentisierungsprotokolle wie OAuth oder OpenIDConnect integriert werden.

Im Einklang mit der DSGVO

Die Implementierung der passwortfreien Authentifizierung muss im Einklang mit bestehenden gesetzlichen Anforderungen wie der Datenschutz-Grundverordnung (DSGVO) oder anderen branchenspezifischen Regelungen sein. Das gilt besonders für die Speicherung und Verarbeitung von biometrischen Daten und Identitätsnachweisen. Deshalb ist die Auswahl von Sicherheitsverfahren von entscheidender Bedeutung. Sie sollten auf anerkannten Standards und starker Verschlüsselung beruhen.

Die passwortlose Authentifizierung wird in der Regel in mehreren Phasen eingeführt.

Im ersten Schritt
wird Multifaktor-Authentisierung in Ergänzung zum Passwort eingeführt. Der Anwender kommt mit der neuen Technologie in Berührung, das Sicherheitsniveau wird erhöht und es wird die Grundlage für die nächsten Schritte gelegt.

Im zweiten Schritt
folgt die passwortlose Anmeldung. Dafür wird die berührungslose Authentifizierung mit der Multi-Faktor-Authentifizierung (MFA) kombiniert wie zum Beispiel Gesichtserkennung oder Fingerabdruck. Diese Methoden sind gegen Phishing resistent und erhöhen das Sicherheitsniveau deutlich. Ebenso wird SSO für die wichtigsten Applikationen und Anwendungen eingerichtet, um auch diese Angriffspunkte zu eliminieren.

Im dritten Schritt
dieses IT-Sicherheitskonzepts wird Privileged Access Management (PAM) eingeführt, das heißt es werden feingranulierte Berechtigungen nur auf die Funktionen in den notwendigen Applikationen nach Genehmigung eingerichtet, die für die Arbeit zum gewünschten Zeitpunkt wirklich nötig sind. Die Implementierung von PAM beginnt in der Praxis bei den unternehmenskritischen Systemen und Applikationen.

Der vierte Schritt
ist schließlich, dass alle Anwendungen in Single Sign-On integriert werden, wobei dafür das ohnehin im Einsatz befindliche Active Directory und moderne Authentifizierungsstandards wie OAuth (OpenAuthentication) oder OIDC (OpenID Connect) unterstützt werden sollten.

Eine Schwachstelle weniger

Unternehmen und Organisationen schützen sich mit passwortloser Authentisierung vor Cyberangriffen. Credential-Stuffing-Attacken laufen damit ebenso ins Leere wie Phishing. Auch für Auditoren, Aufsichtsbehörden und Cyberversicherungen ist es nicht uninteressant, dass ausgespähte Passwörter als Angriffshebel ausfallen, dass Zugriffe auf Systeme, Netzwerk und Anwendungen laufend kontrolliert und exakt dokumentiert sind. Einen hundertprozentigen Schutz vor Cyberangriffen gibt es nicht, so viel ist klar. Doch zumindest ist durch passwortloses Access-Management eine der größten Angriffsflächen bei der IT-Sicherheit von Unternehmen beseitigt.

Dirk Wahlefeld

ist Manager Unimate Tech Services bei Imprivata.

 

 

 

 

 

Anzeige