Ein naiver Umgang mit Passwörtern durch Mitarbeitende stellt für Unternehmen ein ernstzunehmendes Sicherheitsrisiko dar. Eine alternative Vorgehensweise ist die passwortlose Authentifizierung durch biometrische Daten oder Token. Mimecast erklärt, welche Punkte es hier zu beachten gilt, um eine reibungslose Implementierung sicherzustellen.
Passwörter sind nach wie vor eine Schwachstelle im Bereich der Cybersicherheit. Für nahezu jeden Online-Dienst benötigt man Zugangsdaten bestehend aus Benutzername und Passwort. Dadurch sammelt sich in kürzester Zeit eine lange Liste an Kombinationen an – eine durchschnittliche Person kommt auf circa 100 verschiedene Passwörter, wie eine aktuelle Studie zeigt.
Um hier nicht den Überblick zu verlieren, benutzen viele ein und dasselbe Passwort für mehrere Konten. Das ist besonders fatal, wenn es sich dabei auch noch um ein standardmäßig verwendetes, leicht zu erratendes Kennwort handelt.
Passwort-Management als kritische Schwachstelle für Unternehmen
Vor allem für Unternehmen ist ein schlechtes Passwort-Management ihrer Mitarbeitenden einer der größten Risikofaktoren für die Datensicherheit, wie der aktuelle „State of Email Security“-Report von Mimecast abermals bestätigt. Dazu gehört die häufige Verwendung von Standard-Passwörtern, die Benutzung desselben Passworts für mehrere Anwendungen oder schlichtweg die physische Aufbewahrung von Kennwörtern an einem Ort, der auch für andere zugänglich ist.
Man denke hier an das Post-it am Bildschirmrand, auf dem die Zugangsdaten für den PC notiert sind. Eine immer beliebter werdende Alternative sind daher passwortlose Authentifizierungsmethoden. Dabei wird die Identität des Benutzers nicht durch festgelegte Zugangsdaten, sondern durch andere Methoden überprüft.
Authentifizierung durch Biometrie, Token oder Push-Benachrichtigungen
Die Verwendung von Geräten mit Kameras und Touchscreens ermöglicht eine Identifizierung anhand biometrischer Merkmale, durch Scannen des Fingerabdrucks oder des Gesichts des Benutzers oder durch einen Stimmenabgleich.
Angesichts der immer stärkeren Verbreitung von Deep Fakes wachsen jedoch momentan die Bedenken hinsichtlich der Sicherheit dieser Methode. Auch wenn diese einen menschlichen Nutzer täuschen können, gibt es bisher keine Beweise dafür, dass die Fälschungen biometrische Schutzmechanismen überwinden können.
Eine andere Methode ist die Multi-Faktor-Authentifizierung (MFA) via Authentifizierungs-Token, der einen einmaligen Code generiert, oder einer Authentifizierungs-App, die mit einem zuvor verifizierten Gerät oder Email-Konto verbunden ist.
Diese Methode ist natürlich nur dann passwortlos, wenn keiner der Faktoren passwortbasiert ist. Ähnlich funktioniert auch die Anmeldung via Push-Benachrichtigung, die an ein Email-Konto oder an ein zuvor verifiziertes Gerät gesendet wird und den Benutzer auffordert, eine Anmeldung zu autorisieren, anstatt einen einmaligen Code einzugeben.
Die Technik und das Budget müssen mitspielen
Eine flächendeckende Anwendung solcher passwortlosen Authentifizierungsmethoden lässt jedoch noch auf sich warten. Stolpersteine bei der Implementierung einer kennwortlosen Authentifizierungsmethode können vielfältig aussehen. Möglicherweise befürchtet die Geschäftsführung, dass sich der Einsatz von auf MFA basierenden Methoden negativ auf die Mitarbeitererfahrung auswirkt und den täglichen Betrieb verlangsamen oder behindern könnte.
Eine andere Herausforderung stellt die technische Komponente dar. Die verschiedenen genutzten Systeme funktionieren oft nicht über eine gemeinsame Authentifizierungsmethode.
Cloud-Plattformen haben beispielsweise häufig ihre eigenen konkurrierenden Sicherheits- und Identitätsprüfungssysteme, die sich nicht problemlos mit den internen Unternehmensservern synchronisieren lassen.
Nicht zuletzt spielt auch der Ressourceneinsatz bei einer Systemumstellung eine entscheidende Rolle – Veränderungen kosten schließlich Zeit und Geld. Unternehmen müssen ihre bisherige Infrastruktur und Zugriffsrichtlinien überarbeiten, Benutzer müssen (erneut) verifiziert und ihre Authentifizierungsfaktoren eingerichtet werden.
Schritt für Schritt zur passwortlosen Lösung
Um die Belastungen einer umfassenden Umstellung auf passwortlosen Zugang zu vermeiden, sollten Unternehmen hier Schritt für Schritt vorgehen. Zunächst sollten Unternehmen den Risikostatus ihrer Daten evaluieren. So können sie Systeme für die Umstellung priorisieren, und den passwortbasierten Zugang zunächst für weniger sensible Ressourcen beibehalten.
Die Durchsetzung von neuen Zugriffsrichtlinien ist außerdem einfacher, wenn der Kontext der Benutzeraktivität bei der Entscheidung, ob die Identitätskontrollen verstärkt werden sollen, miteinbezogen wird.
Wenn sich ein Angestellter plötzlich von einem unbekannten Server oder Standort aus anmeldet, kann ein automatisiertes Identitäts- und Zugangsmanagement-System (IAM-System) eine zusätzliche Verifizierungsprüfung auslösen. Eine passwortlose Authentifizierung lässt sich zudem leichter durchsetzen, wenn die Organisation bereits einen Zero-Trust-Ansatz im gesamten Netzwerk verfolgt.
„Die Umstellung auf ein passwortloses System mag zunächst kompliziert und zeitintensiv wirken. Die Vorteile, die diese Authentifizierungsmethoden mit sich bringen, überwiegen jedoch schnell die investierten Ressourcen“, so Frank Sammüller, Head of DACH Mimecast. „Passwörter sind und bleiben eine kritische Schwachstelle in der Sicherheitsarchitektur von Unternehmen. Hier helfen solche alternativen, mehrschichtigen Systeme, die das Risiko von menschlichen Fehlern erheblich reduzieren.“